攻防世界String Writeup

最新推荐文章于 2024-07-16 02:03:11 发布
最新推荐文章于 2024-07-16 02:03:11 发布
阅读量2.3k 收藏 5
点赞数 1
分类专栏: pwn学习 文章标签: python 字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xkj2010yj/article/details/104648885
版权
本文详细解析了攻防世界中一道涉及格式化字符串漏洞和命令执行的PWN题目。通过ida分析,找到关键函数printf及命令执行部分。利用格式化字符串漏洞控制流进入命令执行函数,并通过调试揭示程序内存布局,构造payload修改特定内存值,最终利用shellcode获取Shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这道题暂且认为是攻防世界pwn新手区比较难的一道题,而难点主要在于读懂题目,读懂后就比较简单了。
查看程序的防御机制,发现除了PIE全开。从题目string可猜测,应该是个格式化字符串的漏洞。可以在Linux中先将程序跑一遍,对程序的流程和分支有个大概了解,本题是个简单的D&D类型的游戏题目。
用ida对程序进行分析,顺着程序的流程走,可以看到在sub_400BB9中有printf(&format, &format)语句,存在格式化字符串漏洞。
格式化字符串漏洞
此外,在函数sub_400CA6中,可以发现巫师的分支有命令执行的语句,可以直接执行外部输入的命令。
命令执行语句
因此,本题的关键在于,如何利用格式化字符串漏洞,让程序的控制流进入到命令执行语句;也就是说,进入sub_400CA6函数中,且满足*a == a1[1]的条件。
进入sub_400CA6函数较为简单,初始化人物时随便输一个名字,然后输入east进入下一个函数(这个判断有点迷,不明白为什么会先判断是不是east,比较成功了再与up比较);输入一个地址(注意必须能转换为int型),然后就是格式化字符串漏洞的输入,之后就进到sub_400CA6中了。
然后就是a的问题,可以发现a来源于main函数中的v4,v4是强制转换位int64后的v3,*v3是68,v3[1]是85,而且main函数会把v4的值打印出来,不需要再去找。
用gdb调试程序,在printf下断点,输入%x测试一下,发现输出是这样的。
格式化字符串输出
由于是64位程序,泄露出来的地址分别是rsi, rdx, rcx, r8, r9, rsp+8, rsp+16等等。在地址输入时,我输入的是24&

最低0.47元/天 解锁文章
攻防世界pwn-string
a_silly_coder的博客
05-18 415
首先检查保护 将文件拖入64位ida 查看代码逻辑,发现这个代码有些复杂,但是大多数都是无效信息,很多输入都是指引程序进行的,扰乱我们的视线。 关键信息有:v3v4的数值地址都给出来了,然后查看sub_400D72函数 这里首先输入一个name,这是干扰输入,只要不超过0xC的长度即可。然后sub_400A7D也是干扰输入,只需要跟着代码输入就可以了。接着查看sub_400BB9与sub_400CA6 sub_400BB9这里很显然是有一个格式化字符串漏洞。 接着看s...
攻防世界xctf writeup ics-07
qq_43370221的博客
04-20 777
文章目录xctf_writeup_ics-07审计代码审计写入文件代码构造最后的payload菜刀连接的到webshell xctf_writeup_ics-07 审计代码 浏览页面 发现了view-source链接 ,接下来审计代码 if (!isset($_GET[page])) { show_source(__FILE__); die(); }...
攻防世界 string
BengDouLove的博客
03-22 1234
这回终于做上了一道像一个小系统一样的题,有很多输入输出,程序逻辑也复杂了一点,比赛中我看都是这样的题,一直以来遇到这样的题都是不知所措,从这一道开始练手把 这是一个文字版RPG game… 一开始看main函数看不出来什么,注意到输出了secret 输出secret之后进入另一个函数,将v4的值传了进去 然后让输入名字,这里好像没有溢出,名字长度小于12 输入名字之后进入三个函数的第一个,开始...
攻防世界STRing
WangLal的博客
07-06 368
攻防世界PWN String的WP 基本的三步checksec,file,执行文件 这是一个64位文件,只有pIE没开。 由string这个题目猜测可能会是字符串漏洞 将下载好的附件扔进IDA里查看,点击main函数 main函数中找不到,那就在其他函数看一下。 点击 sub_400D72 要进入if条件中,输入的s的长度需小于12位 在sub_400BB9函数中看到了 printf前几句中存在%s与%ld,可以操作. 继续看下一个函数 (a1+4是指a1加4个字节,也就是一个整数类型所以这个就是a
攻防世界string
qq_25044201的博客
12-30 226
这道题是我在新手区见到的最难的一道题,涉及了格式化字符串,shellcode注入,最难的还是这个过程。繁杂,琐屑。 这句是最关键的,创建个内存然后作为指针函数。这里注入shellcode就可以。但是有个前提a[0]=a[1]我们要通过格式化字符串修改a[0]=85使得a[0]=a[1] ...
攻防世界 pwn string
N1rvana的博客
11-15 4389
攻防世界string应该是新手区数一数二的难题,难点在理解程序流程。 先观察主函数: alarm函数 什么是alarm函数? 如上图所示,在做一些pwn题的时候,我们有时会遇到alarm(0x3Cu)函数。alarm函数中的参数0x3Cu是十六进制无符号数,即十进制对应60,所以该函数的作用是在程序运行60秒后,给进程发送SIGALRM信号,如果不另编写程序接受处理此信号,则默认结束此程序。 为什么要使用alarm函数? 一是比赛中常要远程连接服务器解题,官方不希望有队伍长时间解不出来题浪费服务器资源 二
攻防世界misc高手区部分writeup
嘟的博客
10-10 2881
title: 攻防世界misc高手区部分writeup tags: ctf categories: ctf 1.easycap 下载下来是一个流量包,用wireshark打开,搜索关键字flag,第二行追踪tcp流, 2.Avatar 下载下来是一张图片,这里考察outguess算法,在kali下载outguess,apt-get install outguess, "We sh...
攻防世界 web高手进阶区 10分题Confusion2
闵行小鱼塘
10-13 1162
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Confusion2的writeup
NCTF 南京邮电大学网络攻防训练平台 WriteUp
热门推荐
4ct10n
08-02 8万+
NCTF 南京邮电大学网络攻防训练平台 WriteUp不说什么直接上题解WEB1.签到题(50)直接查看网页源码 Flag:nctf{flag_admiaanaaaaaaaaaaa}2.md5 collision(50)源码如下:<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ i
[攻防世界]string
逆向萌新的博客
06-20 266
[攻防世界]string详解
[PWN](攻防世界)string
ljh15937的博客
09-21 1309
分析程序漏洞 了解程序的基本信息 64位小端序 开启了 Canary 保护,栈不可执行,未开启 PIE, 使用 IDA Pro 进行静态分析,由于该程序的执行流较为复杂,需要花些时间理清程序的具体执行流程 使用 GDB 进行动态调试,设置断点执行到 printf(&format, &format);,可以发现输入的地址 0xa98ac7 在栈顶的第二个8字节,根据64位程序的传参方式,该地址是格式化字符串的第 7 个参数,printf() 函数的第 8 个参数。
攻防世界-pwn-String
weixin_44558065的博客
10-19 379
本人为萌新,以下只是个人看法。
攻防世界 string WP
Casuall的博客
07-28 1330
检查文件类型(file命令),检查安全措施(checksec命令)就不多说了,只有PIE没有开。 首先查看一下main函数,有一个sub_400996函数,这个函数就是负责打印一些信息。然后通过malloc申请了8个字节大小的内存,返回的指针为v3,将v3的值(指针的值为地址)存入v4,实际上v3和v4都指向了刚才申请的那块内存。然后赋值,将前四个字节赋值为68,后四个字节赋值为85。后面通过printf打印了v4和v4+4的值,其实就是68和85的地址。 下面有个sub_400D72(v4)函数,将v4
攻防世界 新手区string
winterze的博客
04-04 405
0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/string' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 64位,开启了Canary和...
攻防世界writeup
飞鱼的企鹅的博客
01-04 899
攻防世界 confusion1 第一次接触这样的漏洞,认真学习了一波 0x00题目介绍 打开是一个网站,有登陆注册功能,正中间还有一张图片(后来才知道代表php vs python) 但是点击登陆注册都显示404,就很迷了,之后又去扫描了网站,并没有发现什么有用的东西 偶然间查看页面源代码,发现了端倪 这个404界面暗藏玄机啊!但还是不知道怎么做这道题 0xo1查阅资料 其实就是查看wp…...
攻防世界新手区—string
hanabi_sh
10-15 681
攻防世界string,格式化字符漏洞
攻防世界PWN [GFSJ0469] string (不太正经的wp)
最新发布
qq_52161487的博客
07-16 1092
拐角的光线很暗,暗得我看不清她的脸和表情,还有烦人的蚊子一直叮我的腿,但从来没有任何一个夏天的感觉能够如此真实。为了回家,勉为其难地,我答应了她。那个她曾和我说过,你们这些人整天对着电脑看书,一个劲儿地用一个女生头像的软件,这一横条一横条的是什么东西,一会goto一会mov的,就像是在走迷宫。前两天在我MP3上听的那首周董的歌你还记得嘛,远方传来风笛,我只在意有你的消息......”好吧,都已经走到现在了,回去未免沦为笑柄,也辜负了巫师小姐姐对我们的期望,我们要做的只能是硬着头皮走下去,来吧,
攻防世界shuffle
09-03
- *3* [攻防世界Reverse进阶区-Shuffle-writeup](https://blog.youkuaiyun.com/qq_35056292/article/details/108676766)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值