emem今天再记一道套路whalectf pwn3

最新推荐文章于 2024-04-12 08:12:30 发布
最新推荐文章于 2024-04-12 08:12:30 发布
阅读量403 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37433000/article/details/99335026
本文探讨了在存在格式化字符串漏洞的32位程序中,如何通过计算偏移量来利用该漏洞。介绍了通过直接在栈上放置'/bin/sh'或通过泄露libc来寻找'/bin/sh'的方法,并最终将printf函数改写为system函数,实现shell的获取。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这一题和上一题其实没啥大的区别一样是32位开了nx,cannary就是没有后门函数
main函数

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [esp+Ch] [ebp-4Ch]
  unsigned int v5; // [esp+4Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  fgets(&s, 64, stdin);
  printf(&s);
  fgets(&s, 64, stdin);
  printf(&s);
  return 0;
}

但是有系统调用的函数

int system(const char *command)
{
  return system(command);
}

格式化字符串漏洞算出偏移为7然后我们还少了’/bin/sh’正常的思路有发一个binsh到栈上,还有一种我的想法是通过泄露libc来找到’/bin/sh’emem好像绕弯了算了还是直接输入’/bin/sh’的值到栈上然后将printf改成system就满足,正好符合将参数入栈,调用函数的函数调用约定,因为程序调用了printf函数所以我们就可以改写它成system函数
是不是说多了
emem

AI人工智能助力图像处理实现可持续发展
AI天才研究院
04-04 940
本文旨在系统性地探讨人工智能技术在图像处理领域如何促进可持续发展的实现。环境监测与保护资源管理与优化生态多样性保护绿色计算技术研究范围涵盖从基础算法到实际部署的完整技术栈,包括但不限于深度学习模型、边缘计算和节能优化技术。首先介绍背景知识和核心概念然后深入分析算法原理和数学模型接着通过实际案例展示应用实现最后讨论未来趋势和挑战计算机视觉(Computer Vision):使计算机能够从图像或视频中获取高级理解的技术深度学习(Deep Learning)
WhaleCTF逆向题】第一期大骰子writeup & ebCTF 2013 BIN100writeup
iqiqiya的博客
09-18 1449
【20181026更新】 这道题是有两种方法的 0x01:一种就是不管游戏  直接找与flag有关的变量  操作过程  最后直接py脚本计算flag即可(ps:有机会补坑) 0x02:一种就是下面这样按照计算出正常的输入   让程序帮我们计算flag输出 程序有两个反调试的点 0x01: 这里调用isDebuggerPresent()方法    如果检测到正在被动态调试  就将v86的值...
xctf攻防世界pwn基础题解(新手食用)
热门推荐
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
PWN基础之构造ROP链(基本ROP)
qq_53058639的博客
04-12 1584
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
攻防世界pwn题--stack2
L0g1c的博客
10-31 708
查看保护机制 (有栈不可执行NX,有canary保护) 用IDA分析(查看伪代码) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] unsigned int v6; // [esp+1Ch] [ebp-8Ch] int v7; // [esp+20h] [ebp-88h] unsigned
pwn学习笔(4)ret2libc
qq_66013948的博客
02-19 1574
​ 静态链接是由链接器在链接时将库的内容加入到可执行程序中的做法。链接器是一个独立程序,将一个或多个库或目标文件(先前由编译器或汇编器生成)链接到一块生成可执行程序。这里的库指的是静态链接库,Windows下以.lib为后缀,Linux下以.a为后缀。​ 也就是说将静态链接库中的所有的函数都写入这个ELF文件中,所以会造成该二进制文件极为庞大,因此也会存在很多的可供利用来ret2syscall的gadgets。但是,使用静态链接生成的可执行文件体积较大,包含相同的公共代码,造成浪费。
海洋风浪方向谱计算EMLM、EMEM、BDM等
最新发布
06-11
EMEM可能指的是扩展的最小熵法(Extended Maximum Entropy Method),这种方法在处理海洋工程中的不确定性问题时表现出一定的优势。BDM则可能是指基于距离的方法(Boundary Element Method),它是一种在数值计算中...
USB EMEM
04-02
对于 Tricore 架构而言,由于其支持在线数据采集 (OLDA),因此可以通过特定机制将虚拟地址映射至实际物理内存位置(如 EMEM),以便于程序运行期间动态加载配置参数或其他重要信息[^3]。 #### 关键特性 - **高效性*...
TC29x内存EMEM
01-02
### TC29x 设备中的 EMEM 内存规格与使用 #### 特性和功能 TC29x 设备的外部存储器 (EMEM) 是一种可扩展的内存资源,允许连接额外的 RAM 或 Flash 存储。这种设计使得设备能够支持更大容量的应用程序和数据处理需求...
AURIX TC3xx_Power_Reset_Startup培训指导PPT文件
05-05
3.3V VDDP3闪存域专用于闪存编程,1.25V VDD域服务于核心域(包含CPU等),而1.25V VDDSB(ED域,EMEM)则是针对嵌入式存储器的。 在电源生成方面,AURIX TC3xx使用了诸如EVR(外部电压调节器)和LDO(低压差稳压器...
pwn学习-攻防世界新手区
qq_45653588的博客
12-20 1591
文章目录0X00 hello_pwn0X01 when_did_you_born0X02 level00X03 level20x04 CGfsb0x05 guess_num0x06 cgpwn20x07 int_overflow0x08 level30x09 string 0X00 hello_pwn 下载文件,拖入Ubuntu用checksec查看,64位文件,开启了NX保护。 拖入ida查看,read函数读取输入赋值给unk_601068,然后判断dword_60106C是否等于nuaa,相等则执行s
int main(int argc, const char *argv[]) 详解
hawk2844的专栏
07-14 7885
http://www.cnblogs.com/avril/archive/2010/03/22/1691477.html
蓝鲸CTF 逆向pwn 部分 持续更新中
qq_41071646的博客
04-20 1113
最近看pwn的堆 还有其它的题看的很是自闭 然后打算看看 简单的ctf平台是刷一下 逆向部分: 第一题简单逆向 这个题名副其实 是简单逆向 flag{db2f62a36a018bce28e46d976e3f9864} 第二题 安卓加密 安卓题 拖入 看 java反编译的源码 去找check2 str1=goodluck 那么一目了然 写出脚本 ...
NSSCTF PWN (入门)
农夫果园好好喝的博客
09-18 1928
这不是欺负老实人嘛~
int main(int argc,char* argv[])详解
zzobin的专栏
06-25 3511
argc是命令行总的参数个数      argv[]是argc个参数,其中第0个参数是程序的全名,以后的参数      命令行后面跟的用户输入的参数,比如:      int   main(int   argc,   char*   argv[])      {      int   i;      for   (i   =   0;   i   cout   cin>>i;      retur
[buuctf]wustctf2020_closed
逆向萌新的博客
07-02 448
wustctf2020_closed
攻防世界 reverse BABYRE
09-18 1081
BABYRE XCTF 4th-WHCTF-2017 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+0h] [rbp-20h] int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rb...
基本ROP技巧总结
极目楚天舒的博客
05-06 5851
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值