BUUCTF之“ciscn_2019_sw_1”

最新推荐文章于 2023-09-22 15:39:55 发布

原创

最新推荐文章于 2023-09-22 15:39:55 发布 · 1k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#pwn

本文探讨了一次实战中如何通过巧妙利用格式化字符串漏洞，结合程序执行流程，将printf函数地址改写为system，从而绕过保护机制获取shell。作者分享了payload构造细节和理解过程，包括对fini_array和printf_got地址的精确调整，以及对'-'操作符在地址计算中的应用。

格式化字符串结合程序执行，更深入理解的一次实践.

本题只有一次格式华字符串漏洞利用机会且写入字节有限，题目保护：在这里插入图片描述
只开了NX，我们考虑利用任意写将printf函数地址改为system，但是少了一个“/bin/sh\x00”
根据函数正常的执行流，函数执行前会调用init类初始化函数，执行后会调用fini.array[]数组里地址对应函数。所以如果我们将其改为main函数，那么可以再次输入参数“/bin/sh\x00”拿到shell，在这里插入图片描述
现在问题是怎么改：
我发现一种好理解的方式
我们先看wp1：

from pwn import *

sh = remote('node4.buuoj.cn',27731)

payload = b"%2052c%13$hn%31692c%14$hn%356c%15$hn" + p32(0x804989c + 2) + p32

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Hvf0x

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
5
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

[BUUCTF-pwn]——ciscn_2019_sw_1

Y_peak的博客

04-03

666

[BUUCTF-pwn]——ciscn_2019_sw_1 一个简单的格式化字符串，相信大家看到旁边的system和格式化字符串漏洞，想的一定是利用格式化字符串漏洞将printf_got表修改system_plt表，然后使其循环调用main第二次输入’/bin/sh’就好可能唯一需要说一下的就是，程序结束时会调用_fini_array指向的函数指针，所以我们将其修改为mian就会循环调用了算下偏移，一看就是4 exploit from pwn import * p = remote("no

ciscn_2019_sw_1（fmt劫持fini_array为main，获得一次循环）

m0_51251108的博客

11-13

738

ciscn_2019_sw_1：主要参考这位师傅：https://www.cnblogs.com/LynneHuan/p/14660529.html#%E7%9F%A5%E8%AF%86%E7%82%B9 先引用下：当RELRO保护为NO RELRO的时候，init.array、fini.array、got.plt均可读可写；为PARTIAL RELRO的时候，ini.array、fini.array可读不可写，got.plt可读可写；为FULL RELRO时，init.array

5 条评论您还未登录，请先登录后发表或查看评论

5 条评论

adfglukaghwrilrb32 2022.10.31
wp1那里是 356=0x8534-0x83d0

安度余生 2022.10.31
师傅 wp1 中字符长度为什么是32呀
- adfglukaghwrilrb32回复安度余生 2022.10.31
  直接数就行

glibc2.27堆上ORW

tbsqigongzi的博客

10-16

458

ciscn_2019_sw_10

ciscn_2019_sw_1

doudoudedi

04-16

675

思路通过格式化字符串是程序无限循环(__do_global_dtors_aux_fini_array_entry内存的地址写成main函数地址) 我们是通过libc_start_main调用main函数不管是在man函数调用前后都会调用fini函数的指针所以只要将其写坏即可然后将print_got表写成system即可拿到shell exp: from pwn import * #p=proce...

【BUUCTFPWN】ciscn_2019_ne_5

m0_55368674的博客

01-15

347

【BUUCTFPWN】ciscn_2019_ne_5

BUUCTF-PWN刷题记录-22

weixin_44145820的博客

05-18

813

目录ciscn_2019_n_2（double free） ciscn_2019_n_2（double free） delete的时候有一个double free漏洞利用思路：先用一个double free把0x602060（chunklist）申请出来，这样我们就能先修改里面的指针了，先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con

BUUCTF-PWN刷题记录-12

weixin_44145820的博客

04-23

866

ciscn_2019_sw_1 一道思路比较独特的格式化字符串漏洞题目 main函数中只有一次利用漏洞的机会有system的got表项一个可行思路是把printf的GOT改为system@plt，然后输入/bin/sh，但是考虑到只有一次机会就比较困难所以我们需要一个能让main多次执行的办法这时我们只要把main的地址填入finit_array就能无限循环main函数了简单介绍一...

ciscn_2019_sw_1 Writeup

Calllin的博客

05-11

593

前提 RELRO防御策略是当RELRO保护：为NO RELRO的时候，init.array、fini.array、got.plt均可读可写为PARTIAL RELRO的时候，ini.array、fini.array可读不可写，got.plt可读可写为FULL RELRO时，init.array、fini.array、got.plt均可读不可写。 linux程序运行时：在加载的时候，会依次调用init.array数组中的每一个函数指针在结束的时候，依次调用fini.array中的每一个函数

ciscn_2019_sw_1（fmt改fini_array无限循环）

wuyvle的博客

04-30

1844

很明显的格式化漏洞，但是printf只能用一次我们可以修改fini_array 简单地说，在main函数前会调用.init段代码和.init_array段的函数数组中每一个函数指针。同样的，main函数结束后也会调用.fini段代码和.fini._arrary段的函数数组中的每一个函数指针。而我们的目标就是修改.fini_array数组的第一个元素为start或者main函数地址。需要注意的是，这个数组的内容在再次从start开始执行后又会被修改，且程序可读取的字节数有限，因此需要一次性修改两个地址并且

Ciscn_2019_sw1＜fini_array＞

m0_55906008的博客

09-22

264

在执行main函数之前会调用init_array里的函数，在执行完main函数之后调用fini_array里的函数，因此这道题思路为通过第一次printf劫持printf的got表为system的函数地址，劫持fini_addr为main函数的地址，第二次输入"/bin/sh\x00"，当执行到printf(“/bin/sh\x00”)时，由于劫持为system函数，因此执行system(“/bin/sh\x00”)，拿到shell。

ciscn_2019_s_1

doudoudedi

06-29

857

思路通过off by null写key值然后unlink写bss段再次double free写free_hook即可拿到shell exp: from pwn import * #p=process('./ciscn_s_1') p=remote('node3.buuoj.cn',26429) elf=ELF('./ciscn_s_1') libc=elf.libc def add(idx,size,data): p.sendlineafter('show','1') p.sendlineafte

BUUCTF-CISCN-华东北赛区Web-XSS

迷风小白

09-11

4877

XSS 拿到题目出现如下界面随便点击测试一下，发现需要注册登录，随即注册一个用户登录(admin用户不能注册）发现有投稿和反馈这两个页面可以操作结合标题再看看这两个页面，投稿页面是用来放XSS的，然后在反馈给管理员这样我们就能拿到管理员的cookie，因为这里是内网环境，所以只能去 http://xss.buuoj.cn 注册账号来接收cookie。经过测试发现提交的内容部分会被转义...

BUUCTF ciscn_2019_c_1

、moddemod

06-01

1419

跑一下程序，大致流程是到现在程序就基本分析完成，接下来需要构造rop泄露libc地址然后利用system等函数获得shell 我们首先要获得libc的基地址，可以通过puts函数入手，这里解释一下为什么通过puts函数而不通过其他函数，因为puts函数在我们进入encrypt函数之前已经调用了很多次了，对于每一个动态链接而言，第一次调用完成以后，就修正了.got表中的对应的puts函数的地址，所以我们可以通过puts函数泄露。 from pwn import * from LibcSearc.

BUUCTF ciscn_2019_es_1

doudoudedi

01-04

999

我本地直接用fastbin attack直接能打通但是远程似乎有问题思路首先申请一个smallbin大小的trunk然后释放打印得到libc基址,然后double free打fastbin attack之后写到libc去__malloc_hook写入one_gadget再次add获取shell 以下为ubuntu16的环境下本地也就是libc-2.23 exp: #!/usr/bin/pyth...

BUUCTF ciscn_2019_n_1

RookieMOR的博客

05-14

823

1.下载文件，用checksec一下： 2.用IDA64查看，进入func函数：当v2=11.28125时获得flag，但只有v1的输入，没有v2输入。因为有一个gets函数，点击v1，v2可以知道，v1与v2差44个字节，可以通过输入v1的值去改变v2的值，实现栈溢出。查看汇编可以看到有一个uconiss的比较指令，把xmm0与cs:dword_4007F4，由movss可以知道xmme0是v1或v2的值，那么点击dword_4007F4 看到一个 dd ，百度一下可以知道，.

从BUUCTF之ciscn_2019_s_3简单实践SROP和通用gadget+execve系统调用

Probeginner的博客

11-27

810

from os import system from pwn import* from LibcSearcher import* #context.log_level='debug' p=remote('node4.buuoj.cn',27422) elf= ELF('./pwn') write_plt = elf.plt['write'] write_got = elf.got['write'] payload1 = '\x00' + '\xff'*7 p.sendline(payload1) p.rec

[buuctf]ciscn_2019_s_9

逆向萌新的博客

07-15

1185

[buuctf]ciscn_2019_s_9

RC_MAP_OFFB_SW是啥