Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp

原创 已于 2023-04-04 09:31:26 修改 · 541 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #python #wp #网络安全 #信息安全

于 2022-03-04 12:11:41 首次发布
"本文详细介绍了如何利用程序中的格式化字符串漏洞来固定unk_804C044中的数据,从而在第二次输入特定值时触发getshell。首先确定偏移位为10,然后构造payload,通过`b"M%10$n"`配合p64(0x804C044)实现。最终输入1即可获得权限。整个过程揭示了栈保护机制下的漏洞利用技巧。"

[第五空间2019 决赛]PWN5

使用checksec查看:
在这里插入图片描述
开启了Canary和栈不可执行。

放进IDA中分析:
在这里插入图片描述

  • printf(&buf);:存在格式化字符串漏洞。
  • if ( atoi(&nptr) == unk_804C044 ) { puts("ok!!"); system("/bin/sh"); }:用户第二次输入的字符串和unk_804C044中的相同就可以拿到权限。
  • fd = open("/dev/urandom", 0); read(fd, &unk_804C044, 4u);unk_804C044中的数据是随机的,存在bss段上。

题目思路

  • 存在字符串格式化漏洞。
  • 可以通过字符串格式化漏洞将unk_804C044中的数据固定。
  • 第二次输入固定的值就可以getshell。

步骤解析

首先要确定偏移位

最低0.47元/天 解锁文章
[buuctf][第五空间2019 决赛]PWN5
逆向萌新的博客
06-19 619
[buuctf][第五空间2019 决赛]PWN5
BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 630
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
BUUCTF [第五空间2019 决赛]PWN5 wp
最新发布
AEJL叁的博客,欢迎关注!
09-17 900
显示 STACK CANARY 和 NX 开启,说明此题不可用简单直接的栈溢出来解决。(此题仅关注main函数即可,其他调用函数无直接提示)可以发现,main函数中存在指令的调用,向前分析 system 调用条件是输入的,但 dword_804C044 的内容是利用,并不固定,我们无法得知。不过main函数中出现了的调用,这是这一漏洞类型的关键标志:【printf函数的执行​:printf函数依据格式化字符串中的说明符(如%s、%d、%n)​从栈上按顺序获取参数。
BUUCTF Pwn [第五空间2019 决赛]PWN5
MrTreebook的博客
12-25 1112
BUUCTF Pwn [第五空间2019 决赛]PWN51.题目下载地址2.checksec2.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 开启了canary 没有PIE 2.IDA分析 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 1.利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",这样的字符串来找到我们输入
[第五空间2019 决赛]PWN5
m0_63253040的博客
09-13 479
表中允许进行插入、删除操作的一端称为栈顶。栈顶的当前位置是动态的,对栈顶当前位置的标记称为栈顶指针。栈的插入操作通常称为进栈或入栈,栈的删除操作通常称为退栈或出栈。numbwritten=0, 已经由printf写入的字节数。offset(=None), 第一个格式化程序的偏移量。padlen(=0), payload之前填充的字节数。numbwritten(=0), 已写入的字节数。offset, 第一个格式化程序的偏移量。pwntools – FmtStr类。,是一种只允许在表的一端进行。
writeUP-[第五空间2019 决赛]PWN5(待进一步完善待研究内容)-32位格式化字符串漏洞原理分析
weixin_52111404的博客
08-02 2749
通过PWN5一题尝试理解格式化字符串漏洞。
Buu CTF PWN ciscn_2019_c_1 WriteUp
m0sway的博客
03-03 751
Buu CTF PWN题ciscn_2019_c_1的WriteUp
BUU CTF PWN rip WriteUp
m0sway的博客
02-25 5255
BUU CTF PWN题rip的WriteUp
Buu CTF PWN jarvisoj_level0 WriteUp
m0sway的博客
03-02 461
Buu CTF PWN题jarvisoj_level0的WriteUp
BUUCTF-Pwn-[第五空间2019 决赛]PWN5
餐桌上的猫
02-15 573
题目截图 检查文件信息 这是一个32位的程序,开启了NX和Canary 用IDA打开查看找到来能getshell的代码 反汇编查看主函数功能,程序将我们输入的passwd与存放在804c044地址的数进行比较,正确就可以getshell了,红框中存在格式化字符串漏洞,我们可以利用该漏洞重写804c044地址处的数据来getshell 测试我们输入的内容在栈中的位置,是第10个 exp from pwn import* r=remote('node4.buuoj.cn',28850) addr=
BUUCTF [第五空间2019 决赛]PWN5
小白垃圾笔记2
04-27 708
先去atoi的plt表,然后plt表对应的got地址被我们改成system的plt表的地址了。system是第一次被执行,他首先去system的plt表,这个时候对应的got表里存放的是system的下一跳地址,他会去寻找system的地址,并且执行system。而plt表的下一跳就是got表,由于版本原因,并没有将atoi got表的地址改为system的got表,但是也是可以执行system的,因为我直接将他改为system在ida中的地址了。发现是把got表对那个的内容给改掉了。
BUUCTF的[第五空间2019 决赛]PWN5
frist_csdn的博客
02-26 232
使用IDA打开 可以看到明显的格式化字符串漏洞 ,它是在bss段0x804c044存储了一个随机数,然后通过最后比较输入的passwd和随机数是否一样,如果一样就打开/bin/sh命令。 我的思路是,通过格式化字符串漏洞泄露0x804c044的数据,然后把得到的数据作为有符号的整数的字符串输入给nptr,然后程序会用atoi把字符串转换为整型。 在pwndbg中对程序调试,发现输入的buf和esp差距为0x28,所以是第十个格式化参数。 from pwn import * p = r
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵,用户数据泄露等安全问题。在比赛中,参赛者需要学习ssti的原理和常见的攻击方法,并利用它来获取目标系统的flag。在比赛中,常见的ctf题目会提供一些模板注入的挑战,参赛者需要在给定的条件下,构造合适的payload来实现攻击目标。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [(wp)ctfweb-buu中ssti模板注入](https://blog.youkuaiyun.com/qq_51862722/article/details/118685275)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值