pwn-Format String之hijack GOT

最新推荐文章于 2023-05-11 08:51:51 发布
最新推荐文章于 2023-05-11 08:51:51 发布
阅读量451 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: PWN 文章标签: c语言 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hacker_zrq/article/details/120631130
这篇博客介绍了如何利用CTF题目中的Format String漏洞,详细步骤包括:检查程序安全性、分析程序逻辑、计算puts@got的偏移、泄露puts地址、获取system地址、修改puts@got并利用show_dir调用system执行命令。通过fmtstr_payload函数实现payload构造。

题目来源:ctf-wiki的hijack GOT。

例子 - CTF Wiki (ctf-wiki.org)

CTF上的wp有点简洁,复现的时候遇到很多小问题,在这里记录一下。

 ①、checksec和IDA

程序的主干代码:没必要一次性看完,下面我们一点一点分析
//main
int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  signed int v3; // eax
  char s1; // [esp+14h] [ebp-2Ch]
  int v5; // [esp+3Ch] [ebp-4h]

  setbuf(stdout, 0);
  ask_username(&s1);
  ask_password(&s1);
  while ( 1 )
  {
    while ( 1 )
    {
      print_prompt();
      v
了解本专栏 订阅专栏 解锁全文 超级会员免费看
栈溢出学习(四)之Hijack GOT
Pz_mstr's Blog
03-27 1746
前言 栈溢出学习(四),讲述Hijack GOT的基本原理及其利用ROPchain实现Hijack GOT的方法 系列文章 栈溢出学习(一) 栈溢出学习(二) 栈溢出学习(三)之简单ROP 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include &lt...
“攻防世界”pwnformat2
qq_42728977的博客
12-11 567
原理: 栈溢出、后门 环境: ubuntu14 工具: pwntools 、IDA 步骤: 查看程序的基本信息: 可以看出程序是32位,斌开了canary和nx 在IDA进行分析查看 看到程序并没有canary的压栈,我当时很奇怪为什么,让你后又看了几个函数,发现也没有,后来看大佬的 WP说是部分函数有,这里的canary是个迷惑。这没有canary就方便很多了。 一点一点看,发现这就是一个...
Pwn_10 Format String Attack
weixin_30815427的博客
03-08 436
printf(“%s %d %x”,str,n,addr) 格式化字符串漏洞 错误的使用方式,直接将使用者的输入作为fmt使用 printf(str) 使用%x会造成栈上的信息泄露 可以使用 $ 来控制leak的位置 Use fmt: Read from arbitrary memory Write to arbitrary memory 读的话,我们可...
hackme pwn echo [format string]
ACdream
01-31 543
题目名称就已经是很明显的提示了!echo ~ 提示:格式化字符串 从IDA中看main:即可看到printf(&amp;s)! 漏洞原理部分: http://www.cnblogs.com/Ox9A82/p/5429099.html 漏洞刷题提升: https://www.anquanke.com/post/id/85785 https://www.anquanke.com/pos...
好好说话之hijack GOT
hollk’s blog
08-07 2068
这种方法的原理其实和栈溢出很相似,基本流程都是泄露libc,查找system函数,写/bin/sh字符串,所以你看过我以前的博客,相信理解这个原理以及例题会很容易,一起加油,祝我们早日成为大佬????
BUUCTF pwn wp 131 - 135
fa1c4的blog
04-27 683
rootersctf_2019_srop ciscn_2019_s_6 sctf_2019_easy_heap de1ctf_2019_weapon SWPUCTF_2019_p1KkHeap
BUUCTF pwn wp 146 - 150
fa1c4的blog
04-30 676
hitcontraining_playfmt gwctf_2019_easy_pwn bctf2016_bcloud asis2016_b00ks warmup
BUUCTF pwn wp 121 - 125
fa1c4的blog
03-24 841
qctf2018_stack2 强网杯2019 拟态 STKOF zctf_2016_note3 bcloud_bctf_2016 hgame2018_flag_server hgame2018_flag_server$ file flag_server;checksec flag_server flag_server: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically
CTF比赛PWN题sgtlibc通用快速解题框架
serfend's blog
07-07 1886
开源地址:https://github.com/serfend/sgtlibc使用 安装pwn解题框架例题:buuctf start system_bss_binsh_direct_x64 shellcode_orw_x86 例题:buuctf pwnable_orw libc-leak_x86_puts 例题:ctfshow ret2libc_64 内部赛_签到题 libc-leak_x86_write_pure 例题:buuctf jarvisoj_level1 libc-leak_x86_writ
某道Pwn(格式化字符串漏洞)
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
2018 百越杯 pwn(format WriteUp)
X丶 的博客
12-03 841
看到题目的内容,就知道大概是格式化漏洞了, 马上扔到IDA看个究竟。 不出所料,就是printf的格式化输出漏洞   思路: 1、利用格式化漏洞覆盖任意地址的值,这里我们需要覆盖secret的值,所以先要找到secret的地址,在IDA中,可以看到secret在bss段: 得到secret的地址后,我们就可以对它的值进行覆盖,覆盖成192 2、利用%k$n(k$用于获取格式化...
CTF训练(PWN)——format_secret
weixin_49270591的博客
04-12 556
CTF训练(PWN)——format_secret 这次拿到的是一道pwn题,作为新手只能慢慢学习(啊啊啊啊,pwn是真的难~~) 读题 根据描述,知道是格式化字符串漏洞,于是去度娘了解一下格式化字符串漏洞是什么??? 这里附上来自同站大佬的链接:https://blog.youkuaiyun.com/qq_43394612/article/details/84900668 分析题目 首先下载附件 拿到一个意义不明的白色文件 解题 首先使用checksec进行查看 没有的话可以使用git进行安装 git clone
pwn 练习笔记 format2
SsMing的博客
08-16 392
例子是protostar format2 源码为: 和昨天的思路一样,确定要通过格式化字符串洞覆盖target的内容,题目的目的是要让target等于64 1.找到target的地址 2.计算偏移量 先起手个200个 我们发现第四个就是我们的ABCD,所以改一下payload 然后要是target的值为64 ,在括号之前要有64个字符,这里前面已经有34个,还差30个...
pwn 练习笔记 format4
SsMing的博客
09-18 440
protostar format4 日常练习,源码为 #include &lt;stdlib.h&gt; #include &lt;unistd.h&gt; #include &lt;stdio.h&gt; #include &lt;string.h&gt; int target; void hello() { printf("code execution redirected! y...
pwn-格式化字符串的刷题记录(未完待续)
m0_75234353的博客
05-11 891
发现canary和RELRO部分开。
攻防世界PWNformat2题解
seaaseesa的博客
11-10 915
format2(整数地址空间溢出) 本题需要细心 首先,检测一下程序保护机制 虽然说开启了CANARY,但是关键的几个函数没有开启这个机制,这道题因为libc库静态链接到文件里,所以才造成这种干扰。 我们用IDA分析一下 后门函数 溢出点在这,memcpy传入的是v4的地址,而v4是int,最多也就8字节,因此这里可以溢出 程序的流程是将我们输入的字符串进行BASE6...
pwn学习-格式化字符串的利用
WocW的博客
03-08 2280
覆盖栈内存 所用例子 /* example/overflow/overflow.c */ #include &lt;stdio.h&gt; int a = 123, b = 456; int main() { int c = 789; char s[100]; printf("%p\n", &amp;c); scanf("%s", s); printf(s); if...
攻防世界-PWN-Format2解题过程
aptx4869_li的博客
07-24 580
# 解题思路 ## 安全机制检查 ``` healer@kali:~/Desktop/format1$ readelf -h format1 ELF Header: Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, little endian ...
湖湘杯 pwn200(pwne) [format string]
ACdream
01-31 464
网上随便找一下能够找到二进制文件和libc,这里就不贴了~ 在函数80485CD处有上图所示的printf漏洞 checksec发现,32位程序,和hackme的echo不同的是,开了Canary和NX 所以思路还是一样,先要泄露偏移值 #!/usr/bin/env python # coding=utf-8 from pwn import * context.log_lev...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值