axb_2019_fmt32 wp

最新推荐文章于 2025-03-23 23:08:34 发布
最新推荐文章于 2025-03-23 23:08:34 发布
阅读量515 收藏 1
点赞数 1
分类专栏: ctf wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/adsfnkldaws/article/details/117717424
版权
本文详细介绍了axb_2019_fmt32 CTF挑战中如何利用格式化字符串漏洞进行攻击。通过泄露libc地址,确定偏移量,最终找到system函数地址,实现对程序控制流的劫持。文章还讲解了如何构造payload来修改got表,以在调用strlen时执行system,从而完成攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

title: axb_2019_fmt32 wp
date: 2021-6-8 22:00:00
tags:

  • write up
  • format string
    comments: true
    categories:
  • ctf
  • pwn

临近期末考试了,终于可以光明正大地水博客了。

最近刚写上格式化字符串的漏洞,这不,他来了。这个题目我做过之后感觉难度还是有的,做出这一题至少对格式化字符串漏洞的利用是有一个较深的理解了的。它综合考察了ret2libc和格式化字符串的任意写,以及对got表的理解。

axb_2019_fmt32

下载文件,反汇编打开,再反编译main函数得到如下代码

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
   
  char s[257]; // [esp+Fh] [ebp-239h] BYREF
  char format[300]; // [esp+110h] [ebp-138h] BYREF
  unsigned int v5; // [esp+23Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  setbuf(stdout, 0);
  setbuf(stdin, 0);
  setbuf(stderr, 0);
  puts(
    "Hello,I am a computer Repeater updated.\n"
    "After a lot of machine learning,I know that the essence of man is a reread machine!");
  puts("So I'll answer whatever you say!");
  while ( 1 )
  {
   
    alarm(3u);
    memset(s, 0, sizeof(s));
    memset(format, 0, sizeof(format));
最低0.47元/天 解锁文章
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1648
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
buuctf习题pwn(51~60)
yw__y的博客
03-01 381
axb_2019_fmt32
z1r0的博客
12-20 247
axb_2019_fmt32 查看保护 可以改got的格式化漏洞 测试一下偏移为8,差一个字符,所以payload前面加一个a即可。泄露出libc改printf_got为one_gadget fmtstr_payload中num参数为已经输出的字符个数,这里是0xa; from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r
BUUCTF axb_2019_fmt32
最新发布
2401_85052854的博客
03-23 312
现在我来解释一下,numwritten指的是前面printf在fmtstr之前已经输入了多少个字符串,因为传入fromat是用sprintf来格式化输出,来写入format的,所以format里面有”Repeater:“这个字符串,加上前面我们为了更好的接收print_got表,还在payload前面多输入了一个‘a’所以在fmtstr之前输出了10个字符也就是0xa,所以要设置成0xa才可以正常拿到shell。“来分隔开,system里面会识别成“Repeater:/bin/sh”这样的命令,只有加上;
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 2061
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
BUUOJ PWN 61-80
2h4ox1n9
12-17 332
61\
CTF Blind pwn题型学习笔记
lifanxin的博客
08-31 2288
Blind pwn概述如何辨别漏洞类型逻辑漏洞盲打格式化字符串盲打原理阐述例题讲解axb_2019_fmt32栈溢出盲打堆盲打总结 概述   所谓Blind pwn,即是在无法获得二进制程序文件的情况下对题目进行漏洞利用。这篇博客主要是将见到过的盲打pwn题做一个总结,大概可以分为以下几类盲打pwn题:逻辑漏洞盲打、格式化字符串盲打、栈溢出盲打、堆盲打。 如何辨别漏洞类型   对于盲打题,首先第一步应该是判断属于哪种类型的盲打,判断的步骤也很简单,nc连上后,直接看程序提供的菜单功能。   一般来说,需要逻
图片Base64编码
2301_76620728的博客
06-16 7926
将图片base64进行编码。
[BUUCTF-pwn]——axb_2019_fmt32
Y_peak的博客
03-18 508
[BUUCTF-pwn]——axb_2019_fmt32 啊啊啊啊啊啊啊,为什么明明很简单的一道题写了好久 from pwn import * from LibcSearcher import LibcSearcher p = remote("node3.buuoj.cn",26515) elf = ELF("./axb_2019_fmt32") puts_got = elf.got["puts"] strlen_got = elf.got["strlen"] payload1 = "%9$s"
BUUCTF【axb_2019_fmt32
weixin_51055545的博客
04-25 2294
例行检查 是开 了部分relro,可以改写got表,然后栈不可执行不, IDA分析 很简单的一个程序,会先初始化一些后续要用到的栈空间,然后让我们输入,字节数大小会有限制,然后再对我们的输入做一个长度判断,长度符合的话就会调用printf()函数,存在格式化字符串漏洞,程序里没有system,binsh字符串,我们这里就要先leak出地址,然后返回system即可,观察程序不难发现,我们无法溢出去控制返回地址,然而我们可以去改 某一函数的got表地址为system,从而去get shell,通过分析,s
axb_2019_fmt32fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’))
weixin_61283545的博客
06-15 251
fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’) 第一个参数表示格式化字符串的偏移 第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT:systemAddress}; 第三个参数表示已经输出的字符个数 第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn
BUUCTF axb_2019_fmt32 & fmt64
zwb2603096342的博客
07-17 1586
格式化字符串漏洞,fmt32fmt64位
关于”axb_2019_fmt32“的记录
Probeginner的博客
12-03 174
格式化字符串漏洞的fmtstr_paylaod的初次使用
BUU第二页wp(除堆题)
2301_79525044的博客
03-15 365
可以看到,选择1后,会直接将我们的输入作为system的参数,所以直接传入cat flag即可,要注意使用||或&分割,不然会传入其他数据,导致命令无法执行。vuln函数中存在栈溢出,接下来就是ret2libc了。32位,开了canary,下载这个附件居然有病毒,离谱。gift中存在格式化字符串漏洞,可泄露canary。存在后门函数,直接栈溢出返回到后门函数即可。64位开启了NX保护和canary保护。存在栈溢出,典型的ret2libc。64位RELRO全开,开启了pie。直接写入shellcode即可。
BUU刷题(三)
playmaker的博客
03-13 1063
BUU刷题(三) fm from pwn import * context.log_level='debug' p=process('./fm') p=remote("node3.buuoj.cn","27782") payload=p32(0x0804a02c)+'%11$n' p.sendline(payload) p.interactive() others_shellcode 拿到题目直...
{"count": "AXB_MTWM_CALL_FINISH_RECORD_INFO", "query": {"result": "0", "baselineTime": {"$gte": 1740758400000, "$lt": 1740844800000}}}, 变成mongo查询语句
03-13
假设集合名称为 `AXB_MTWM_CALL_FINISH_RECORD_INFO`,查询条件如下所示: ```javascript { "result": "0", "baselineTime": { "$gte": ISODate("2025-01-28T00:00:00Z"), "$lt": ISODate("2025-01-29T00:00:00Z...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xi@0ji233

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值