pwn-Format String之hijack GOT

最新推荐文章于 2023-05-11 08:51:51 发布
最新推荐文章于 2023-05-11 08:51:51 发布
阅读量418 收藏 3
点赞数
分类专栏: PWN 文章标签: c语言 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hacker_zrq/article/details/120631130
版权
这篇博客介绍了如何利用CTF题目中的Format String漏洞,详细步骤包括:检查程序安全性、分析程序逻辑、计算puts@got的偏移、泄露puts地址、获取system地址、修改puts@got并利用show_dir调用system执行命令。通过fmtstr_payload函数实现payload构造。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目来源:ctf-wiki的hijack GOT。

例子 - CTF Wiki (ctf-wiki.org)

CTF上的wp有点简洁,复现的时候遇到很多小问题,在这里记录一下。

 ①、checksec和IDA

程序的主干代码:没必要一次性看完,下面我们一点一点分析
//main
int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  signed int v3; // eax
  char s1; // [esp+14h] [ebp-2Ch]
  int v5; // [esp+3Ch] [ebp-4h]

  setbuf(stdout, 0);
  ask_username(&s1);
  ask_password(&s1);
  while ( 1 )
  {
    while (
了解本专栏 订阅专栏 解锁全文 超级会员免费看
“攻防世界”pwnformat2
qq_42728977的博客
12-11 540
原理: 栈溢出、后门 环境: ubuntu14 工具: pwntools 、IDA 步骤: 查看程序的基本信息: 可以看出程序是32位,斌开了canary和nx 在IDA进行分析查看 看到程序并没有canary的压栈,我当时很奇怪为什么,让你后又看了几个函数,发现也没有,后来看大佬的 WP说是部分函数有,这里的canary是个迷惑。这没有canary就方便很多了。 一点一点看,发现这就是一个...
CTF比赛PWN题sgtlibc通用快速解题框架
serfend's blog
07-07 1820
开源地址:https://github.com/serfend/sgtlibc使用 安装pwn解题框架例题:buuctf start system_bss_binsh_direct_x64 shellcode_orw_x86 例题:buuctf pwnable_orw libc-leak_x86_puts 例题:ctfshow ret2libc_64 内部赛_签到题 libc-leak_x86_write_pure 例题:buuctf jarvisoj_level1 libc-leak_x86_writ
Pwn_10 Format String Attack
weixin_30815427的博客
03-08 421
printf(“%s %d %x”,str,n,addr) 格式化字符串漏洞 错误的使用方式,直接将使用者的输入作为fmt使用 printf(str) 使用%x会造成栈上的信息泄露 可以使用 $ 来控制leak的位置 Use fmt: Read from arbitrary memory Write to arbitrary memory 读的话,我们可...
hackme pwn echo [format string]
ACdream
01-31 520
题目名称就已经是很明显的提示了!echo ~ 提示:格式化字符串 从IDA中看main:即可看到printf(&s)! 漏洞原理部分: http://www.cnblogs.com/Ox9A82/p/5429099.html 漏洞刷题提升: https://www.anquanke.com/post/id/85785 https://www.anquanke.com/pos...
栈溢出学习(四)之Hijack GOT
Pz_mstr's Blog
03-27 1654
前言 栈溢出学习(四),讲述Hijack GOT的基本原理及其利用ROPchain实现Hijack GOT的方法 系列文章 栈溢出学习(一) 栈溢出学习(二) 栈溢出学习(三)之简单ROP 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include &lt...
好好说话之hijack GOT
hollk’s blog
08-07 1815
这种方法的原理其实和栈溢出很相似,基本流程都是泄露libc,查找system函数,写/bin/sh字符串,所以你看过我以前的博客,相信理解这个原理以及例题会很容易,一起加油,祝我们早日成为大佬????
PWN基础知识及基础栈溢出手法
山高路远
04-12 4285
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
某道Pwn(格式化字符串漏洞)
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
2018 百越杯 pwn(format WriteUp)
X丶 的博客
12-03 826
看到题目的内容,就知道大概是格式化漏洞了, 马上扔到IDA看个究竟。 不出所料,就是printf的格式化输出漏洞   思路: 1、利用格式化漏洞覆盖任意地址的值,这里我们需要覆盖secret的值,所以先要找到secret的地址,在IDA中,可以看到secret在bss段: 得到secret的地址后,我们就可以对它的值进行覆盖,覆盖成192 2、利用%k$n(k$用于获取格式化...
CTF训练(PWN)——format_secret
weixin_49270591的博客
04-12 528
CTF训练(PWN)——format_secret 这次拿到的是一道pwn题,作为新手只能慢慢学习(啊啊啊啊,pwn是真的难~~) 读题 根据描述,知道是格式化字符串漏洞,于是去度娘了解一下格式化字符串漏洞是什么??? 这里附上来自同站大佬的链接:https://blog.youkuaiyun.com/qq_43394612/article/details/84900668 分析题目 首先下载附件 拿到一个意义不明的白色文件 解题 首先使用checksec进行查看 没有的话可以使用git进行安装 git clone
pwn 练习笔记 format2
SsMing的博客
08-16 371
例子是protostar format2 源码为: 和昨天的思路一样,确定要通过格式化字符串洞覆盖target的内容,题目的目的是要让target等于64 1.找到target的地址 2.计算偏移量 先起手个200个 我们发现第四个就是我们的ABCD,所以改一下payload 然后要是target的值为64 ,在括号之前要有64个字符,这里前面已经有34个,还差30个...
pwn 练习笔记 format4
SsMing的博客
09-18 430
protostar format4 日常练习,源码为 #include &lt;stdlib.h&gt; #include &lt;unistd.h&gt; #include &lt;stdio.h&gt; #include &lt;string.h&gt; int target; void hello() { printf("code execution redirected! y...
pwn-格式化字符串的刷题记录(未完待续)
m0_75234353的博客
05-11 819
发现canary和RELRO部分开。
攻防世界PWNformat2题解
seaaseesa的博客
11-10 851
format2(整数地址空间溢出) 本题需要细心 首先,检测一下程序保护机制 虽然说开启了CANARY,但是关键的几个函数没有开启这个机制,这道题因为libc库静态链接到文件里,所以才造成这种干扰。 我们用IDA分析一下 后门函数 溢出点在这,memcpy传入的是v4的地址,而v4是int,最多也就8字节,因此这里可以溢出 程序的流程是将我们输入的字符串进行BASE6...
pwn学习-格式化字符串的利用
WocW的博客
03-08 2259
覆盖栈内存 所用例子 /* example/overflow/overflow.c */ #include &lt;stdio.h&gt; int a = 123, b = 456; int main() { int c = 789; char s[100]; printf("%p\n", &amp;c); scanf("%s", s); printf(s); if...
攻防世界-PWN-Format2解题过程
aptx4869_li的博客
07-24 533
# 解题思路 ## 安全机制检查 ``` healer@kali:~/Desktop/format1$ readelf -h format1 ELF Header: Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, little endian ...
湖湘杯 pwn200(pwne) [format string]
ACdream
01-31 436
网上随便找一下能够找到二进制文件和libc,这里就不贴了~ 在函数80485CD处有上图所示的printf漏洞 checksec发现,32位程序,和hackme的echo不同的是,开了Canary和NX 所以思路还是一样,先要泄露偏移值 #!/usr/bin/env python # coding=utf-8 from pwn import * context.log_lev...
CTF-Wiki pwn fmtstr(格式化字符串漏洞)
mumuzi的博客
07-24 1013
https://www.yinxiang.com/everhub/note/f07ff198-5072-4014-b110-21fb833affee –原理 –格式化字符串 –程序崩溃 –泄漏内存 –泄漏栈内存 –泄漏任意地址内存:覆盖小数字、覆盖大数字 –例题1:x64格式化字符串漏洞 –例题2:hijack GOT 劫持GOT表 –例题3:hijack retaddr 劫持返回地址 –盲打 笔记若存在逻辑问题或者原则性问题,恳请在评论区指正,谢谢观看笔记的师傅。之后会出一期萌新常见的问题(主要只是为了自
格式化字符串漏洞例子(二)hijack GOT
谭宇
03-17 920
1.pwn3 题目下载,FORK自CTFWIKI emmm经过菜鸡的无限自闭大法。结合师兄的无私指教,终于把这题弄懂了 用IDA打开的时候出现了一点意外,我也不知道什么叫作盗版的IDA生成的数据库 image.png 后来直接生成的c代码文件代码连接 经过分析,程序分为五个大块。main函数,验证身份函数,put_file函数,get_file函数,show_dir函数 是一个...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值