“攻防世界”pwn之format2

最新推荐文章于 2023-05-11 08:51:51 发布
最新推荐文章于 2023-05-11 08:51:51 发布
阅读量535 收藏 1
点赞数 1
分类专栏: ctf-pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42728977/article/details/103498273
版权
本文介绍了在攻防世界挑战中如何利用栈溢出和后门来获取shell。分析了程序环境、工具使用,并详细解释了利用程序的base64解密和MD5加密特性,以及通过覆盖ebp和ret地址实现控制流程的方法。通过构造特定输入,最终成功触发后门函数并获取shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原理:

栈溢出、后门

环境:

ubuntu14

工具:

pwntools 、IDA

步骤:

查看程序的基本信息:

在这里插入图片描述
可以看出程序是32位,斌开了canary和nx

在IDA进行分析查看
在这里插入图片描述
看到程序并没有canary的压栈,我当时很奇怪为什么,让你后又看了几个函数,发现也没有,后来看大佬的 WP说是部分函数有,这里的canary是个迷惑。这没有canary就方便很多了。
在这里插入图片描述
一点一点看,发现这就是一个base64解密再MD5加密的程序,如果最后的MD5值一样的则,但是程序里的对应MD5值没有查到对应的明文,而且MD5加密的也不是咱们输入的,而是一个脏数据,也就是“正道”走不通了。
仔细看auth()函数。

最低0.47元/天 解锁文章
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1920
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
pwn-Format String之hijack GOT
admin的博客
10-07 416
题目来源:ctf-wiki的hijack GOT。 例子 - CTF Wiki (ctf-wiki.org) CTF上的wp有点简洁,复现的时候遇到很多小问题,在这里记录一下。 ①、checksec和IDA 程序的主干代码:没必要一次性看完,下面我们一点一点分析 //main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { signed int v3; // eax cha..
format2(xctf)
weixin_43868725的博客
09-02 804
0x0 程序保护和流程 保护: 流程: main() 接收一个最长为30的字符串,通过base64解密后长度小于12就会将解密后的字符串复制到input处,之后调用auth()。 在将input中的字符串复制到v4的时候存在四个字节的溢出。如果返回值为1的话就会进入correct()。 此时如果input==0xDEADBEEF的话就能够getshell了。 0x1 利用过程 1.虽然checksec提示说程序开启了canary但是在主要逻辑上的函数都没有开启canary,所以可以进行溢出。 2.因
format2 攻防世界
qq_41071646的博客
07-15 727
这个题 确实很恶心 本来感觉应该是栈溢出 或者 直接验证 但是 md5 解不开 然后调试的时候逐渐发现问题 晕死,, 虽然长度那个变量是 无符号 但是 输入字符限定 30 我们也没有什么办法 来通过 这个来操作 然后进入check 函数 发现v4 可以 溢出修改ebp 并且这里有后门函数 ebp ebp ebp 栈转移 两个 leave ...
攻防世界PWNformat2题解
seaaseesa的博客
11-10 828
format2(整数地址空间溢出) 本题需要细心 首先,检测一下程序保护机制 虽然说开启了CANARY,但是关键的几个函数没有开启这个机制,这道题因为libc库静态链接到文件里,所以才造成这种干扰。 我们用IDA分析一下 后门函数 溢出点在这,memcpy传入的是v4的地址,而v4是int,最多也就8字节,因此这里可以溢出 程序的流程是将我们输入的字符串进行BASE6...
攻防世界-PWN-Format2解题过程
aptx4869_li的博客
07-24 523
# 解题思路 ## 安全机制检查 ``` healer@kali:~/Desktop/format1$ readelf -h format1 ELF Header: Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, little endian ...
pwn 练习笔记 format2
SsMing的博客
08-16 366
例子是protostar format2 源码为: 和昨天的思路一样,确定要通过格式化字符串洞覆盖target的内容,题目的目的是要让target等于64 1.找到target的地址 2.计算偏移量 先起手个200个 我们发现第四个就是我们的ABCD,所以改一下payload 然后要是target的值为64 ,在括号之前要有64个字符,这里前面已经有34个,还差30个...
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 668
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
攻防世界pwn新手区整理
Lenard404的博客
08-19 3321
小白尝试做pwn题QAQ get shell 惯例: IDA查看main函数: 显然直接连接就可以得到权限。 nc ls cat 一条龙服务: 菜鸟教程的Linux命令大全 hello pwn 惯例: IDA查看main: 查看if语句后的函数: 目的明确:进入if语句。 计算60106C和601068的偏移为4,read可以读入0x10,直接输入条件即可。 exp: from pwn import* r = remote('111.200.241.244',64067) payload = '
攻防世界 Pwn time_formatter
MrTreebook的博客
03-06 473
攻防世界 Pwn time_formatter1.checksec分析2.IDA分析menu在 print_your_time 找到有关system函数控制好参数ptr即可拿到权限输入限制UAF利用思路3.exp 1.checksec分析 2.IDA分析 menu puts("Welcome to Mary's Unix Time Formatter!"); do { while ( 2 ) { puts("1) Set a time format.");
某道Pwn(格式化字符串漏洞)
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
2018 百越杯 pwn(format WriteUp)
X丶 的博客
12-03 821
看到题目的内容,就知道大概是格式化漏洞了, 马上扔到IDA看个究竟。 不出所料,就是printf的格式化输出漏洞   思路: 1、利用格式化漏洞覆盖任意地址的值,这里我们需要覆盖secret的值,所以先要找到secret的地址,在IDA中,可以看到secret在bss段: 得到secret的地址后,我们就可以对它的值进行覆盖,覆盖成192 2、利用%k$n(k$用于获取格式化...
CTF训练(PWN)——format_secret
weixin_49270591的博客
04-12 524
CTF训练(PWN)——format_secret 这次拿到的是一道pwn题,作为新手只能慢慢学习(啊啊啊啊,pwn是真的难~~) 读题 根据描述,知道是格式化字符串漏洞,于是去度娘了解一下格式化字符串漏洞是什么??? 这里附上来自同站大佬的链接:https://blog.youkuaiyun.com/qq_43394612/article/details/84900668 分析题目 首先下载附件 拿到一个意义不明的白色文件 解题 首先使用checksec进行查看 没有的话可以使用git进行安装 git clone
pwn 练习笔记 format4
SsMing的博客
09-18 425
protostar format4 日常练习,源码为 #include &lt;stdlib.h&gt; #include &lt;unistd.h&gt; #include &lt;stdio.h&gt; #include &lt;string.h&gt; int target; void hello() { printf("code execution redirected! y...
pwn-格式化字符串的刷题记录(未完待续)
m0_75234353的博客
05-11 813
发现canary和RELRO部分开。
pwn学习-格式化字符串的利用
WocW的博客
03-08 2256
覆盖栈内存 所用例子 /* example/overflow/overflow.c */ #include &lt;stdio.h&gt; int a = 123, b = 456; int main() { int c = 789; char s[100]; printf("%p\n", &amp;c); scanf("%s", s); printf(s); if...
攻防世界(pwn)Noleak
PLpa的博客
03-03 1650
前言: 看了大佬们的writeup,发现这题解法真的非常多,我这里用的是unsortedbin的地址写漏洞,详情可以看ctfwiki了解漏洞原因。 没开NX,有可以执行的堆栈,但是开启了Full RELRO,不能修改got表地址了。 打开IDA: 发现是一个菜单题,可以创建,删除,更新堆快信息,没有输出信息的选项,果然Noleak。 我们这里可以一个一个功能去看,看看漏洞存在哪里: 经过观察...
xctf format2
doudoudedi
10-01 350
日常水题的一天这个和pwnable.kr 上的一道题很像也是一道栈迁移的题目 我们直接看main函数 把输入的base64解密长度不能超过12 目的是correct函数 发现这里可以覆盖ebp我们就可以将栈迁移到input处然后mov esp,ebp ; pop ebp; pop eip;main函数公用ebp控制eip为我们的后门地址直接拿到shell(打pwn不要限制于拿到shell哦...
攻防世界PWN之valet!题解
seaaseesa的博客
02-09 242
Valet! 简单的栈溢出 #coding:utf8 from pwn import * #sh = remote('111.198.29.45',43798) sh = remote('127.0.0.1',101010) def guess(): sh.sendlineafter('3. Quit','1') #溢出,覆盖s payload = 'aaa\x00a...
pwn是什么文件
最新发布
03-27
<think>好的,我现在需要回答用户关于pwn文件的类型、用途和格式的问题。根据用户提供的引用资料,我需要先理解这些引用中的相关内容,然后结合自己的知识进行整理。 首先,用户提到了三个引用。引用[1]和[2]都涉及ELF文件的结构和定义,而引用[3]提到了与pwn相关的一些操作,比如open、read、write。但用户的问题是关于pwn文件的类型、用途和格式,所以可能需要明确pwn文件是否特指某种类型的文件,或者是否与ELF文件有关。 根据我的了解,“pwn”在网络安全领域通常指代攻防技术,尤其是在CTF比赛中,pwn题目通常涉及二进制漏洞利用。这类题目通常会提供可执行文件(如ELF文件),参赛者需要分析并利用其中的漏洞。因此,pwn文件可能指的是这些可执行文件,尤其是ELF格式的文件。 接下来,我需要确认用户提到的引用内容是否支持这一点。引用[1]和[2]详细描述了ELF文件的结构,包括不同的节类型(如代码段、数据段)和其用途。引用[3]则提到了文件操作的流程,这可能与处理pwn题目的过程相关,比如读取文件内容、写入输出等。 因此,可以推断pwn文件通常是ELF格式的可执行文件,用于二进制漏洞利用挑战。需要将这些信息结构化,并确保回答符合用户的要求,如使用正确的LaTeX格式,生成相关问题,并正确引用来源。 在回答过程中,需要注意以下几点: 1. 明确pwn文件的类型是ELF格式。 2. 说明其用途主要在CTF比赛和二进制漏洞利用。 3. 描述ELF文件的结构,如节类型和段。 4. 引用相关引用来支持结论。 然后,生成的相关问题需要围绕pwn文件的分析、漏洞利用方法以及ELF结构展开,确保问题具有针对性和延伸性。 最后,检查LaTeX格式是否正确,所有数学表达式和独立公式都正确使用$和$$符号,并且回答结构清晰,引用标识正确放置。</think>### pwn文件的类型、用途及格式解析 #### 1. 文件类型 在网络安全领域(尤其是CTF竞赛中),**pwn文件**通常指代**ELF(Executable and Linkable Format)文件**。ELF是类Unix系统(如Linux)中用于可执行程序、目标文件和共享库的标准格式[^2]。其类型可通过节(Section)和段(Segment)区分: - **代码段(.text)**:存储可执行指令。 - **数据段(.data、.bss)**:存储全局变量和静态变量。 - **符号表(.symtab)**:记录函数和变量符号信息[^1]。 #### 2. 主要用途 pwn文件的核心用途是**二进制漏洞利用**,常见于以下场景: - **CTF竞赛**:参赛者需通过逆向分析或动态调试,发现缓冲区溢出、格式化字符串等漏洞,构造攻击载荷(Payload)获取系统权限。 - **安全研究**:模拟真实环境中的漏洞利用,验证补丁有效性或攻击手法。 - **渗透测试**:评估系统安全性时,测试二进制程序的抗攻击能力。 #### 3. 文件格式 ELF文件的结构分为两部分: 1. **节(Section)**:用于编译和链接阶段,如`.text`、`.data`、`.plt`(过程链接表)等。 2. **段(Segment)**:用于程序加载执行,如代码段(LOAD)、动态链接信息(INTERP)等。 例如,漏洞利用常关注以下结构: - **全局偏移表(.got)**:存储外部函数地址,可被篡改以劫持程序流。 - **栈(Stack)**:通过溢出覆盖返回地址,控制执行流程。 #### 4. 典型操作示例 引用[3]中的代码片段展示了pwn题目中常见的文件操作逻辑: ```c open('文件名', 0, 0); read(文件描述符, 缓冲区, 读取大小); write(1, 缓冲区, 写大小); ``` 此类代码可能因未检查输入长度导致栈溢出漏洞,攻击者可利用其注入恶意代码[^3]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值