BUUCTF之“xman_2019_format”之特殊剧情:当格式化字符串遇上堆

最新推荐文章于 2023-07-07 11:33:27 发布
原创 最新推荐文章于 2023-07-07 11:33:27 发布 · 591 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文介绍了一种利用格式化漏洞的方法,通过修改EIP指向后门函数来触发特定行为。利用%n技巧修改指定地址,结合IDA分析确定后门函数地址,最终实现远程控制目标程序。

本题跟之前不一样的是,不是利用格式化任意写:去修改任意地址(包括函数got.plt)
的地址从而达到“鸠占鹊巢”间接调用,这里是修改eip去执行后门函数。主要可能是存在后门函数的原因,所以修改eip指向后门函数。

分析题目得出判断:我们要修改eip指向后门函数
在这里插入图片描述
程序给了两处格式化漏洞利用的机会。
前面虽然字符串漏洞被首先输入存入的是buff指向的堆空间,但是当调用函数的时候,其作为函数的参数,充当局部变量也会被放入栈中,我们在上图中的printf函数下个断点,并查看stack:在这里插入图片描述
虽然栈随着地址空间随机化,会变,但是我们发现本题程序的架构没有那么复杂,多次执行后发现“ebp”下方的(我们需要将在此修改为后门函数地址)地址总是倒数第二位在变就是1c啊2c啊3c啊上面的,我们可以假设一种情况这里假设位3c,多次执行后,满足3c条件就可以出结果。

这里还得注意:我们利用%n去实现修改数据,得仔细思考其定义再实现利用:
%s与%n都是利用栈上存的数据当做参数,不是栈前边的地址为参数
下面结合上图解释:
这里就是利用%hhn先修改0xffffd1880xffffd13c,再看偏移18处:修改成功后:利用%18hn修改的就是bep下方的0x804864b了,观察IDA上.text发现(函数或者指令)一般都是0x8048打头所以我们利用0xffff截

最低0.47元/天 解锁文章
[BUUCTF-pwn]——xman_2019_format
Y_peak的博客
03-30 693
[BUUCTF-pwn]——xman_2019_format 本小白终于想明白了, 第一个写出来这道题的人, 好厉害感觉. 脑袋嗡嗡的, 这道题让我想了一个上午竟然, 果然适当睡眠有助于思考, 睡一觉就想出来了. 也看过几个题解不过,虽然解法相同,但是基本都木有将清楚, 每一步的原因是什么都木有说清楚. peak不才, 在这里试着详细说明一下, 毕竟想了一个上午的东西,还是有必要好好总结一下的 . peak小知识 ALSR : 你们肯定都知道,不就是地址随机化嘛有什么, 但是这道题如果你们不清楚具体的原理
[BUUCTF]PWN——xman_2019_format(上的fmt+爆破栈)
mcmuyanga的博客
03-22 771
xman_2019_format 例行检查,32位程序,开启了nx 检索程序里的字符串,发现了后门函数,back_doorr=0x80485AB 这题buf并不存储在栈上,而是在malloc申请的上 之后buf作为参数,进入到sub_80485C4 由于存在后门函数,可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符串漏洞,一般需要先泄露栈地址,然后计算偏移,但是这里没办法这么利用,因为这里的s存放在chunk上,不在
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink)
weixin_51055545的博客
01-18 1363
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink) 例行检查 64位,保护机制全开,IDA中分析 漏洞分析 此处edit()函数中会多写入\x00字节,导致溢出一个\x00字节,存在of by null 漏洞,add()中限制了我们申请块的大小,只能申请大于0x80的块 利用思路 1.利用格式化字符串漏洞泄露出程序基地址和libc基地址 2.利用unlink,通过unlink修改chunk0的内存地址为free_hook地址,再次edit0号块,覆写为s
上的格式化字符串漏洞
qq_36495104的博客
05-27 1306
上构造栈帧,然后将栈迁移到上, 栈帧如下 system_addr bbbb binsh_addr
xman_2019_format
m0_73756460的博客
03-21 170
buu刷题 xman_2019_format 【write up】
BUUCTF-PWN刷题记录-18(格式化字符串漏洞
weixin_44145820的博客
05-08 2063
目录xman_2019_format字符串位于上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format字符串位于上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
CTF pwn题之格式化字符串漏洞详解
热门推荐
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
BUUCTF【PicoCTF_2018_echo_back】(格式化字符串)
weixin_51055545的博客
04-26 526
文章目录PicoCTF_2018_echo_back例行检查:IDA分析:exp: PicoCTF_2018_echo_back 例行检查: 开了部分relro,没开pie, IDA分析: 函数主逻辑在vul()函数中: 先打印出一句话,然后让我们输入,大小控制在0x7f,然后很明显一个格式化字符串,然后下边直接puts完后,程序结束. 程序中存在system,并且没开pie,这里我们考虑直接改got表,我选择的是改printf()_got为system_plt,下边程序直接结束了,这里我们没办法去输入
BUUCTF(pwn)jarvisoj_fm --格式化字符串漏洞
半岛铁盒的博客
08-05 524
简单的格式化字符串漏洞题目 32位,开启了canary和nx保护 知道以上条件就可以计算偏移了 得到偏移为11 from pwn import * r=remote('node3.buuoj.cn',25582) x_addr=0x804A02C payload=p32(x_addr)+"%11$n" r.sendline(payload) r.interactive() payload=p32(x_addr)+"%11$n" 因为要使x的值为4,写入的数据由%11$n前面的参数的长度决定,
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 2238
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
[第五空间2019 决赛]PWN5-BUUCTF-格式化字符串
yuqie的博客
07-07 414
第一眼就看到了'system',看一下条件,这里的atoi函数指的是把字符串转换成整数,而'nptr'就是输入的'passwd',再看看另外一个'dword_804C044'表示这个'0x804C044'地址,那意思就是如果输入的'passwd'的值与'dword_804C044'相等就行了,那就改写一下'0x804C044'的值。'指向的内存位置中。这个表示从上面的文件中读取4个字节的字符,并将读取的数据存储到。有canary,栈溢出无望。数了一下,偏移量为10。
[BUUCTF]PWN——mrctf2020_easy_equation(格式化字符串
mcmuyanga的博客
01-28 1345
mrctf2020_easy_equation 附件 步骤 例行检查,64位程序,只开启了nx保护 本地试运行一下,看看大概的情况,%p,那边,明显的格式化字符串漏洞 64位ida载入 只要满足第8行的条件即可获取shell,python算一下得到结果是2 所以这题是用格式化字符串漏洞,将judge上的值修改称即可 利用过程 确定偏移量,补了一个b之后偏移是8 由于64位传参,肯定存在被/x00截断的情况,所以我动调看了一下 我们要做的是将judge里的值修改成2,一开始我是这样写的,pa
BUUCTF--pwn--[第五空间2019 决赛]PWN5【格式化字符串
qq_73149934的博客
12-10 993
BUUCTF--pwn--[第五空间2019 决赛]PWN5
[BUUCTF]PWN——axb_2019_heap(格式化字符串,off-by-one,unlink)
mcmuyanga的博客
01-26 1005
axb_2019_heap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的题的菜单 64位ida载入 main() banner()
BUUCTF|PWN-ciscn_2019_n_8-WP(格式化字符串漏洞)
l2645470582_的博客
01-11 2375
1.检查保护机制 (1)保护全开 2.运行看一下 3.我们用32位的IDA打开该文件 (1)Ctrl+F12查看关键字符串 (2)查看反编译代码 (3)条件满足var[13]!=0 &&var[13] ==17,才能拿到权限 (4)var[13]位置在第十四个上 payload构造 第一种: payload = b'a'*13*4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节 ...
buuctf pwn wp(第四波)格式化字符串漏洞系列
月阴荒的博客
04-04 3434
这里是一个总的分类,一个类型的第一道题目会详细介绍,后面的类型相同的会简略介绍(不过这是第一波,都是最简单的,原理可以看我前面的文章,后面难一点的题目我再讲原理。) 这一波题都是无脑AAAA的类型,它们的区别主要就是打入多少个填充字符A的区别,(还有接受到什么字符串的区别),反正都是最简单的一类题。 另外声明,脚本有些来自于网络上,但是我做了有一会儿了(这篇文章是我把当初做了时的记录素材拿过来做的...
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值