【PWN系列】格式化字符串在bss段上的处理

最新推荐文章于 2024-02-26 19:00:35 发布
最新推荐文章于 2024-02-26 19:00:35 发布
阅读量1.4k 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41918771/article/details/109153943
版权

个人博客地址

http://www.darkerbox.com

欢迎大家学习交流

参考网址:

http://www.starssgo.top/2019/12/06/%E6%A0%BC%E5%BC%8F%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2%E5%9C%A8bss%E6%AE%B5%E7%9A%84%E5%A4%84%E7%90%86/

第一次遇到这种题,想写wp记录一下,但确实不知道该怎么写才通俗易懂,最后还是感觉结合exp一步一步调试应该会更通俗易懂。

题目分析

开启了NX。
在这里插入图片描述

拖进ida里找到关键函数,很明显存在格式化字符串漏洞,
在这里插入图片描述

值得注意的是,s1在Bss段。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Vicl1fe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
pwn(三)
小明的小书包Ya
10-04 2369
pwn(三) 简单的溢出利用方法 程序没有开启任何保护 方法一:寻找程序中system的函数,再布局栈空间,最后成功调用system('/bin/sh') 方法二:将我们的shellcode写入bss,然后用elf.bss()来获取bss地址,从而程序流向到我们的shellcode 这里不用具体程序分析了,把payload分别写上 方法一:payload = 'a' * offset...
攻防世界新手区pwn
ca1m4n的博客
11-03 674
攻防世界新手pwnget_shellexp get_shell 首先checksec一下 64位 只开启了栈可执行保护 ida打开 看主函数,好大一个system(/bin/sh) 然后puts和binsh地址差就是偏移量 exp rom pwn import * m=remote('220.249.52.133',xxxxx) binsh = 0x400574 payload='a'*(0x3a-0x18) +p64(binsh) m.sendline(payload) m.interactive()
Kernel-pwn学习记录1
qq_40712959的博客
03-25 754
此博客参考POST如下: Learning Linux Kernel Exploitation - Part 1 Learning Linux Kernel Exploitation - Part 2 第一次进入Kernel Pwn领域,实验采用kernel-rop文件下载地址:https://ctftime.org/task/14383,对于Kernel Pwn,核心是利用LKM(Loadable Kernel Module,可加载内核模块)中存在的漏洞,而这些模块是在内核启动时自动运行的。 上述链接下载
[CTF]PWN--非栈上格式化字符串漏洞
最新发布
2301_79880752的博客
02-26 1778
一般来说,栈上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址和libc地址;然后将需要改写的GOT表地址直接传到栈上,同时利用%c%n的方法改写入地址,最后就是劫持流程。但是对于BSS或是堆上格式化字符串,也就是非栈上格式化字符串漏洞,无法直接将想要改写的地址指针放置在栈上,也就没办法实现任意地址写。本文主要为大家介绍BSS上的格式化字符串漏洞的解法。
Pwn基础学习1-[栈溢出]/篇1
m0_52343643的博客
03-14 6819
是缓冲区溢出的一种,当缓冲区数据大于缓冲区大小时,缓冲区之外的有用数据就会被多出去的缓冲区数据覆盖改写,从而可能导致程序崩溃。
PWN工具介绍
kelxLZ的博客
07-02 1008
Author:ZERO-A-ONE Date:2021-07-02 一、PWNTOOLS 1.1 程序的启动与远程连接 使用process接口启动程序 常用:process(argv,env),例如: process('./demo'):执行可执行文件demo process(['cat','flag]):执行命令cat flag process("./demo",env={'LD_PRELOAD':'./libc.so.6'}):以指定环境变量运行文件 当程序运行于远程时,提供了Host和监.
pwn-notes:我在pwn上的笔记
03-05
在这里,我会记下我学到的大多数内容,并提供易受攻击的二进制文件,让您自己动手做。 提到了大多数“通用”堆栈技术以及一些超级介绍性的堆。 很快就会有更多:trade_mark:。感谢GitBook的所有支持:)
关于读取popen输出结果时未截断字符串导致的命令行注入详解
12-31
比方说这道pwn题,就是调用system时,没有对输入数据进行\0截断以及对特殊字符处理不当而导致的。 命令行注入相对于其他二进制漏洞相比利用比较简单,比方说这道题,举个例子: sprintf(&s, du -sh lib/'%s', v
02-linux pwn入门学习到放弃.pdf
09-20
02-linux pwn入门学习到放弃.pdf
PWN2PLY:从PWN格式到PLY格式的转换器-matlab开发
05-30
PWN2PLY 是一个 GUI 应用程序,专门用于将 PWN 文件转换为 PLY 格式。 该应用程序应用一种算法来构建一个网格,可记录为 PLY 格式(多边形,更准确地说是三角形),从一组法线和 PWN 文件的应用点(带法线的点)。 ...
pwn:JavaScript事件系统的100 SLOC处理
05-15
使用obj.prototype = Object.create(pwn); pwn您的对象没错-甚至不必担心您的构造函数-那是一些伪古典的垃圾。 你把它铺好了。 注册新的事件监听器 // obj.on(event, callback, context)obj . on ( 'change' , func...
pwn(究极入门)
热门推荐
sjt670994562的博客
08-01 1万+
不能说是逆向转pwn吧,主要是想拓展一下,这两者之间的关系也挺大的 1.攻防世界-when_did_you_born 除去连上就有flag,这个应该就是最简单的题目了吧 惯例,checksec,这里有四种保护机制,有大佬的链接,这个要弄很清楚,尤其是PIE,以后慢慢来吧 https://www.jianshu.com/p/8a9ef7205632 没有PIE和FORTIFY(这边作者也不是太懂,...
pwnable brain fuck(bss的用途)
九层台
09-26 637
题目链接传送门 这里题目跟网鼎杯线下赛的一个pwn有些相似。 输入一些字符可以控制一个指针,可以向这个指针指向的地址处写数据。 首先要知道bss里面有什么。 在这道题里面的p指针的更高地址处是stdin,stdout,stderr然后是函数的got表,这里可以控制指针p泄露和修改got表。 #coding=utf-8 from pwn import * p=0x0804a0a0 putcha...
pwn入门之栈溢出练习
dfdhxb995397的博客
09-10 905
本文原创作者:W1ngs,本文属i春秋原创奖励计划,未经许可禁止转载!前言:最近在入门pwn的栈溢出,做了一下jarvisoj里的一些ctf pwn题,感觉质量都很不错,难度循序渐进,把自己做题的思路和心得记录了一下,希望能给入门pwn的朋友带来点帮助和启发,大牛轻喷题目链接:https://www.jarvisoj.com/challenges1、level0(64位)代码<ig...
[Black Watch 入群题]PWN(栈迁移到bss
qq_33590156的博客
08-04 688
from pwn import * from LibcSearcher import * context(os='linux',arch='i386',log_level='debug') ms = remote('node3.buuoj.cn',25353) #ms = process("./spwn") elf = ELF('./spwn') bss_addr = 0x0804A300 lea_ret = 0x08048408 write_plt = elf.plt['write'] write_
PWN-无libc泄露
zszcr的博客
03-22 3662
pwn题的无libc泄露用到的pwntools的DynELF模块实现条件是:有指向libc空间的 能泄露libc空间信息的函数 (write和puts函数)能重复触发漏洞DynELF模块的基本框架:p=process('./xxx')def leak(address):    payload='xxx'+address+'xxx'  #address就是你要泄露的地址 ,payload是你控制程序...
格式化字符串bss上的处理
playmaker的博客
06-19 2492
格式化字符串bss上的内容处理 先查看程序保护,保护全开 拿到程序一眼就看到了格式化字符串的漏洞 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [esp+0h] [ebp-10h] unsigned int v6; // [esp+4h]...
bss格式化字符串处理【buuoj】SWPUCTF_2019_login
weixin_46521144的博客
08-10 970
这道题用了两种方法去做,一种是修改got表,零一种是修改返回值控制执行流。 IDA分析 很明显的格式化字符串漏洞,但是是在bss上 总结一下32位格式化字符串bss上的处理方法就是:寻找一个类似ebp的栈上寄存器,如下图 通过修改这个ebp,可以修改上图0xffc78f38的值为想要的(记住:格式化字符串修改栈上指针指向区域的地址,因此是0xffc78f38)如果想要劫持got表,寻找下面80开头的数据(和got表比较相关)修改完后就可以变成下图这样 (思考一下为什么要这么写:因为一般的格式化字符
BUUCTF之“SWPUCTF_2019_login”
Probeginner的博客
01-01 1075
格式化字符串bss上的情况:间接修改printf.got表为system,,, ebp对应的地址映射比较关键
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Vicl1fe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值