攻防世界(pwn)easyfmt

最新推荐文章于 2025-06-15 11:30:09 发布
最新推荐文章于 2025-06-15 11:30:09 发布
阅读量1.2k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn 格式化字符串漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/104605413

这题出的很奇怪,本地调试不知道为什么出问题,远程也调了很久才通,希望路过的大佬提出更好的思路和解题方式!

查看一下保护:
在这里插入图片描述

开了canary,NX,部分打开RELRO,没开PIE,可以尝试got表的覆盖。
这里不能有时候全信,还是要打开IDA自己分析才行。
在这里插入图片描述

可以看到有明显的格式化字符串漏洞,看看怎么利用他。
要运行到格式化字符串漏洞,我们必须完成一个判定,我们进入CheckIn函数看看。
在这里插入图片描述

CheckIn函数其实就是程序产生一个随机数,然后需要我们输入一个数字,程序检查我们输入的数字和随机数是否一样,一样便可以进入下一阶段。
随机数的范围不大,我们就直接爆破就没问题了。
这里我选择的是手动爆破,反正概率很高,你也可以写try…Except…来写一个自动爆破的函数。
这里选择输入1,一直运行就有几率成功。
好的,进入格式化字符串漏洞的重头戏,由于程序运行到一次就会exit(0),我们首先利用格式化字符串漏洞把exit函数的got地址改写了(注意不是got表里边的地址)。
我们首先查看一下偏移:
在这里插入图片描述

这里可以看到有两种方式,一种是工具提供的偏移为7,另一种是

最低0.47元/天 解锁文章

200万优质内容无限畅学
easyfmt(xctf)
weixin_43868725的博客
08-20 529
0x0 程序保护和流程 保护: 流程: main() 可以发现在if中存在格式化字符串漏洞。但需要通过CheckIn()的返回值决定是否执行if中的语句。 通过一个time()获取当前时间,并将当前时间当成srand()的seed,之后根据seed产生出的随机数对5取模再加48存放在v3[0]中,之后将输入的值跟v1进行比较返回结果。 0x1 利用过程 1.想要利用格式化字符串漏洞就必须绕过CheckIn()的限制,因为反汇编出来的源码可能会有一点问题,因此对汇编代码进行分析。 通过分析可知程序将随
2023-强网杯-【强网先锋-ez_fmt】
llovewuzhengzi的博客
12-23 1269
不如修改read的返回地址,此时由于read输入的buf的位置没变,但调用之前将要push的返回地址永远是在当前栈顶-8的位置,那么如果buf的位置在当前调用之前的栈顶的上面的,就可以实现修改read返回地址,由于此时是输入性质的,那么可以大改特改read的返回地址。而为了使得read的返回地址在buf的范围内。此时read的地址是在pop后面的,在栈上相应位置,而修改printf的返回地址为pop的地址只需修改低位字节即可。关于覆盖返回地址,我们可以修改main的返回地址或者printf的返回地址。
攻防世界easyfmt
needlebulb的博客
06-12 362
主要思路为猜对后利用格式化字符串漏洞改写exit的got地址变成main函数过checkIn函数判断后的地址,这样就可以让程序反复执行且跳过猜数环节,然后格式化泄露puts的got地址,找到libc偏移,得到system地址,第三次循环改写printf的got变为system地址,第四次循环read时写入/bin/sh,完成getshell...
CTF竞赛题目解析:PWN之“Easy_Stack_Overflow“入门教程
最新发布
2501_92452343的博客
06-15 601
今天我要分享一道非常适合PWN入门者的CTF题目——"Easy_Stack_Overflow"。返回地址可以指向shellcode所在的栈地址(如0xffffd100)- `name_buffer`只有64字节,但输入可以无限长。- 返回到系统函数(如system("/bin/sh"))- 使用危险的`gets()`函数,没有限制输入长度。- 使用安全的输入函数(如fgets)- libc.so.6(提供的libc库)- readme(提示:试试输入长字符串)- 使用不安全的`gets()`函数。
攻防世界PWN之easy_fmt题解
seaaseesa的博客
02-05 2853
Easyfmt 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 存在一个明显的格式化字符串漏洞,但是只能用一次,后面exit(0)会结束程序 CheckIn需要爆破 是一个随机数,且只有一位,我们直接输入2,成功率1/10 为了不让程序退出,多次利用printf,我们就得利用第一次的printf把exit的got表内容修改为0x400982,这样,我们就能一直处于...
pwn 网鼎杯 easyFMT
SsMing的博客
09-01 2142
作为一个菜狗子只能等大佬的writeup学习   才会做 easyFMT看名字就是到是格式化串洞,然后就是要确定存在格式化串洞的参数是第几个 确定为是print的第六个参数 大佬计算参数的脚本是: #!/usr/bin/python from pwn import * elf = ELF('./pwn') for i in xrange(1,100): p = proce...
[XCTF-pwn] 25_easyfmt
weixin_52640415的博客
03-08 533
格式化字符串漏洞,got.exit劫持,got.printf劫持 这题比上题要简单,先修改got.exit为main进入循环并漏洞libc地址,再将printf改为system,再输入/bin/sh int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[264]; // [rsp+10h] [rbp-110h] BYREF unsigned __int64 v4; // [r
wdb_2018_2nd_easyfmt
weixin_43904731的博客
12-14 655
wdb_2018_2nd_easyfmt(格式化字符串)
wdb_2018_2nd_easyfmt详解
像初雪一样自由洒落
04-25 2124
wdb_2018_2nd_easyfmt详解 自己做出来了,,,,还看其他人的 参考:wdb_2018_2nd_easyfmt 程序流程 程序流程非常简单,可以一直进行格式化字符串漏洞。 漏洞利用 首先通过格式化字符串泄露栈信息 通过格式化字符串修改printf_got表为system(one_gadget本地打通了,远程没有,,) 发送“/bin/sh\x00”, 详细过程 0.查看基本信息 32位程序,只开了nx winter@ubuntu:~/buu$ file wdb_2018_2nd_e.
[BUUCTF-pwn]——wdb_2018_2nd_easyfmt
Y_peak的博客
03-17 814
[BUUCTF-pwn]——wdb_2018_2nd_easyfmt 一个简单的格式化字符串利用问题 泄露出got表地址,找到libc基地址 寻找system的实际地址 将printf_got修改为system的地址 写入”/bin/sh" exploit from pwn import * from LibcSearcher import * context.log_level = "debug" p = remote('node3.buuoj.cn',25125) #p = process("./
详解2023强网杯ez_fmt
m0_73575406的博客
02-02 525
一道栈溢出题,需要掌握:格式化字符串漏洞,rop,对栈的理解。
格式化字符串漏洞的介绍
01-20
自己学习的时候做的一个ppt,是花了一些心血的,希望对别人能够有所帮助。主要是格式化字符串漏洞的一些介绍,还是挺详细的。
pwn远程打通本地打不通的“玄学“问题解释
fa1c4的blog
09-30 3032
前言 速刷buu pwn题的时候碰到的问题, 本来配置了16/18/20三个版本虚拟机, 加上pwndocker, 基本可以涵盖各个版本环境的需求, 不过做到一个栈的题的时候发现出现了本地打不通, 远程能通的情况, 本来以为是个人的玄学体质导致的玄学bug, 搜索了解释, 才发现是另一回事 问题 查看本地glibc环境, 结果选择正确的glibc版本, 依然打不通本地 解决 参考 https://blog.csdn.net/fjh1997/article/details/107695261 得知glib
BUUCTF(pwn)wdb_2018_2nd_easyfmt
半岛铁盒的博客
04-03 583
32位格式化字符串修改got表 做题思路 找到格式化字符的偏移量 打印print@got的地址,泄露libc,计算system的地址 将print@got修改成system,传入参数‘/bin/sh\0’ from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29087) elf=ELF('./1') printf_got=elf.got['printf'] payload1=p32(printf_got)+"%6$s"
记一次bugku awd的pwn
z1r0的博客
03-27 2413
今天闲得没事,随便逛逛的时候看到了bugku awd有战队开了房间,想着没什么事就报名玩了玩,不过pwn题还是很有意思的。 连上去发现是个堆题。。。再一看加固时间20分钟。。。。(瞬间无语住 直接在网上找题,结果发现网上都是2.23下的,这里笔者拿到的是2.27下的(再次瞬间无语住 没办法只好自己写exp了。拿到pwn附件就是一顿瞎分析,结果发现了upadte有堆溢出 再随便翻了翻发现还有一个uaf。 只不过没有show函数而已。 再看了一下保护 脑子里瞬间想好了攻击思路,申请到malloc_hoo
关于jarvisOJ level0远程打得通本地打不通的问题
fjh1997的博客
07-30 1310
今天给学弟演示最简单的pwn题的时候居然翻车了,没想到还是这个xmm寄存器的问题,我tcl,记录一下。 原来的exp是这样。 就是很简单的调用这个callsystem 结果本地打不通。 from pwn import* r=gdb.debug("./pwn_02","b* 0x00400597") #r=remote("52.82.121.166", 28068) #r=process("./pwn_02") pad=b'a'*0x88 add=p64(0x400596) payload=pa
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1452
buuctf pwn
PWN-PRACTICE-BUUCTF-1
P1umH0的博客
07-04 345
PWN-PRACTICE-BUUCTF-1
逆向PWN入门笔记1
墙角睡大觉的专栏
09-08 2986
PWN解题思路:     1.确定防御机制     2.确定溢出点,确认栈结构     3.确定攻击方式,写shellcode 安全保护机制:     1.ASLR(PIE)         一般情况下NX(Windows平台上称其为DEP)和地址空间分布随机化(ASLR)会同时工作。内存地址随机化机制(address space layout randomization),有以下三种情况   ...
攻防世界pwn pwn-100
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值