pwnable.kr之simple login详解

最新推荐文章于 2024-08-18 18:55:13 发布
最新推荐文章于 2024-08-18 18:55:13 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33528164/article/details/70829383
版权

学习二进制不容易,大家要忍得住寂寞,耐得住孤独,进入正题.
总体思路:
输入更多的数据,溢出,修改main的返回值地址,使其返回到correct中,从而获取shell.
大家可能会有疑问:为什么不修改auth函数的返回值地址,跳到correct中.这是因为长度不够,我们需要输入16个字节的长度,才能覆盖返回值地址,但是程序只给了我们12个字节的长度.
main函数

int  main(int argc, const char **argv, const char **envp)
{
  int v4; // [sp+18h] [bp-28h]@1
  int16 v5; // [sp+1Eh] [bp-22h]@1
  unsigned int v6; // [sp+3Ch] [bp-4h]@1

  memset(&v5, 0, 30);
  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  printf("Authenticate : ");
  _isoc99_scanf("%30s", &v5);
  memset(&input, 0, 12);
  v4 = 0;
  v6 = Base64Decode(&v5, &v4);   //base64解码,v5是输入的内容,v4是解码后的内容,v6是解码后的长度
  if ( v6 > 12 )
  {
    puts("Wrong Length");
  }
  else
  {
    memcpy(&input, v4, v6);     
    if ( auth(v6) == 1 )
      correct();
  }
  return 0;
}

auth函数

bool  auth(int a1)
{
  char v2; // [sp+14h] [bp-14h]@1
  char *s2; // [sp+1Ch] [bp-Ch]@1
  int v4; // [sp+20h] [bp-8h]@1

  memcpy(&v4, &input, a1);        //将缓冲区中a1个长度的字符赋值到v4中,
  s2 = (char *)calc_md5(&v2, 12);
  printf("hash : %s\n", (char)s2);
  return strcmp("f87cd601aa7fedca99018a8be88eda34", s2) == 0;
}

从上述逻辑中看出,若想获得shell,必须让auth返回值为1.可是每次输入,得出的结果是不一样的.
memcpy提供了一般内存的复制(例如字符数组、整型、结构体、类等)。即memcpy对于需要复制的内容没有限制,这是条件1.
main函数中还有

if ( v6 > 12 )
  {
    puts("Wrong Length");
  }

我们输入内容,解码后长度要<=12,这是条件二.
我们构造的12个字符长度的内容如下:

  1. 前四个字符随便取
  2. 中间四个字符为:\x84\x92\x04\x08.因为0x08049284是调用system函数的代码地址,有图为证
    system调用位置
  3. 最后四个字符为:\x40\xeb\x11\x08.地址0x0811eb40是input的地址.简单点说就是你输入的内容在缓冲区的地址,memcpy函数将缓冲区的内容复制到变量的地址中去.
    缓冲区分布图
    0x0811eb40将ebp覆盖掉,当atuh函数结束后,此时的ebp为0x0811eb40.
    ebp覆盖
    当main函数结束时,由于esp=ebp+4,esp的内容存的是函数返回值地址.esp返回值地址
    so,esp=0x0811eb40+4=0x0811eb44.而我们输入的内容在缓冲区中的地址是0x0811eb40,0x0811eb44—->0x08049284.于是跳转到correct中.
    获得shell
qq_33528164
关注
专栏目录
pwnable.krsimple login
Jason_ZhouYetao的博客
07-14 627
这题与之前所作的题目不同,不同点在于这题不存在ssh连接至其他的服务器,需要自己在脚本中体现。 首先,下载文件,放到IDA里跑一跑(这里说明,要注意下载下来的文件是32位还是64位的文件,这关系到能不能正确打开并得到反汇编代码的问题),得到main函数的伪代码: int __cdecl main(int argc, const char **argv, const char **envp) ...
pwnable.krsimplelogin
bluestar628的博客
12-09 352
这道题目还是很有意思的。是自从参加了一次pwn培训之后的第一道题目,感觉确实比以前舒服多了。 下载题目,IDA反汇编,基本逻辑很简单,输入一个字符串,进行base64解密,然后比对长度,如果超过12个就直接报错。 漏洞点找了很久,这个漏洞点确实很巧妙。开始的时候,checksec了一下。 发现开启了栈执行保护,和缓冲区溢出保护。所以直接放弃了栈溢出这个思路,
【CTF | WEB】004、攻防世界WEB题目之simple_js
最新发布
韩非雨的博客
08-18 564
String["fromCharCode"] 这个语句是一种非标准语法的写法,它实际上是等价于标准语法中的 `String.fromCharCode。String.fromCharCode()函数用于从一些Unicode字符值中返回一个字符串,String.fromCharCode()方法的返回值为String类型,其返回值为Unicode数值所表示的字符串。
Pwnable.kr simple login
BengDouLove的博客
03-18 286
程序的逻辑是,首先输入s,最大三十个字节(这里没有溢出),然后base64解密,解密后的明文存在v4,长度存在v6, 后面判断v6不能大于12,判断成功后将v4复制到input变量,,之后进入auth函数 inout auth函数第一句的memcpy感觉就很突兀,把input复制给v4(这是autn里的v4),后面根本没有用到v4,从这个角度看这句话应该也有点问题,,, 因为前面判断了,所以inp...
pwnable.kr simple login
you_need_me的博客
06-02 270
点击打开链接
pwnable.kr simple login writeup
lxx_nico的专栏
09-17 1250
pwnable.kr simple login writeup虽然说是pt150但是还是让我学到很多东西的。这是一个判定特定字符串的程序,直接说溢出点吧。输入的字符会经过一个base64解码,溢出点在auth的memcpy,只能够有4个字节的溢出,这么少怎么弄? 参考了大神思路。http://www.cnblogs.com/anewid/p/4567242.html 我们只能溢出4个字
pwnable.kr之asm
Jason_ZhouYetao的博客
07-23 576
这题我认为主要考察的知识点一个是沙箱中可用函数还有就是shellcode这个大头问题。 首先看看这道题目的代码: root@kali:~# ssh asm@pwnable.kr -p2222 asm@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | ...
pwnable.kr-fix
r00tnb的博客
02-28 872
前言 看似简单的改代码题,但是还是需要强大的汇编知识。花了很长时间,主要是自己对指令不是很熟悉。另外pwnable.kr的练习我会在另一个博客http://www.ktstartblog.top持续更新欢迎大家来踩。 分析 先分析源码fix.c #include &amp;lt;stdio.h&amp;gt; // 23byte shellcode from http://shell-storm...
pwnable.kr之passcode
Jason_ZhouYetao的博客
06-27 340
这题主要是的难点是GOT覆写技术的运用。这里推荐几篇文章有关栈溢出和GOT表和PLT表知识的文章。 栈溢出从入门到放弃(上) 栈溢出从入门到放弃(下) GOT表和PLT表知识详解 话不多说,先看正题。 #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; void login(){ int passcode1; int passco...
pwnable.kr之random
river
05-03 1592
random 分析流程发现是输入的数字和rand函数随机生成的一个数字抑或一下,如果等于0xdeadbeef就可以得到flag 这道题目开始想着如何覆盖了,起初的思路是用输入v4去后面四个字节去覆盖v5,然后抑或得到0xdeadbeef,但是好像不行。为什么呢?局部变量之间不能覆盖吗?那为什么栈上的返回地址或者参数可覆盖啊? 感觉自己还没有找到最关键的东西。记录一下,
pwnable_simple_login
z1r0的博客
03-25 508
pwnable_simple_login 查看保护 上面图片可以看到有个溢出,一直溢出到了ebp。也就是说我们可以控制ebp,那如何控制ret_addr呢? 其实我们可以伪造一个假的内存块的地址,这个地址里里面放一个伪造的ebp和返回地址及参数,让程序认为伪造了一个正确的ret_addr。 from pwn import * import base64 context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0'
pwnable.kr - simple login
加号减减号的博客
03-08 667
题目信息 分析 解题思路 wirteup 题目信息 题目给出的信息如下: 分析 下载得到 login 文件,这是一个静态链接的可执行文件。拖进 IDA 分析,main 函数如下: int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE *v4; // [esp+18h] [...
pwnable.kr [Rookiss] - [simple login]
Re:Umiade.tr
03-23 1368
Can you get authentication from this server? Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 Rookiss 初体验就从相对熟悉的逆向这一块开始好了。下载好文件后发现是 elf 64 ,在虚拟机上简单跑一跑,要求输入一个 Authenticat
pwnable 笔记 Rookiss - simple login - 50 pt
HiTaQini
12-16 2009
通过栈溢出控制EBP,从而控制ESP,最后控制EIP,获得对程序的控制权
pwn -- pwnable.kr -- simple-login---学习stack pivot
YANG12345_6的博客
12-24 296
在看关于pwn的书时学到了 栈帧劫持stack pivot 利用这个例题练习一下。 基本思想: stack pivot利用到的gadget是在函数退出时需要的两条指令:leave(mov esp,ebp;pop ebp);ret;。这两条指令基本都会有。 可以利用这两条指令,通过栈溢出的方式,实现可以完全控制栈。 stack pivot实现的基本方法 (我的理解 通过栈溢出的方式将 我们之后要实现的完全可控的栈的地址写到EBP的地方 写入之后 ,程序第一次leave;ret;,将写入的地址赋给esp。
pwnable simple login
weixin_30542079的博客
11-08 107
这是一周前做的一道题目,总的来说这道题很简单,当然一开始看了半天没发现溢出点也是十分的惭愧,题目出的很良心,思路就是溢出之后我们可以控制main函数的ebp, 进而在main函数返回时进行漏洞利用。 先看看IDA反汇编的结果 主函数的几个内存操作的函数都没有什么问题,那么问题很可能出现在auth函数了 这时候溢出点就一目了然了,input最大12个字节,而v4只有8个字节,调试一下发...
simple login(Pwnable.kr)
weixin_30252709的博客
06-10 104
0x1 准备工作 在分析这个题目时,我遇到了下面两个问题,先在这里说明一下: 1、 内存无法访问 gdb-peda$ si Cannot access memory at address 0x61616165 gdb-peda$ si 然而程序并没有因此而停止,只是一个提示而已,可以继续使用si命令进行单步跟踪。 2、汇编命令leave leave指令等同于下面两条命令(32位) mov esp,...
PWN学习之[Rookiss]-[simple login]
Magic1an的博客
08-19 767
文件下载下来后是个elf可执行文件 用IDA反编译后可以看到溢出点在auth函数中_BOOL4 __cdecl auth(int a1) { char v2; // [sp+14h] [bp-14h]@1 char *s2; // [sp+1Ch] [bp-Ch]@1 int v4; // [sp+20h] [bp-8h]@1 memcpy(&v4, &input, a1); s
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值