18.9.19 Jarvis OJ PWN----Smashes

最新推荐文章于 2021-07-03 16:14:13 发布
最新推荐文章于 2021-07-03 16:14:13 发布
阅读量512 收藏 1
点赞数
分类专栏: PWN_WP 文章标签: Smashes Jarvis OJ PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42192672/article/details/82776113
版权

先checksec一下

我的天,有栈保护,nx,咋办……

IDA进去,我们可以看见有个函数挺关键的,如下

我们可以看到stdin是可以无限输入的,但是只有接收输入时接收到'\n',才会继续执行(跳出while循环),找不出栈溢出的办法

然后看了大佬的操作之后发现:可以故意触发canary来攻击(SSP(Stack Smashing Protector ) leak)

先介绍一下好了,SSP外号叫金丝雀。应对“栈溢出”(也称缓存区溢出),需要一些对策。比如GCC的“Stack-Smashing Protector”机制(在数组后插入一些金丝雀(Canary, 因为大家在矿井作业时&#x

最低0.47元/天 解锁文章
xiaoyuyulala
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2377
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
Jarvis-Musical-Bot:Jarvis Telegram Music Bot for Spotify
04-06
Jarvis Telegram Music Bot for Spotify 该Telegram机器人允许用户授权其Spotify帐户并获得不错的功能。 授权实际上不收集用户昵称以外的任何私人数据。 其特点: 分享当前歌曲。 您可以共享Spotify客户端上当前正在播放的任何歌曲。 如果您的朋友登录了Jarvis,则当您的朋友单击其Spotify客户端中的“在Spotify上播放”按钮时,您的共享内容就会播放。 共享当前的播放上下文。 Jarvis会自动检测正在播放的内容(专辑,艺术家,播放列表),并允许您与朋友分享。 另外,当您单击“在Spotify上播放”按钮时,将播放播放上下文。 使用搜索分享歌曲。 在任何聊天中,您都可以使用内联模式通过搜索简单地找到歌曲。 超级随机播放。 无需Spotify-算法。 只需将“喜欢的歌曲”部分中的歌曲随机播放很多次。 您的上衣。 显示特定
JarvisOJ PWN smashes WP
苗_的博客
01-15 345
Smashes 涉及到一些新的知识,以下为转载大佬的一篇博客: 这道题利用是保护机制本身的一种漏洞: 在程序加了canary保护之后,如果我们读取的buffer覆盖了对应的值时,程序就会报错,而一般来说我们并不会关心报错信息。 而stack smash技巧则就是利用打印这一信息的程序来得到我们想要的内容。 这是因为在程序发现canary保护之后,如果发现canary被修改的话,程序就会执行_...
Jarvis OJ -pwn smashes
hanqdi_的博客
02-05 361
pwn smashes 题目分析 检查保护机制 开启NX,canary,fortify 保护,可以得出不能往堆栈中写入shellcode进行控制利用。 ida中打开 输入不正确的canary后,会触发栈保护错误,利用打印出argv[0]的地址覆盖成想要输出内容的地址。 想要输出的flag的地址,在程序中存在,所以能找到。 angv[0]_addr:即程序名的地址。在ma...
jarvisoj pwn smashes (2015 32c3-ctf hackme) [Stack Smash]
ACdream
02-07 538
题目链接: https://www.jarvisoj.com/challenges 题目bin文件来源: github - ctfswriteup - 2015 - 32c3ctf - pwn - hackme   分析过程: 开启了NX与Canary 程序流程: 输入名字之后,即可输入一个地址去覆盖flag~这里涉及的知识点是:Stack Smash 当程序开启了Can...
Smashes Jarvis OJ
九层台
04-06 617
nc pwn.jarvisoj.com 9877 检查开启的保护 liu@ubuntu:~/Desktop$ checksec 2 [*] '/home/liu/Desktop/2' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found #栈保护 NX: NX en...
Python库 | jarvis_tools-10.23.2018-py2.py3-none-any.whl
03-31
资源分类:Python库 所属语言:Python 资源全名:jarvis_tools-10.23.2018-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
02-05
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
Python库 | jarvis_ironman-5.3.1-py2.py3-none-any.whl
02-16
python库,解压后可用。 资源全名:jarvis_ironman-5.3.1-py2.py3-none-any.whl
JarvisOJ smashes
PLpa的博客
07-10 309
这题仍然是栈溢出题,只不过加入了栈保护CANARY,要做这题,CANARY的作用以及他对栈的影响一定要有所了解,不然将无从下手。 拿到程序,首先查看一下保护: 程序开了CANARY保护,有点麻烦。 对于canary,就是在栈底前面一点点(不一定贴近)加入一串字符,如果你暴力进行栈溢出,你就会覆盖canary,导致程序报错,只是栈的一种保护机制。 我们先进入IDA查看程序逻辑: 我们可以看到在函...
[Jarvis OJ - PWN]——Smashes
Y_peak的博客
02-16 203
[Jarvis OJ - PWN]——Smashes 题目地址: https://www.jarvisoj.com/challenges 题目: 还是先checksec一下看看。64位,并且除了PIE,其他保护基本都开启了。 在IDA中看看 发现有可以利用的栈溢出, 我原本的想法是将canary给泄露出来。但是看到触发了canary保护后的结果, 有点不对劲。 修改了文件名后,我确定了, 泄露的就是argv[0]。我们可以通过将其覆盖, 主动触发canary保护, 将flag拿到手。 我们
jarvis oj smashes
发蝴蝶和大脑斧的博客
02-23 423
checksec发现开启了nx和canary。ida打开发现输入name时存在栈溢出,缓冲区大小0x108,同时发现存在"PCTF{Here’s the flag on server}"字符串,不过第二次输入的时候会覆盖。当检测到修改了canary时会返回'*** stack smashing detected ***: /home/ctf/smashes terminated\n'。 此处“/h...
Jarvis OJ --Smashes (SSP leak攻击)
Kni9hT's Blog
11-03 735
1
Jarvis Oj smashes 经验总结
qq_43189757的博客
07-18 195
解题思路: 本题除了PIE 和 RELRO 其他保护都开了 而ELF文件中告诉了你flag的位置,所以要通过某个漏洞去读取这个地址上的flag,在触发 CANARY 这个保护时, 程序会终止并且输出argv[0] 的内容,利用这点加上gets函数的无限读取可以覆盖argv[0] 处的内容,从而输出我们想输出的内容 (本来在pwnable.kr 上做过类似的题目,但是过了太久忘光了,全程在想有没有其...
pwn学习-jarvisoj-smashes-利用canary打印信息
qq_45653588的博客
12-22 290
下载文件,先检查一下保护机制,开得还挺多的。 反编译一下查看伪代码。 unsigned __int64 sub_4007E0() { __int64 v0; // rbx int v1; // eax __int64 v3; // [rsp+0h] [rbp-128h] unsigned __int64 v4; // [rsp+108h] [rbp-20h] v4 = __readfsqword(0x28u); __printf_chk(1LL, "Hello!\nWhat's
canary入门小总结(遇到的新题型:jarvis oj pwn smashes解题以及一些基础了解)
ins_Digger的博客
11-01 768
今天的我还是在做pwn题,没怎么看书。本来今天打算做picoCTF的pwn题的,无奈怎么也连不上它的shell。(难受)然后去Jarvis OJpwn题去了。 题目挑着做,总共只做了两题。第一题是简单的栈溢出。第二题就很有趣了,是我没遇过的题 看网上大神们写的writeup叫做canary。 做完题目后稍微去搜索了一下关于这种题目的资料。(这里吐槽一下有些写writeup的博主,本来就是新手题...
(Jarvis Oj)(Re)Smali
Nothing
03-30 563
(Jarvis Oj)(Re)Smali 安卓的smali文件,有自己的语法,熟悉这个语法可以直接还原成源文件。然而我并看不懂。应为程序比较简单所以靠猜也是可以知道大概意思的。 .class public Lnet/bluelotus/tomorrow/easyandroid/Crackme; .super Ljava/lang/Object; .source "Crackme.java"...
Jarvis OJ pwn wp - Tell Me Something + Smashes
fa1c4的blog
07-03 126
Tell Me Something 栈溢出, ret2text, 白给题, 但是要注意这里的调用约定不是标准的, 所以偏移量就是0x88, 不需要加8 add rsp, 0x88之后就ret了, 所以偏移为0x88, 不是根据IDA反编译的结果来判断 from pwn import * from pwnlib.util.cyclic import cyclic context(arch = 'amd64', os = 'linux', log_level = 'debug') sel = 1 fi
2018 SUCTF招新赛
qq_42192672的博客
11-15 1705
PWN 1.stack checksec一波 什么保护都没开,可还行,IDA找一波漏洞 read函数百分之百溢出 我们看到了我们喜爱的 改一下rip美滋滋 exp #coding=utf8 from pwn import * context.log_level = 'debug' context.terminal = ['gnome-terminal','-x','b...
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值