xman 厦门邀请赛 pwn1 babystack writeup

最新推荐文章于 2022-11-30 17:38:02 发布
最新推荐文章于 2022-11-30 17:38:02 发布
阅读量524 收藏
点赞数 1
分类专栏: pwn CTF 文章标签: xman pwn writeup babystack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39596232/article/details/100600359
版权
本文详细介绍了xman厦门邀请赛中的Pwn1题目——babystack,分析了64位二进制文件的栈溢出漏洞,包括绕过canary保护、获取libc基地址、利用ropchain进行代码执行。通过puts函数控制变量s,利用栈溢出获取canary值,然后计算libc基地址,最后利用gadget实现远程代码执行。在漏洞利用过程中,作者强调了参数传递、字符串转换和Python中的struct模块的重要性。
摘要由CSDN通过智能技术生成

题目描述:

这个题目针对现在的我还是有点难度的,花费了我三天的时间,最后发现原因竟是因为字符转化为整型的过程中多加了好多0.

分析思路:

1、首先查看文件的详细信息:

tucker@ubuntu:~/xman/pwn/pwn1$ file babystack
babystack: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, for GNU/Linux 2.6.32, BuildID[sha1]=d1d54a6fc21f6c1d9a92f4f3bfafadd44683afd4, stripped
tucker@ubuntu:~/xman/pwn/pwn1$ checksec babystack
[*] '/home/tucker/xman/pwn/pwn1/babystack'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

是一个64bit的二进制文件,没有开启PIE,但是开启了canary保护,因此我们首先想到的就是绕过canary保护。

2、使用IDA打开:

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  int v3; // eax
  char s; // [rsp+10h] [rbp-90h]
  unsigned __int64 v6; // [rsp+98h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stderr, 0LL, 2, 0LL);
  memset(&s, 0, 0x80uLL);

  while ( 1 )
  {
    puts_info();
    v3 = j_read();
    switch ( v3 )
    {
      case 2:
        puts(&s);
        break;
      case 3:
        return 0LL;
      case 1:
        read(0, &s, 0x100uLL);
        break;
      default:
        j_puts("invalid choice");
        break;
    }
    j_puts((const char *)&unk_400AE7);
  }
}

从中我们很容易看到并且在puts(&s)中我们也可以控制s的值,从而打印出我们需要的信息。在前面的memset中仅仅初始化了0x80个字节,但在read(0, &s, 0x100uL)读取了0x100个字节,因此存在栈溢出漏洞。

3、我们需要注意,程序为了防止canary泄露,canary的第一个字节为\x00,因此我们首先我们构造payload&#x

最低0.47元/天 解锁文章
tuck3r
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0ctf2018-babystack_writeup
CabbageWind的博客
08-17 877
题目:0ctf2018-babystack 检查保护机制: 可以看到程序只提供了NX保护。 在IDA中进行反编译,发现一个可读的位置,存在栈溢出漏洞,可能可以利用: 使用peda计算read位置的偏移: 得到read位置距离返回地址的偏移为44,比read的长度0x40小,说明栈溢出漏洞可直接被利用。 查看文件ELF表 通过elf表中查看得知程序中不存在system函数,无法直接跳转;也不存在输出函数,无法打印got表地址。 查看vmmap 通过vmmap可以看到bss段可
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1615
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
pwn1-厦门邀请赛
m0_55906008的博客
11-30 260
ctf pwn1 厦门邀请赛
(攻防世界)(pwnpwn1(厦门邀请赛babystack
PLpa的博客
07-21 2538
canary!canary!canary! 拿到题目,下载附件,查看保护。 可以很清楚的看到,程序开了canary,这就说明我们不能实现暴力的栈溢出,还要考虑这个canary的值。 我们首先运行一下程序: 可以很清楚的看出程序的功能,当我们选择1时,我们就可以输入,当我们选择2时,我们可以输出我们前面输入的东西。 进入IDA看源代码: 我们可以看到canary的值存放在v6里,v6距离rbp...
pwn1
WYJ____的博客
05-10 1083
ls 列出文件和目录。 ls -l 列出文件的详细信息。 cat flag 显示文件flag的内容。
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
第四届Xman个人排位赛流量分析之strange_ssid复现
12-29
第四届Xman个人排位赛流量分析之strange_ssid复现 查找SSID找到一个md5,爆破之,得flag{n3k0}
Xman非常好用
07-30
Xman:一款高效实用的软件工具》 Xman,这款被誉为“非常好用”的软件工具,无疑在IT领域中占据了一席之地。它以其强大的功能和便捷的操作性赢得了用户的广泛赞誉。然而,作为一位负责任的IT专业人士,我们需要...
xman-frontend
05-29
Xman 前端 运行项目 克隆项目 运行npm install或yarn 运行npm start或yarn start 与后端集成 前端通过 REST API 连接到后端的不同服务。 服务的文档链接如下 如果您需要访问用户的访问令牌,您可以通过 import ...
Unicode-XMan.rar_beta
09-24
**Unicode-XMan.rar_beta** 是一个压缩包,包含 **Unicode XMan Version 1.0 Beta (20090910)** 的资源,主要用于查看和理解Unicode字符。这个工具是一个早期的测试版本,发布于2009年9月10日,旨在帮助用户探索...
pwn1第一关
qq_18823653的博客
03-28 462
检查程序,发现是32位,开了NX保护 拖入ida32 get()存在溢出,gdb调试 偏移112字节后覆盖返回地址,程序本身有调用system函数, exp如下: from pwn import * p=process('./pwn1') payload='a'*112+p32(0x0804863A) p.recvline() p.sendline(payload) p.interactive(...
邀请赛misc key
afu42832的博客
09-24 762
目录 题目下载 提示 解题过程 1.提取RGB值 2.找到key 3.循环异或,得到flag 反思 题目下载 题目名:key 提示 提取钥匙中特殊颜色的RGB循环异或KEY值 解题过程 1....
Xman pwn level3 writeup
qq_39596232的博客
08-26 2133
题目描述: libc!libc!这次没有system,你能帮菜鸡解决这个难题么? 分析思路: 1、拿到文件后,首先查看文件的详细信息以及相应的安全机制: tucker@ubuntu:~/pwn$ file level3 level3: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked,...
18.9.20 Jarvis OJ PWN----[XMAN]level4
qq_42192672的博客
09-20 472
checksec之后,发现可以栈溢出 找可以溢出的地方 我们可以读取无穷无尽的数 但是在IDA中没找到system函数,同时题目也没有给我们lib文件,咋办………… 根据大佬的资料,了解到了pwntools的一个函数DynELF,DynELF函数可以leak system的真实地址,当然最后我们还是要用rop代码重新还原回去执行的 先看一下DynELF怎么用,基本流程如下 d ...
溢出练习题pwn1
Elvira
08-26 5132
集训慢慢接近了尾声,樊荣学长给我们jian
厦门邀请赛 pwn2 XCTF
qq_41071646的博客
05-15 634
这个题 看起来是一个无懈可击的堆题 典型的 堆菜单题 然后看一下函数里面有没有什么利用的点 这里 感觉没有什么利用的点 然后我们往下看 这里的修改长度是我们自己输入 也就是我们自己定的 长度 那么我们就可以 实现堆块任意输入 然后继续往下看 这里可以有些麻烦 输出的内容长度被限定在了 一开始的堆块大小 这个 可能需要一些绕过 然后看一下 dele ...
2019XCTF攻防世界之萌新入坑
weixin_44113469的博客
04-06 1626
XCTF攻防世界的题质量确实很高,还有解题思路和writeup,真是棒极了。 萌新入坑 0x01 babystack 保护机制 题目开启了nx,canary 题目代码 思路分析 ①这道题主要是绕过canary,然后栈溢出getshell。 ②经分析,read函数读入到s处,可以溢出。 ③put函数输出s的内容,遇到’\x00’才停止,即使字符串中存在’\n’,也会继续输出,用...
XCTF PWN高手进阶区之babystack
neuisf的博客
01-30 479
此题,开启了RELRO、NX、CANARY,未开启PIE,只有read函数溢出存在溢出可能。 第一,泄露canary,程序会通过puts函数输出缓冲区s的内容。puts函数在输出时,只有遇到\0才会结束,而缓冲区s又和main函数的canary相连,此时,输入和缓冲区大小相等的字符串,溢出的\n将会覆盖canary的第一字节00,从而将canary的后三个字节输出,构建canary。 第二,获取s...
xctf pwn1
qq_41071646的博客
05-14 963
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值