【Pwn】SWPUCTF_2019_login

最新推荐文章于 2024-12-01 21:11:45 发布
原创 最新推荐文章于 2024-12-01 21:11:45 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细描述了在SWPUCTF_2019_login挑战中,如何利用程序内的格式化字符串漏洞,通过修改BSS段和栈上的数据,操纵Got表以实现getshell。尽管尝试使用onegadget覆盖puts未成功,但最终通过覆盖printf的Got表为system成功获取了shell。

例行查看程序保护。
在这里插入图片描述分析程序,最里面函数存在格式化字符串漏洞。但是格式化字符串不再栈上,而在bss段上,没办法直接任意地址读写,于是动态调试观察栈上数据。
在这里插入图片描述
观察到fff65158指向fff65168,fff65168指向fff65178。那么就可以修改fff65168的内容,然后再观察栈上还有什么有用数据,注意到fff65160和fff65164的值离got表很近,于是想到可以修改这两个地方的后两个字节,将其指向got表,然后进行got表内容覆盖来getshell。首先用格式化字符串漏洞将fff65168改为指向fff65160和fff65164。然后分别修改为printf的got地址0x804B014以及0x804B016,然后读到printf地址,计算libc地址,计算system地址,覆盖printf got表为system,然后就可以getshell了。

from pwn import *

io=remote('node3.buuoj.cn',25849)
io.sendline('ydh')

#得到栈地址
io.recvuntil('password:')
io.sendline('%6$p') #6->10  
io.recvuntil('wrong password: ')
change=(int(io.
最低0.47元/天 解锁文章
BUUCTF之“SWPUCTF_2019_login
Probeginner的博客
01-01 1258
格式化字符串在bss段上的情况:间接修改printf.got表为system,,, ebp对应的地址映射比较关键
WEB-2025 SWPU-NSSCTF部分题解
最新发布
2401_87876265的博客
09-28 753
除了限制 ‘.asp’,‘.aspx’,‘.php’,‘.jsp’ 以外 .php3、php4、.PHp(修改大小写)、.phtml、.pht等后缀 也都被限制列。如果.php后缀被限制,可以尝试:.php3、php4、.PHp(修改大小写)、.phtml、.pht等后缀,WebShell的内容一样。发现这个flag是假的,然后尝试用phpinfo,只需要在原来的一句话木马上修改一下就可以,之后就有一个新的文件,访问之后,就可以看到php代码,然后Ctrl+F查找flag就可以了。
SWPUCTF_2019_login
z1r0的博客
03-09 741
SWPUCTF_2019_login 查看保护 格式化字符串漏洞,但是s1和正常的栈上格式化不一样,这里是非栈上。 攻击思路:因为是非栈上,所以需要借助ebp这里的链子来实现将printf_got改为system_addr。 1.首先借助这个格式化漏洞拿到libc和ebp的地址。 2.接下来就是借助ebp这条链子将printf_got改到这个链子上,最后的结构为下图 用%6$hhn来修改%10$处的数据然后%10$hhn来修改%14$处的数据最后使得使得%14$处为printf的GOT表地址,同样的
BUU-SWPUCTF_2019_login
m0_46204503的博客
12-22 2306
非栈上格式化字符串漏洞 具体原理:由于不在栈上,所以我们可控数据没法写到栈上,也就没有办法变成printf的某个参数 例(buu-SWPUCTF_2019_login) 检查保护,没pie,got可被修改 IDA查看程序,存在格式化字符串漏洞 思路:由于不存在栈溢出,且没有给libc,那么我们的思路就有限了,修改printf的got 问题分析: 首先这是一道32位的非栈上格式化字符串漏洞,那么与普通格式化字符串漏洞相比较有什么区别呢? 首先栈信息泄露是相同的,但是找偏移的话较为不
bss上格式化字符串处理【buuoj】SWPUCTF_2019_login
weixin_46521144的博客
08-10 1308
这道题用了两种方法去做,一种是修改got表,零一种是修改返回值控制执行流。 IDA分析 很明显的格式化字符串漏洞,但是是在bss段上 总结一下32位格式化字符串在bss段上的处理方法就是:寻找一个类似ebp的栈上寄存器,如下图 通过修改这个ebp,可以修改上图0xffc78f38的值为想要的(记住:格式化字符串修改栈上指针指向区域的地址,因此是0xffc78f38)如果想要劫持got表,寻找下面80开头的数据(和got表比较相关)修改完后就可以变成下图这样 (思考一下为什么要这么写:因为一般的格式化字符
[CTF]BUUCTF-PWN-ciscn_2019_en_2
weixin_53394081的博客
04-11 468
【CTF】BUUCTF-ciscn_2019_en_2 pwn
BUUCTF Pwn ciscn_2019_c_1 题解
qq_33348179的博客
12-01 484
2.接下来找libc的版本 利用 libc地址 = 真实地址 - 偏移地址 得到system和binsh的地址。其中,用两次recvline()的原因是隔离掉 \n 和 ciphertext。puts_address的那一大串是用于接收地址 去掉结尾的\0 并且将长度补到。SHIFT+F12查看字符串 可以看到没有后门函数 这是一道ret2libc题。同时因为这是64位程序,函数参数用寄存器存储且第一个是 RDI寄存器。1.首先,构造payload1,得到puts的真实地址。ret用于64位栈平衡。
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1498
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
BUU_SWPUCTF_2019_login非栈上格式化字符串
qq_70452545的博客
04-21 374
对于栈上的格式化字符串可以通过直接将对应地址写入栈中,然后利用三链对任意写入地址修改,非栈上也就是不能直接写入,利用格式化字符串一样可以修改,只是要麻烦一点。
swpuctf2019 Login pwn详细题解
seaaseesa的博客
12-09 1863
Login 这是swpuctf2019的第二道pwn题,主要考点就是非栈上的字符串格式化漏洞利用。 首先,我们检查一下程序的保护机制 PIE和RELRO没有开启,那么我们可以轻易的利用漏洞修改GOT表 我们用IDA分析一下 在这里,有一个明显的格式化字符串漏洞,由于s1不是在栈上,而是在bss段里,所以漏洞利用起来会比栈上的字符串格式化漏洞稍微繁琐一些。由于外层是一个死循环,所以...
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
SWPU CTF题解
weixin_34255793的博客
12-22 540
本博客为西南石油大学(南充校区)CTF团队赛的题解 所有题目网址:http://47.106.87.69:9000/game 今天我是流泪狗狗头 解压后发现压缩包中是一个带有密码的图片,winhex分析二进制,发现文件数据区的全局加密为00 00,但压缩源文件目录区的全局方位标记为09 00,可知为伪加密,更改为00 00即可在解压出图片,再用notep...
swpuctf2019 p1KkHeap 详细题解
seaaseesa的博客
12-08 1606
p1KkHeap 这是swpuctf2019的一题,让我们来详细分析一下 本题的知识点:tcache bin,unsorted bin,malloc hook 首先,我们检查一下程序的保护机制,发现保护全开 然后,我们用IDA分析一下 最大允许创建0x100的堆,并且最多有8个堆 漏洞点在这里,free后,只把大小置为0,而没有把堆指针置为0,存在UAF漏洞 本题,del...
PWN学习之[Rookiss]-[simple login]
Magic1an的博客
08-19 843
文件下载下来后是个elf可执行文件 用IDA反编译后可以看到溢出点在auth函数中_BOOL4 __cdecl auth(int a1) { char v2; // [sp+14h] [bp-14h]@1 char *s2; // [sp+1Ch] [bp-Ch]@1 int v4; // [sp+20h] [bp-8h]@1 memcpy(&v4, &input, a1); s
[BUUCTF]PWN——[ZJCTF 2019]Login
mcmuyanga的博客
11-05 2219
[ZJCTF 2019]Login 附件 步骤: 例行检查,64位程序,开启了canary和nx保护 2. 试运行一下程序 3. 64位ida载入,检索字符串,在程序里找到了用户名admin和密码2jctf_pa5sw0rd 再次尝试登录,无果 在程序里找到了后门函数,backdoor=0x400e88 c++写的程序,看起来有点费劲,自己看了好久都找到漏洞在哪里,后来借鉴了其他师傅的wp后才发现了猫腻 问题出现在检查密码的那个函数上 反编译出来的伪代码看起来没什么问题 但是我们按下tab,
2023 ciscn国赛pwn lojin wp
cainiao78777的博客
05-29 2742
第一次参加国赛,被队友带飞了,pwn只做出来了四个,1381分,第16名,总体来说还可以在所有题目中,也是拿到了pwnlogin的一血话说回来,来详细说一下,这个pwn题的解法首先就是能看到这是个没附件的pwn题说明只能通过交互去得到信息,再寻找方向,连接之后应该就是这四个选项。
nssctf[SWPUCTF 2021 新生赛]jicao,[SWPUCTF 2021 新生赛]easy_md5
2301_80871705的博客
10-15 888
首先代码审计,用post方式传入一个id,它的值要为wllmNB,用get方法传入一个json,同时会对他进行json解码,解码后值为wllm,则输出flag。我们来了解一下json对象。json对象的值只能为:数字(整数或浮点数),字符串(要用双引号包裹),(true 或 false),数组(在方括号中),对象(在花括号中),null (空)。
[ZJCTF 2019]Login
、moddemod
07-03 995
exp from pwn import * context.log_level = 'debug' proc_name = './login' # p = process(proc_name) p = remote('node3.buuoj.cn', 29641) ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值