BUUCTF Pwn [第五空间2019 决赛]PWN5

最新推荐文章于 2025-12-06 11:07:22 发布

原创

最新推荐文章于 2025-12-06 11:07:22 发布 · 1.1k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#安全

本文详细介绍了如何利用格式化字符串漏洞进行攻击。通过分析程序的checksec信息，发现存在开启的canary但未启用PIE。在IDA中分析主函数，找到了printf函数的漏洞。通过输入特定格式的字符串，确定了输入参数在栈上的位置。利用%n来修改栈上的随机数，构造payload并成功修改了内存中的值。最终，通过发送payload和目标地址，成功触发system调用，完成exploit。

BUUCTF Pwn [第五空间2019 决赛]PWN5

1.题目下载地址
2.checksec
2.IDA分析
4.exp

1.题目下载地址

点击下载

2.checksec

在这里插入图片描述

开启了canary
没有PIE

2.IDA分析

在这里插入图片描述

查看主函数，函数的功能是读入一个4位的随机密码，再将我们输入的密码与随机生成数比较，相同就执行system
这里面的printf（）存在格式化字符串漏洞

1.利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",这样的字符串来找到我们输入的参数在函数栈上的位置，我看别的师傅叫首地址偏移或者偏移量

2.假设是在栈上第n位，那么可以利用 %n$ 定位到参数在栈上的位置

3.利用%n来修改参数里的内容，我们不知道读入的随机数是多少，那么我们将它改成我们写入的数据不就好了

首先我们要定位到我们输入的字符串在栈上的位置。

lwj@ubuntu:~/Desktop/pwn/fifth_space_pwn5$ ./pwn
your name:aaaa %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

==Microsoft==

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

[buuctf][第五空间2019 决赛]PWN5

逆向萌新的博客

06-19

629

[buuctf][第五空间2019 决赛]PWN5

[第五空间2019 决赛]PWN51解题

2301_81504456的博客

03-11

1406

主要格式化字符串漏洞利用，后面添加recvline及脚本编写说明仅为个人理解🌹🌹🌹（个人还是小白一枚）希望帮助理解，望大家多多指出错误及正确理解做法。

1 条评论您还未登录，请先登录后发表或查看评论

BUUCTF[[第五空间2019 决赛]PWN5]

最新发布

2501_92612816的博客

12-06

377

checksec发现开启了栈溢出和栈不可执行的保护用ida打开观察函数我们可以发现存在格式化字符串漏洞:我们可以实现读取和写入的操作我们可以通过构造包含(打印栈内存),(打印字符串地址内容)等格式符的输入，读取观察函数发现我们需要输入与dword_804C044中相同的字符串才可以获取权限但是此处的dword_804C044是随机的,我们无法获取,于是通过格式化字符串来写入到dword_804C044来让其为我们已知的内容来获取权限。

buuctf——[第五空间2019 决赛]PWN51 利用格式化字符串漏

2301_81505831的博客

03-15

751

首先，我们在终端上输入 ./pwn,然后利用AAAA %x %x %x %x %x %x %x %x %x %x %x %x %x的形式来计算偏移量：可以数出0x41414141是格式化字符串的第10个参数，之后只要修改dword_804c044的值，让输入和dword_804c044的值一样就可以了。打开靶机，下载文件，检查文件类型，可以看到是32位程序，开启了Canary保护，不能使用栈溢出。放进ida32位可以看到如下代码。最后的最后，附带一些参考博客。用gpt分析以上程序。最后我们便得出了代码。

BUUCTF-Pwn-[第五空间2019 决赛]PWN5

餐桌上的猫

02-15

577

题目截图检查文件信息这是一个32位的程序，开启了NX和Canary 用IDA打开查看找到来能getshell的代码反汇编查看主函数功能，程序将我们输入的passwd与存放在804c044地址的数进行比较，正确就可以getshell了，红框中存在格式化字符串漏洞，我们可以利用该漏洞重写804c044地址处的数据来getshell 测试我们输入的内容在栈中的位置，是第10个 exp from pwn import* r=remote('node4.buuoj.cn',28850) addr=

BUUCTF [第五空间2019 决赛]PWN5

红叶的博客

10-31

2117

输入探测格式化字符串的payload，AAAA-%x-%x-%x-%x-%x，A的ASCII码值为65（0x41），因此是图中选中的段。通过 fmtstr_payload 将 dword_804C044 的内容替换为0x1，而非随机数。因为我们已经知道偏移量了，可以使用pwntools的 fmtstr_payload 函数。但是这次是将 dword_804C044 修改为任意值，然后再次输入此值即可获取shell。或者还有一个，AAAA-%p-%p-%p-%p-%p-%p，32位64位通用。

BUUCTF [第五空间2019 决赛]PWN5 题解

qq_33348179的博客

11-25

617

总共四个所以分别是：0x0804C044 0x0804C045 0x0804C046 0x0804C047。运行，得到flag：flag{5943efac-d3f0-4660-89b7-a29ab1ee13d1}通过分析得到：程序随机4位数，让我们输入名字和密码密码和四位数符合就返回 /bin/sh。看到AAAA 对应的16进制 41414141 在第十个%x的位置。同时也能看到read的范围控制在数组范围之内看来栈溢出不能用了。用这个漏洞覆盖掉存储密码的地址使其变成确定的数。

BUUCTF PWN wp--[第五空间2019 决赛]PWN5

2302_81740139的博客

09-01

1143

在这个上下文中，%10$n表示写入的值将是printf的第10个参数，但由于p32(0x804C044)没有在printf调用中作为参数，它实际上利用了格式化字符串漏洞，将栈上的某个值写入到地址0x804C044。p32函数将32位整数转换为其小端序的字符串表示，这里转换的是地址0x804C044，这个地址应该是之前提到的全局变量dword_804C044的地址。这个变量似乎是一个全局变量，其地址是硬编码的（例如，在ELF文件中，地址可能是一个固定的地址）。如果之前的利用成功，这将提供一个shell。

【BUUCTF】[第五空间2019 决赛]PWN5

2201_75556700的博客

11-29

360

n是将输出的字符的个数写入到内存中，所以最后存在地址中的值是输出字节的数量值，比如AAAA%10$n，输出为4。所以当我们发送密码为'4'时，就使这个式子成立：atoi(nptr) == dword_804C044（4==4）从文件/dev/urandom中读取4个字节的数据到变量dword_804C044中。4、获取偏移地址，偏移地址为10（0x61为a的十六进制）2、下载文件在kali中分析，32位的文件，无壳。3、使用32位的ida分析，查看主函数f5反编译。中的字符串转换为整数。

BUUCTF-PWN题详解（[第五空间2019 决赛]PWN5）

2302_80325559的博客

11-28

1837

今天给大家带来的题用到了和之前不相同的方法，用到了格式化字符串。

buuctf之[第五空间2019 决赛]PWN5

weixin_54452942的博客

04-01

963

简单易懂~

BUUCTF - [第五空间2019 决赛]PWN5

Sakura给爷pwn全场

02-03

349

from pwn import * context(arch='i386',os='linux',log_level='debug',binary='pwn5') io=remote('node3.buuoj.cn',28518) elf=ELF('./pwn5') io.recvuntil('your name:') unk_addr=0x0804C044 payload=p32(unk_addr)+'%10$n' io.sendline(payload) io.recvuntil('your passw

[第五空间2019 决赛]PWN5

weixin_56301399的博客

07-21

1824

格式化字符串漏洞

【BUU】[第五空间2019 决赛]PWN5

bzduanlei的博客

07-31

634

一、前置知识 1、%n,不输出字符，但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数？运行程序后，在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。可以看到，AAAA对应的数值0x41414141在格式化字符串的第10个参数。二、解题思路 0x01 分析文件 0x02 拖入IDA 3

[BUUCTF]PWN——[第五空间2019 决赛]PWN5

BangSen1的博客

03-25

6841

[第五空间2019 决赛]PWN5 例行检查，32位，开启了canary保护和NX保护。运行一下。 IDA打开，看到了/bin/sh,但开启了保护查看主函数，函数的功能是读入一个4位的随机密码，再将我们输入的密码与随机生成数比较，相同就执行system 这里面的printf（）存在格式化字符串漏洞按我的理解就是输入的参数的个数是不固定的，是由前面的格式化字符串决定的，所以我们只要控制了前面的格式化字符串，再结合一些参数，后面输出什么就是由我们决定的；如： %d 用于读取10进制数值 %x

[BUUCTF-pwn]——[第五空间2019 决赛]PWN5

Y_peak的博客

02-21

478

[BUUCTF-pwn]——[第五空间2019 决赛]PWN5 题目地址：https://buuoj.cn/challenges#[第五空间2019%20决赛]PWN5 题目：这是一道格式化字符串的题，给大家讲解下 checksec一下看看，开启了canary保护，基本开启这个保护都会用到格式化字符串的漏洞。在IDA中利用pwndbg看看, 偏移是多少。 0xa也就是 10 思路利用格式化字符串漏洞, 修改unk_804C044的值, 并且输入相等的值 exploit from p

BUUCTF|PWN-[第五空间2019 决赛]PWN5-WP

l2645470582_的博客

01-10

1096

1.检查保护机制（1）开启了金丝雀和堆栈保护（2）该文件是32位的文件 2.用32位的IDA打开该文件（1）F12查看关键字符串（2）我们进入反编译代码看看，看到nptr=unk_804C044才能获取权限（3）unk_804C044有4个字节（4）printf(&buf);存在格式化字符串漏洞（5）kali运行该文件，用%p看出偏移量为10，利用%10$n定位到这个位置 payload构造 payload = p32(0x804C044...

buuctf pwn 第五空间决赛pwn5

09-28

buuctf pwn 第五空间决赛pwn5是一个CTF pwn题，它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞，利用这个漏洞可以读取或修改程序的内存中的数据，从而导致程序行为异常或者攻击者获取敏感信息。在...