【PWN · 格式化字符串|劫持fini_array|劫持got表】[CISCN 2019西南]PWN1

最新推荐文章于 2024-07-24 15:11:22 发布
最新推荐文章于 2024-07-24 15:11:22 发布
阅读量2.3k 收藏 30
点赞数 26
分类专栏: 格式化字符串漏洞 文章标签: pwn ctf 格式化字符串漏洞 劫持got表 劫持fini_array
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mr_Fmnwon/article/details/135757524
版权

格式化字符串的经典利用:劫持got表。但是遇到漏洞点只能执行一次的情况,该怎么办?

前言

如果存在格式化字符串,保护机制开的不健全,通常可以劫持got表,构造后门函数。然而,如果不存在循环、栈溢出控制rop等方式,如果格式化字符串漏洞点正常来说只能执行一次,getshell是比较困难的。

不过,linux下的二进制程序,在最后退出时,总会执行一些清扫函数,其中涉及到了fini_array这个数据结构。

一、fini_array

网上有很多优质博客,具体原理还是各位佬讲的清楚详细(注意静态链接和动态链接的区别):

通过利用fini_array部署并启动ROP攻击 | TaQini-优快云博客

简单来说,fini_array数组存放了函数指针,在退出时,会进行调用。 

因此,面临用户代码区域中之后一次漏洞机会时,可以通过劫持fini_array来实现二次利用。

二、题目

最低0.47元/天 解锁文章
pwn——ciscn_2019_n_1#pwn1_sctf_2016#jarvisoj_level0
LSYZWF的博客
10-26 678
文章目录ciscn_2019_n_1题目解答 ciscn_2019_n_1 题目 题目链接:https://buuoj.cn/challenges#ciscn_2019_n_1 解答 1、打开IDA进行分析 发现函数gets和系统命令cat 此函数的大致意思是输入v1的值,然后判断v2,故存在栈溢出使得v2的内存中的值为11.28125 2、判断偏移地址 v2的内存地址距离v1首地址的偏移量是30h-04h=2ch 3、gdb调试一波 没有堆栈溢出保护 4、编写脚本 11.28125的十六进制可以在I
__fini_array劫持
qq_36495104的博客
08-30 1185
17-x64静态编译程序的fini_array劫持 参考 pwnable.tw新手向write up(二) 3×17-x64静态编译程序的fini_array劫持 pwnable.tw 3x17 1 劫持fini_array,循环写 劫持fini_array[1]为main函数地址,fini_array[0]为__libc_csu_fini,将长度为18的任意地址写升级为长度无限制的任意地址写 2 栈迁移,构造ROP chain 在0x4b40f0+0x10地址处构造ROP chain ROP ch
CTFciscn_2019_n_1pwn1_sctf_2016--栈溢出
网络安全从业者的学习笔记
04-14 640
BUUICTFciscn_2019_n_1pwn1_sctf_2016--栈溢出类型解题思路
CISCN 2019西南 PWN1 之.fini_array利用
qq_60209620的博客
04-11 518
数组中存在一些函数指针,程序在退出时,会调用这些指针,所以我们可以修改数组内容,可以达到控制程序的执行流。本题主要是因为我们只能执行一次格式化字符串,,没办法在一次执行中拿到shell,所以可以利用劫持数组,使程序再次执行main函数。用查看。
BUUCTF pwn——ciscn_2019_n_1
CNS-Enterprise BCC-1701-J
03-11 377
BUUCTF 做题练习
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 730
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
PWN · 格式化字符串|劫持GOT】[watevrCTF 2019]Voting Machine 2]
Mr_Fmnwon的博客
01-18 757
和以往不同的是,格式化字符产参数没有对齐,有两个字节的偏移需要自己填充或者交给fmtstr_payload的参数进行构造。可以通过后门函数获得flag或者getshell获得flag存在两个字节的偏移,fmtstr_payload的各个参数含义要好好掌握。
栈上的格式化字符串漏洞【超详细,七种利用】(pwn入门)
2402_83422357的博客
05-24 2500
格式化字符串漏洞由于目前编译器的默认禁止敏感格式控制符,而且容易通过代码审计中发现,所以此类漏洞现在已经极少出现了。所以格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTFpwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。格式化字符串漏洞最早被Tymm Twillman在1999年发现,当时并未引起重视。
Pwn_格式化字符串漏洞_fmtstr1
技术交流
04-29 464
ctf-pwn-练习题
【Web狗自虐系列2】Pwn入门之格式化字符串漏洞
就这样吧
07-24 1135
格式化字符串(Fromat String):在编码过程中,允许编码人员通过特殊的占位符,将相关对应的信息整合或提取的规则字符串格式化字符串包括格式化输入和格式化输出 以printf()为例,第一个参数就是格式化字符串:“字符串 %s, 整数 %d, 浮点数 %f”,然后printf函数会根据这个格式化字符串来解析对应的其他参数%d /// 十进制-输出十进制整数%s /// 字符串-从内存中读取字符串%lx /// 十六进制-输出十六进制数。
[每日一PWN]BUUCTF ciscn_2019_n_1
qq_55233040的博客
11-21 620
这道题双解,一种ret2text,另一种就是单纯的覆盖数据改变判断结果。
[BUUCTF]PWN------ciscn_2019_n_1
BangSen1的博客
01-16 335
ciscn_2019_n_1 例行检查,64bit,NX保护开启 运行一下,没有信息 64位IDA打开,看到了cat flag ,跟进瞧瞧 函数显示 ,当v2等于11.28125时,得到flag,但要求 我们输入的是v1,所以我们只有把v1和v2 之间全部填满之后紧接着写入11.28125即可。 我们可以看到这两个之间的大小为0x2C 再将11.28125转换为内存中的16进制,结果为 0x41348000 摘自 exp 得到FLAG ...
以题目:ciscn_2019_n_1来详细学习dbg和pwntools
WdIg-2023的博客
01-21 1530
我们在做Linux平台下的pwn题目的时候,调试是必不可少的一步,在调试的过程中找到漏洞并用pwntools写出攻击脚本。
pwn学习】GOT劫持
Morphy_Amo的博客
12-15 4234
文章目录例题GOT劫持获取Syscallopen-read-write利用系统调用号调用open构造payload获取syscall读取flag文件exp 例题 例题:XCTF-008-Recho 查看安全策略 root@kali:~/ctf/xctf/pwn# checksec 008_Recho [*] '/root/ctf/xctf/pwn/008_Recho' Arch: amd64-64-little RELRO: Partial RELRO Stac
[BUUCTF]pwn栏目 ciscn_2019_n_1的题解和小疑问,欢迎讨论(0x01)
XDiku的博客
11-03 304
[BUUCTF]pwn栏目 ciscn_2019_n_1的题解和小疑问,欢迎讨论(0x01)
(格式化字符串漏洞).fini.array劫持,使程序流程循环进行
半岛铁盒的博客
04-04 984
用gdb调试main函数的时候,不难发现main的返回地址是__libc_start_main也就是说main并不是程序真正开始的地方,__libc_start_main的执行是在main的前面。 可以发现__libc_start_main函数的参数中,有3个是函数指针: 其中__libc_csu_fini是在main执行完毕后执行的 简单地说,在main函数后会调用.init段代码和.init_array段的函数数组中每一个函 数指针。而我们的目标就是修改.fini_array数组的第一个元素为star
2021_09_15_ciscn_2019_n_1
m0_51187558的博客
09-15 2931
ciscn_2019_n_1 前言 每日一题pwn方向的第二题。也是初入漏洞利用的一道特别基础的题。 大家都应该尝试着做过了上一道,也就是test your nc。从解法来说其实那道题的难度真的只是半脚踩在入门的门坎上。就像wp中所说的那样,目前pwn题的核心是通过漏洞挖掘与利用来提权,而nc这道题可以说是不需要任何漏洞的挖掘与利用,做出这道题并不代你已经入门pwn了。 虽然如此,从ciscn_2019_n_1这道题开始,我们真正要开始尝试迈过pwn题的那一道门槛,面对一些简单的漏洞进行利用了。 做题流程
64位静态编译程序的fini_array劫持及ROP攻击
Vantler的博客
03-02 578
详解64位静态编译程序的fini_array劫持及ROP攻击:https://www.freebuf.com/articles/system/226003.html 如果劫持后可实现可控函数循环执行的目的,那是不是可以用来安装持续监听的后门? ...
【八芒星计划】静态编译劫持fini_array
carol2358的博客
09-05 533
引用: https://www.freebuf.com/articles/system/226003.html https://bbs.pediy.com/thread-259298.htm 文章目录前言一、Memory Monster II总结 前言 直接先说使用方法: fini_array[1]放想要调用的地址addrA,fini_array[0]放__libc_csu_fini的地址,就可以无限调用addrA 也可以用来栈迁移 fini_array[0]放leave,ret,fini_array
pwn 格式化字符串
最新发布
01-12
### PWN格式化字符串漏洞利用 #### 背景与原理 格式化字符串漏洞PWN题常见考点之一,主要源于程序使用了用户可控的格式化字符串作为参数传递给`printf`、`sprintf`、`fprintf`等C库中的打印函数[^1]。这种情况下攻击者可以通过精心构造输入来读取或修改内存数据。 #### 利用方式 在CTF竞赛中,格式化字符串漏洞常用于: - **泄露信息**:通过控制格式化字符串参数,可以泄漏栈上的内容或其他敏感信息。 ```python payload = "%x " * 20 # 泄露多个寄存器/内存位置的内容 ``` - **覆盖特定地址的数据**:结合`%n`操作符可实现对指定内存位置写入数值的功能,进而可能改写重要指针(如GOT项),最终达到执行任意代码的目的[^2]。 ```python from pwn import * one_gadget = ... # 假设已知的一个gadget地址 stack_addr = ... # 需要被覆写的堆栈地址 payload = (b"%{}c%13$hn".format(one_gadget & 0xffff).encode() .ljust(0x28, b'\x00') + pack(stack_addr)) ``` 上述Python脚本展示了如何构建payload以完成一次简单的格式化字符串攻击,其中`one_gadget`代目标进程中某个有用的ROP gadget偏移量,而`stack_addr`则是计划篡改的目标地址[^4]。 #### 编程实践建议 为了避免此类安全风险,在编写涉及格式化输出的应用时应遵循良好习惯,例如总是显式声明所需转换说明而非依赖默认行为,并严格验证所有来自外部源的数据[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值