2020-11-09学习记录:攻防世界pwn之echo_back

最新推荐文章于 2023-08-28 22:11:18 发布
最新推荐文章于 2023-08-28 22:11:18 发布
阅读量289 收藏 1
点赞数
分类专栏: Pwn 学习经历 做题记录 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eeeeeight/article/details/109568264
版权

攻防世界pwn之echo_back

涉及知识点
函数:getchar,scanf
      _IO_FILE
      格式化字符串

参考链接:https://blog.csdn.net/seaaseesa/article/details/103114909

      因为第一次做这么难的格式化字符串, 特此详细记录, 以为日后和我一样的萌新解惑

1.检查保护:
在这里插入图片描述可以看到保护全开:
      FULL RELRO代表我们无法在通过劫持got表来执行system函数
      PIE enabled代表我们除了libc的偏移外, 还要寻找elf文件的偏移

2.看一下程序存在的明显漏洞:
在这里插入图片描述      可以看到在echo_back(sub_B80)函数中存在着明显的格式化字符串漏洞
      通过它我们可以获得相关libcbase, elfbase, 以及进行部分地址上数据的修改

3.获得偏移
在这里插入图片描述
      在call printf初下断点查看其RDI寄存器获得指向栈上的地址, 然后通过pwngdb的: fmtarg addr可以快速获得其格式化的偏移(pwngdb可以直接和pwndbg一起用, 自行百度咯)
在这里插入图片描述
      注:我也不知道为啥, 明明正确的应该是%10$p, 这玩意每次括号里都是自带减1

在这里插入图片描述
      之后再继续查看栈上的内容, 可以看到距离RDI所指的后9*0x8处的地址记录的是函数__libc_start_main+0xF0的地址, 所以理所应当的想到通过%19$p打印出其地址, 然后打印值减去0xF0得到__libc_start_main的地址, 而后获得libc的偏移

echo_back('%19$p')
sh.recvuntil('say:')
libc_start_main_addr=int(sh.recvuntil('-').split('-')[0],16)-0xf0
libcbase=libc_start_main_addr-libc.sym['__libc_start_main']#获得libc

      有了libcbase就可以在libc中找到相关所需要的地址了

system_addr=libc.sym['system']+libcbase
bin_sh_addr=libc.search('/bin/sh').next()+libcbase

      我们再进行思考, 如何获得elf文件的偏移呢? 没错, 通过程序运行时的地址减去IDA中给出的地址就能获得elfbase了
在这里插入图片描述
      依旧看call printf处的栈上信息, 在RBP之下记录的是RIP的返回地址, 而当前运行的是echo_back函数, 所以我们猜想这个返回地址是属于RIP的
      在IDA查看调用echo_back函数时的代码

在这里插入图片描述
      0XD08确实符合0x555555554d08的后三位, 所以我们猜想成立, 这样可以通过0x555555554d08-0xd08获得elfbase
      (可能因为调试方便, gdb直接打开echo_back文件其elfbase一直是相同的, 可这不代表实际情况是这样的, 脚本调试中gdb.attach一下可以明显的看见elfbase的变化)
      有了elfbase我们就可以获得程序运行中ROPgadgaet的实际地址了, 因为我们的ROPgadgaet参数是–binary, 所以要的偏移就算elfbase, 若是–binary libc.so.6的话应该是要加上libcbase(这里我没去尝试,读者可以自行尝试如何留言告诉我是不是这样)

      言归正传, 如何获得这个地址呢? 通过算距离, 晓得格式化字符串漏洞用%13$p就可以打印出地址了(这里我是用main函数开始的地址算的, 其实可以直接用打印的地址进行计算的)

echo_back('%13$p')
sh.recvuntil('say:')
main_addr=int(sh.recvuntil('-').split('-')[0],16
最低0.47元/天 解锁文章
北岛静石
关注
专栏目录
攻防世界-PWN进阶区-echo_back(CISCN-2018-Quals)
weixin_44145820的博客
03-03 854
本题考查的是对格式化字符串漏洞的利用以及修改_IO_2_1_stdin来实现任意写 题目分析 checksec: 发现保护全开 源码分析: echo函数: 在该函数中有明显的格式化字符串漏洞,但是格式化字符串的长度有限制,最长只能为7,这使得许多利用格式化字符串进行任意内存写的方式不能使用,不过泄露信息还是能够做到的 对于信息泄露,首先我们需要获取libc的基地址,这样我们才能计算system...
攻防世界(pwn)echo_back + magic (_IO_FILE文件流攻击初探)
PLpa的博客
03-14 1401
前言: 这两题都是关于_IO_FILE文件流攻击的题目,如果对_IO_FILE文件流不是很清楚,可以看ctfwiki中的_IO_FILE介绍——传送门。 echo_back——关于_IO_2_1_stdin结构的利用 文件保护全开,不能got覆写。 进入IDA,发现程序有两个功能,一个是setname,一个是echo back。 查看setname功能,发现此功能只能输入7个字节,不具备RO...
攻防世界echo_back
weixin_43960998的博客
04-05 442
1.程序逆向 程序读起来很简单,提供了两个功能,设置姓名和可以一直循环进行 echo_back,在 echo_back 中存在一个格式化字符串漏洞,但是每次最多读取 7 字节: 首先想到是写返回地址,但是最多只写 7 字节导致不能输送完整的 rop ,所以这里需要学习一个新的知识点。 2.漏洞利用&知识点 一个可以循环利用的格式化字符串,但是有字符限制 程序通过 scanf 输入 先是通过栈上的一些数据来泄漏 libc_base,elf_base,还要泄漏存放 main 的返回地址的栈地址,这
PWN技巧之攻防世界echo_back
aptx4869_li的博客
02-20 649
PWN技巧之攻防世界echo_back
攻防世界PWNecho_back题解
seaaseesa的博客
11-17 2655
echo_back 首先,检查一下程序的保护机制,发现保护全开 然后,我们用IDA分析一下, 在功能2有一个明显的格式化输出字符串漏洞 但是,我们能够输入的字符串长度最多为7个字符 好啦,不管怎么说,首先得用这个漏洞泄露一些地址 当我们要执行printf时,我们发现,距离当前栈顶13个位置处,有__libc_start_main+F0的地址,但是,这不是说要输出它的值...
攻防世界(pwn)echo_back writeup
xidoo1234的博客
04-10 652
直入主题
攻防世界pwn-guess_num】
a_silly_coder的博客
01-15 1652
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 494
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
hackme pwn echo [format string]
ACdream
01-31 469
题目名称就已经是很明显的提示了!echo ~ 提示:格式化字符串 从IDA中看main:即可看到printf(&s)! 漏洞原理部分: http://www.cnblogs.com/Ox9A82/p/5429099.html 漏洞刷题提升: https://www.anquanke.com/post/id/85785 https://www.anquanke.com/pos...
CTF-Pwn echo_back(文件IO指针利用+格式化字符串漏洞)
SuperGate的博客
12-19 1177
程序综述 supergate@ubuntu:~/Desktop/Pwn$ checksec echo_back [*] '/home/supergate/Desktop/Pwn/echo_back' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX e...
pwn做题笔记14-echo_back(printf函数栈详细利用+利用控制scanfIO流实现任意地址写入)
最新发布
qq_40923256的博客
08-28 509
当Linux新建一个进程时,会自动创建3个文件描述符0、1和2,分别对应标准输入、标准输出和错误输出。C库中创建与文件描述符对应的是文件指针scanf读取stdin时依照读文件的方法,内部调用_IO_new_file_underflow函数。而该函数最终调用了_IO_SYSREAD系统调用来读取文件。在调用系统函数前,该函数同时进行了判断处理:根据读取指针的位置和结束位置来判断缓冲区中是否还有可读取的数据。
echo_back(xctf)
weixin_43868725的博客
08-16 756
0x0 程序保护和流程 保护: 流程: main() echo_back() 存在一个格式化字符串漏洞。 0x1 利用过程 1.题目保护全开,程序中又没有可用的字符串,函数。所以只能通过格式化字符串漏洞泄露地址,写入有限数据。 2.既然有格式化字符串漏洞,肯定是要泄露栈上的信息。但是由于限制了字符串最长为7,所以只能逐位泄露。 选择使用ida的远程调试,因为可以丢弃alarm()发出的signal。选择在echo_back()的retn处下断点 直到到输入%6$p时在栈上发现了被输出的数据(为什么是
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5388
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
xctf攻防世界_echo——爬坑之路(ret2dlresolve)
勤劳的小蜜蜂
05-27 971
很容易看到是栈溢出漏洞,而且给出了一个sample()的函数来读取flag,直接覆盖返回地址,在本地调试很快就弄完了。但是没想到,跟服务器连接后,死活出不来。没办法,想到上一篇文章一样的坑,看来只能拿Shell才行了。 查找了很多资料,一开始想着用write()函数泄漏,结果没这个函数。还动过使用fprintf函数的想法,但是远程太坑了。留几个学习到的点: 1、 gbd中可以使...
有些头疼
猫沙盆
02-24 1718
这两天在做原来做的一个网站的重构,结果,看似很简单的页面,却让我头疼不已,虽然用css+div布局完成了,但是总觉得不是很理想,因为其间有一些非结构的div存在,试验半天,却没有好的方法解决。首页图如下:这里比较难实现的是中间部分的背景图,中间是带条纹的图片,而上下各有1条白色的虚线,放大如下:对于如何实现这个背景我想了两种方法,但是都不很理想,看来还要再试验。
linux elf 加载位置,获取ELF二进制文件的已加载地址,dlopen无法正常工作
weixin_31445167的博客
05-15 543
小编典典在Linux上,dlopen不返回加载ELF二进制文件的地址。而是返回structlink_map具有.l_addr成员的成员。因此,您需要以下内容:struct link_map *lm = (struct link_map*) dlopen(0, RTLD_NOW);printf("%p\n", lm->l_addr);但是,尽管有评论/usr/include/link.h说,....
elf 取路径_c – 获取主要可执行文件的ELF标题
weixin_34082213的博客
01-15 180
由dlopen(0,RTLD_LAZY)返回的void *指针给出一个对应于主可执行文件的struct link_map *.调用dl_iterate_phdr也会在首次执行回调时返回主可执行文件的条目.你可能会被链接映射中的.l_addr == 0这个事实所困惑,而使用dl_iterate_phdr的那个dlpi_addr == 0.这正在发生,因为l_addr(和dlpi_addr)实际上并没...
读取文件信息Linux,linux – 读取ELF文件的内容(以编程方式)
weixin_30336075的博客
04-28 657
我试图检索ELF二进制文件中的附加部分的内容.此时,我使用以下代码检索每个部分的名称:#include #include #include #include #pragma pack(push,1)#pragma pack(pop)#define EI_NIDENT 16/* 32-bit ELF base types. */typedef unsigned int Elf32_Add...
zynq 裸核 以太网通信 Ethernet echo 代码简化版(小白福利)
weixin_38888158的博客
01-31 1858
zynq 裸核echo 代码简化zynq 裸核echo 代码简化原因化简之后代码 zynq 裸核echo 代码简化原因 zynq实例代码中echo、tcp_client、tcp_server都非常复杂,对新手非常不友好,所以我对zynq echo代码进行了改进 zynq echo代码给了一个基于tcp协议回传代码,但是代码结构复杂,涉及好几份文件,包括小项目中不需要的tcp_fasttmr(); tcp_slowtmr();所以我将这个项目重新修改一下 化简之后代码 #include "xpar
攻防世界Pwn题:利用FSA漏洞执行cat_flag
在"攻防世界pwn题:forgot.doc"文档中,我们探讨了一个关于利用有限状态自动机(FSA)中的漏洞来实现电子邮件地址验证的挑战。福克斯设计了一个题目,其中包含了一个32位的可执行文件,具有canary和PIE保护机制关闭,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值