攻防世界-pwn-实时数据监测

最新推荐文章于 2022-06-22 16:25:32 发布

bestnuoen

最新推荐文章于 2022-06-22 16:25:32 发布

阅读量1.1k

点赞数

分类专栏： ctf 文章标签： linux python 字符串

本文链接：https://blog.youkuaiyun.com/xxxsdd/article/details/104452749

版权

ctf 专栏收录该内容

0 篇文章

订阅专栏

本文详细介绍了一种常见软件安全漏洞——格式化字符串漏洞的利用方法。通过具体案例，展示了如何在IDA环境下分析代码，利用漏洞修改特定内存地址的数据，最终实现对程序的控制。文章覆盖了从漏洞原理到实践操作的全过程。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1.ida查看代码

ida
程序很简单
利用imagemagic()中的printf()的漏洞来达到目的

2.查看保护机制

在这里插入图片描述
什么都没有开

3.知识点

格式化字符串漏洞
例子

printf("aa%16$n")
32位程序时
会向栈地址为esp+15中的地址addr所指向的内存单元写入2
因为aa表示了两个字节所以向[addr]中写入2
若想写入15 则可以利用

printf("a*15%16$n") or printf("15x%16$n")
来向栈地址为esp+15中的地址addr所指向的内存单元写入0xf

64位程序时
由于函数调用时会使用寄存器传递参数，所以利用%p 来看你想要改变的内存的地址在栈中的位置

4.编写脚本

我们由ida可知key=0x804a048，并且当key的数据为0x2223322时，会自动执行system("/bin/sh")
于是我们利用了格式化字符串漏洞
通过format="%x %$n"的组合向特定的内存地址写入数据
在这里插入图片描述

5.结果

在这里插入图片描述

6.注意

由于%35795746x比较大所以程序会运行一会，请耐心等待一分钟左右。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

bestnuoen

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

实时数据监测(xctf)

weixin_43868725的博客

05-24

945

0x0 程序保护和流程保护：流程： main() locker() imagemagic() 当key=35795746=0x2223322时调用system("/bin/sh")，在imagemagic()中又存在格式化字符串漏洞。所以只需要更改key的值即可。 0x1 利用过程先确定偏移量。偏移量为12。但是我们要向key的地址写入35795746=0x2223322，如果一次性写入35795746个字符的话输入缓冲区可能会溢出导致程序无法运行。所以我们选择单字符写入所以payloa

[CTF-PWN]攻防世界新手村-level2[wp]

murongxuege的博客

10-04

742

事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候，从头到尾刷一遍题，总结思路。题目分析开启场景后，服务端会开启对应的端口，并在端口上部署和附件相同的ELF二进制可执行文件，我们要做的就是下载附件并在本地进行反汇编，反编译等操作分析程序漏洞，从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性，可以看到文件是linux elf文件，32字节，Inter80386微处理器。 checksec的常用命令是:c

1 条评论您还未登录，请先登录后发表或查看评论

攻防世界 Pwn 实时数据监测

MrTreebook的博客

12-12

632

攻防世界 Pwn 实时数据监测1.题目下载地址2.checksec3.IDA4.格式化字符串漏洞的解法5.exp 1.题目下载地址点击下载 2.checksec 什么保护都没开，估计是很简单的题进IDA分析一下 3.IDA int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); if ( key == 35795

[攻防世界 pwn]——实时数据监测

Y_peak的博客

02-27

711

[攻防世界 pwn]——实时数据监测题目地址：https://adworld.xctf.org.cn/ 题目： checksec就不说了，没什么 ida中只要将key里面的值修改为35795746,就好写个小脚本在pwndbg中看看偏移 from pwn import * p = process('./pwn') gdb.attach(p, 'b *0x080484A7') #p = remote("111.200.241.244",48715) key_addr = 0x0804A048 p

[攻防世界]实时数据监测

逆向萌新的博客

06-22

311

[攻防世界]实时数据监测

攻防世界：PWN刷题-实时数据监测

m0_53932372的博客

12-30

1504

实时数据监测思路：程序是裸奔的。漏洞是格式字符串，利用这个漏洞修改key的值，就可以了。学会的新知识：本来想大数字覆盖一个一个来，但其实pwntools的fmtstr_payload模块就可以了。 fmtstr_payload(offset,{address:value}) exp： #!/usr/bin/python from pwn import * fmt_addr=0x0804A048 p = remote("111.200.241.244",49656) payload=fmtstr_pa

攻防世界 pwn进阶区解法 write up（一）

qq_46441427的博客

03-01

442

实时数据监测找信息没有发现canary，没有开启PIE和NX 查看ida 发现有一个printf，这里是fgets，可能会用到格式化字符串漏洞，运行一下程序结合ida的分析我们可知，要把这个值改成0x2223322，那结合之前的printf，可以确定是格式化字符串漏洞给了我们地址，那我们的payload就以地址为开头，因为是p32，所以后面35795746要减4，构成%35795742d%偏移量n$ 然后确定偏移量：总共，从A到41包括A有12个，偏移量=12 所以得到payload

格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区实时数据监测

Kni9hT's Blog

04-21

6776

文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题健身回来，继续刷第二题，貌似和上一题一个风格啊。连名字都差不多，偏工业实际。不过这一题学到了一个新东西，fmtstr_payload. 题目描述：小A在对某家医药工厂进行扫描的时候，发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...

[CTF-PWN]攻防世界新手村-when_did_you_born[wp]

murongxuege的博客

09-29

656

事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候，从头到尾刷一遍题，总结思路。题目分析开启场景后，服务端会开启对应的端口，并在端口上部署和附件相同的ELF二进制可执行文件，我们要做的就是下载附件并在本地进行反汇编，反编译等操作分析程序漏洞，从而利用漏洞获取题目的flag。从描述中可以看出当前程序是要进行年龄的输入操作的，有输入操作，还是在新手村，那么大概率是gets()等C函数输入漏洞，进一步猜测是普通的内存地址覆盖的题。 che

realloc函数UAF利用|攻防世界pwn进阶区supermarket

Kni9hT's Blog

03-21

1124

文章目录思路0x00.tar解压0x01.查看保护0x02.查看程序并调试0x03.漏洞分析realloc函数详解0x04.利用思路利用过程exp编写思路 0x00.tar解压下载获得压缩包文件，解压之后放进ubuntu中发现还是一个tar格式压缩包。 tar -xf filename 附：linux下tar命令详解解压得到一个libc.so.6的库和一个可执行文件 0x01.查看保护 ...

攻防世界高手进阶区 ——实时数据检测

weixin_62675330的博客

02-13

1276

攻防世界高手进阶区 ——实时数据检测 1.分析文件先checksec一下发现啥都没有开，完全就是裸奔。运行一下[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传运行发现就是想要把key的值改为0x2223322。直接上ida int locker() { char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s);

攻防世界 pwn--实时数据检测

YANG12345_6的博客

11-30

341

32位程序保护都没有开直接拖进ida分析 int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); // 含printf函数，有格式化字符串漏洞 if ( key == 0x2223322 ) // key在bs

攻防世界pwn supermarket + 实时数据监测

PLpa的博客

02-13

989

supermarket 这是一个典型的堆题，菜单类型。只开了NX保护的32位程序。我们来分析一下程序程序实现了增删改查，其中改可以改价格和商品的描述，我们重点看改描述，因为程序的漏洞就在这里。首先让我们输入商品的名字，通过名字来找到商品，这里我们就可以伪造商品了。继续往下看会看到程序让我们输入描述信息的size。通过程序分析我们知道(&s2)[v1]+5是结构体中存储堆的si...

[XCTF-pwn] 4-实时数据监测

weixin_52640415的博客

03-03

247

格式化字符串漏洞，在指定位置写入指定值 from pwn import * p = remote('111.200.241.244', 59708) context(arch='i386', log_level='debug') p.sendline(fmtstr_payload(12, {0x0804A048 : 35795746})) p.interactive()

攻防世界-进阶区-实时数据监测

CHAWUCIREN1的博客

12-01

2980

将35795746换成十六进制0x2223322（按H）根据函数，只需要令key等于0x2223322即可getshell 查看一下 imagemagic（）函数存在格式化字符串漏洞具体看wiki：https://ctf-wiki.org/pwn/linux/user-mode/fmtstr/fmtstr-intro/ 了解到一个骚操作 fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') 第一个参数表示格式化字符串...

攻防世界xctf-实时数据监测 wp

Casuall的博客

08-14

1363

本题是一个简单的格式化字符串漏洞的利用。先查看一些文件的信息，32位的程序，保护措施没有开。用IDA查看一些伪代码，发现main函数里面只有一个locker函数，locker函数首先接受了一个字符串s，然后调用imagemagic函数，这个函数跟进去查看其实就是一个printf函数，最后比较key的值是不是为0x2223322，如果相等，返回shell，否则打印key的地址和值。我们在本地运行一下看看，由于直接把key的地址告诉你了，所以本题的思路是找到格式化字符串地址的偏移，然后覆盖key的值。格

格式化字符串漏洞之大数溢出（攻防世界实时数据检测write_up)

qq_35066257的博客

04-14

720

大数溢出：就是当你发现了格式化字符串漏洞时，想要向目标地址写入较大的数，这样使用"%num$n"就没办法达成目标，这样就需要另外两个格式化字符。下面以XCTF的实时数据检测为例子：第一步用checksec查看保护，和位数：第二步用ida查看漏洞：发现存在格式化字符串漏洞，并且当key的值为“35795746”时渗透成功查看key地址，由于我们需要设置key的值为3579574...

ADworld pwn wp - 实时数据监测

fa1c4的blog

06-28

200

格式化漏洞, 可以考虑任意地址读写, 将key修改为35795746, get shell 格式化字符串的第12个参数开始泄露, 并且key的位置是0x0804a048, 所以可以将该位置写为35795746 == 0x02223322, 按双字节写入 0x0222 = 546 0x3322 = 13090 546 - 8 = 538 13090 - 546 = 12544 payload = p32(key_addr + 2) + p32(key_addr) + b"%538c%12$hn" + ...

数据监控难点之实时监测

kongjiazhanshi的博客

06-01

653

品牌商必须要做好对商品价格动态变化的实时监控，在365天里，24小时中，不定时地选取最合适的时机进行监测。

攻防世界pwn pwn-100