栈溢出之 pwnable.kr login

最新推荐文章于 2022-03-25 20:33:58 发布
最新推荐文章于 2022-03-25 20:33:58 发布
阅读量280 收藏
点赞数 1
分类专栏: 逆向分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiuweideqixu/article/details/108272676
版权

Can you get authentication from this server?

Download : http://pwnable.kr/bin/login

Running at : nc pwnable.kr 9003

 

反编译main函数

通过main函数的第21行我们知道,解码之后的字符串也被存放在了input指向的内存单元中。同时我们知道,input在bss段。

反编译Base64Decode函数

反编译auth函数

通过查看auth函数,我们发现很难通过正常的程序执行流程来通过验证。但是,问题的切入点也是这个auth函数。我们发现在auth函数的地7行:

memcpy(&v4, &input, a1).也就是说,把a1长度的字符串从一个地址(&input)复制到另一个地址(&v4).

双击input

我们发现input存在于bss段,也就是说,input是未初始化的全局变量。

我们不妨画出auth函数的栈帧结构:

我们可以知道,在执行完auth函数第7行的memcpy函数之后,如果假设input指向的内容有12个字节。那么上图中的内存单元中的数据将会被覆盖:

也就是说,之前保存的main函数的ebp被覆盖了,变成了一个新的值。我们不妨把这个设置为input的地址。这样的话,假设之前input地址处的内容如下:

那么input地址也同时是main函数的ebp,那么

那么在main函数执行完毕之后,就可以执行payload2对应的地址处的指令了。

所以,本题的精髓在于,通过溢出auth函数的栈帧,来设置auth中保存的main函数的ebp为input变量的地址(该地址在bss段中,并且之前输入的内容也保存与input中),今儿通过之前input变量中的内容,来覆盖main函数执行完毕之后的eip,从而控制程序的执行。

从0x08049284处开始执行,相当于为system传递参数。所以payload2用于覆盖main函数的eip,payload3用于覆盖main函数的ebp。该ebp设置为input的地址,即0x0811eb40。

from pwn import *
from zio3 import p32

ready_call_system = 0x8049284
input_or_main_ebp = 0x811eb40
payload = 'abcd'.encode('ascii') + p32(ready_call_system) + p32(input_or_main_ebp)
print(payload)
payload = b64e(payload)
print(payload)

所以,输入YWJjZISSBAhA6xEI即可通过。

为了验证我们的payload,我们把YWJjZISSBAhA6xEI通过base64解码之后,使用hexdump查看解码之后的内容对应的十六进制数据。

久许
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable.kr之simple login
Jason_ZhouYetao的博客
07-14 583
这题与之前所作的题目不同,不同点在于这题不存在ssh连接至其他的服务器,需要自己在脚本中体现。 首先,下载文件,放到IDA里跑一跑(这里说明,要注意下载下来的文件是32位还是64位的文件,这关系到能不能正确打开并得到反汇编代码的问题),得到main函数的伪代码: int __cdecl main(int argc, const char **argv, const char **envp) ...
pwnable.kr 之simplelogin
bluestar628的博客
12-09 341
这道题目还是很有意思的。是自从参加了一次pwn培训之后的第一道题目,感觉确实比以前舒服多了。 下载题目,IDA反汇编,基本逻辑很简单,输入一个字符串,进行base64解密,然后比对长度,如果超过12个就直接报错。 漏洞点找了很久,这个漏洞点确实很巧妙。开始的时候,checksec了一下。 发现开启了执行保护,和缓冲区溢出保护。所以直接放弃了溢出这个思路,
pwnable.kr [Rookiss] - [simple login]
Re:Umiade.tr
03-23 1345
Can you get authentication from this server? Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 Rookiss 初体验就从相对熟悉的逆向这一块开始好了。下载好文件后发现是 elf 64 ,在虚拟机上简单跑一跑,要求输入一个 Authenticat
pwnable.kr simple login writeup
lxx_nico的专栏
09-17 1218
pwnable.kr simple login writeup虽然说是pt150但是还是让我学到很多东西的。这是一个判定特定字符串的程序,直接说溢出点吧。输入的字符会经过一个base64解码,溢出点在auth的memcpy,只能够有4个字节的溢出,这么少怎么弄? 参考了大神思路。http://www.cnblogs.com/anewid/p/4567242.html 我们只能溢出4个字
pwnable.kr - simple login
加号减减号的博客
03-08 581
题目信息 分析 解题思路 wirteup 题目信息 题目给出的信息如下: 分析 下载得到 login 文件,这是一个静态链接的可执行文件。拖进 IDA 分析,main 函数如下: int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE *v4; // [esp+18h] [...
溢出基础知识、溢出保护机制、溢出利用方法.docx
01-10
溢出是计算机安全领域中的一个重要概念,主要发生在程序运行过程中,由于空间分配不当,导致数据超出预定的帧范围,从而影响到其他帧中的数据,甚至可能破坏程序执行流程,造成安全风险。本篇文章将深入探讨...
溢出检查机制.pdf
11-09
溢出检查机制.pdf
基于Linux的溢出攻击防护系统.pdf
09-07
基于Linux的溢出攻击防护系统 本文档主要介绍了一种基于Linux的溢出攻击防护系统,该系统可以有效地阻止溢出攻击,保护Linux系统免受恶意攻击或病毒的影响。 FuncFence系统是该防护系统的核心组件,可以提供...
Linux下基本溢出攻击
01-30
基本的溢出攻击,是最早产生的一种缓冲区溢出攻击方法,它是所有其他缓冲区溢出攻击的基础。但是,由于这种攻击方法产生的时间比较长,故而GCC编译器、Linux操作系统提供了一些机制来阻止这种攻击方法对系统产生...
Pwnable.kr simple login
BengDouLove的博客
03-18 276
程序的逻辑是,首先输入s,最大三十个字节(这里没有溢出),然后base64解密,解密后的明文存在v4,长度存在v6, 后面判断v6不能大于12,判断成功后将v4复制到input变量,,之后进入auth函数 inout auth函数第一句的memcpy感觉就很突兀,把input复制给v4(这是autn里的v4),后面根本没有用到v4,从这个角度看这句话应该也有点问题,,, 因为前面判断了,所以inp...
pwn -- pwnable.kr -- simple-login---学习stack pivot
YANG12345_6的博客
12-24 278
在看关于pwn的书时学到了 帧劫持stack pivot 利用这个例题练习一下。 基本思想: stack pivot利用到的gadget是在函数退出时需要的两条指令:leave(mov esp,ebp;pop ebp);ret;。这两条指令基本都会有。 可以利用这两条指令,通过溢出的方式,实现可以完全控制。 stack pivot实现的基本方法 (我的理解 通过溢出的方式将 我们之后要实现的完全可控的的地址写到EBP的地方 写入之后 ,程序第一次leave;ret;,将写入的地址赋给esp。
pwnable.kr】horcruxes - 伏地魔的7个魂器 gets溢出 截断 atoi转化
think_ycx的专栏
11-24 1549
本关信息 伏地魔吧自己分裂的灵魂藏在了7哥魂器中…这个描述666。本关要求我们找到所有的魂器然后ROP似乎就可以拿flag了。本关没有给源码,上IDA分析吧。本地运行前安装32位libseccomp库,apt-get install libseccomp-dev:i386。 init初始化abcdefg7个int值,保存在bss段,并计算sum。abcdefg的值生成时使用随机数做为种...
pwnable_simple_login
z1r0的博客
03-25 444
pwnable_simple_login 查看保护 上面图片可以看到有个溢出,一直溢出到了ebp。也就是说我们可以控制ebp,那如何控制ret_addr呢? 其实我们可以伪造一个假的内存块的地址,这个地址里里面放一个伪造的ebp和返回地址及参数,让程序认为伪造了一个正确的ret_addr。 from pwn import * import base64 context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0'
pwnable.kr
ACdream
04-22 641
从头开始学习ctf-pwn
pwnable.kr write up 之 sample login
Merc_A的专栏
05-22 692
作为一个萌新,能看懂真是不容易。 这题很明显是一道溢出题,auth函数中的memcpy有溢出。因为把input复制到v4上,v4在中,长度为8.[bp-8h]。然而题目要求的输入不能超过12位,这样你只能够得到ebp,无法一次性把ret addr也给改了,这就很蛋疼了。(需要注意的是题目要求输入的是经过base64encode之后的字符)。而我们想要的bin/sh在程序中已经有了,就在corr
pwnable.kr之simple login详解
Bill
04-26 2095
学习二进制不容易,大家要忍得住寂寞,耐得住孤独,进入正题. 总体思路: 输入更多的数据,溢出,修改main的返回值地址,使其返回到correct中,从而获取shell. 大家可能会有疑问:为什么不修改auth函数的返回值地址,跳到correct中.这是因为长度不够,我们需要输入16个字节的长度,才能覆盖返回值地址,但是程序只给了我们12个字节的长度. main函数int main(int
pwn入门之溢出练习
dfdhxb995397的博客
09-10 914
本文原创作者:W1ngs,本文属i春秋原创奖励计划,未经许可禁止转载!前言:最近在入门pwn的溢出,做了一下jarvisoj里的一些ctf pwn题,感觉质量都很不错,难度循序渐进,把自己做题的思路和心得记录了一下,希望能给入门pwn的朋友带来点帮助和启发,大牛轻喷题目链接:https://www.jarvisoj.com/challenges1、level0(64位)代码<ig...
PWN入门系列(2)溢出
小心信科理化声
12-02 1428
PWN入门系列(2) 溢出 溢出指的是程序向中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的中的变量的值被改变(覆盖)。是一种特定的缓冲区溢出漏洞,类似的还有heap、bss溢出等。其前提是: · 程序必须向上写入数据 程序对某个函数或者某个模块的输入数据的大小没有控制得当。 基本示例 举个简单的例子: #include <stdio.h> #include <string.h> void success() { puts("You Hava
详细介绍EVM执行层:的短地址漏洞 、ether丢失 、调用溢出 、Tx.Origin漏洞
最新发布
05-29
如果调用中的函数嵌套过多,可能会导致溢出,从而导致合约执行失败或产生不可预料的结果。 4. Tx.Origin漏洞:在EVM中,Tx.Origin表示交易的原始发送者。攻击者可以通过伪造Tx.Origin信息来欺骗合约,从而执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值