pwnable.kr第五题 passcode 第六题random

已于 2023-02-08 15:30:37 修改
阅读量533 收藏
点赞数
分类专栏: pwnable.kr 文章标签: 安全
于 2023-02-07 11:09:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42877778/article/details/128902051
版权
文章探讨了如何利用scanf的漏洞和全局OffsetTable(GOT)进行任意内存写入,从而执行system函数。此外,还提到了fflush函数的用途和段错误的原因。在第六题中,文章解释了异或运算在解决固定伪随机数问题中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录


在这里插入图片描述

第五题 passcode

参考链接
这个链接写的应该算比较详细了,但是它讲小端序那存在一点问题
学习知识点:
看了上面的链接还是有一些地方不明白,再加上这个链接就完全懂了,点击查看链接

代码如下:
在这里插入图片描述

本文漏洞利用的点在于在红框标记的地方:

对于scanf函数,在读取单个字符或者int类型的数据时,应该传的是地址指针,而这个题目则缺少&,就会直接修改passcode1和passcode2指向的地址。
scanf读取字符串时才不需要&符号。

因此这里无法通过直接输入passcode1和passcode2的值满足比较条件。
passcode1和name的地址如下图所示,通过观察可以发现,name的地址结尾为:ebp-0x70+100=ebp-0xc
而passcode1的初始地址为ebp-0x10,passcode1有4个字节覆盖了name的值,而scanf缺少指针输入导致在进行读取时实际上修改的是passcode1这个地址存放的值的地址,如下所示:

在这里插入图片描述

scanf读取passcode1时是将输入的passcode1写入xxx所在的位置,而非写入passcode1这个位置,因此在这里就实现了一个任意写操作。

因此可以通过name的最后四个字节来修改地址指向。

在这里插入图片描述
在这里插入图片描述

由于got表为了避免重复,对于一些常用函数都指定一个地址来直接存储该函数的调用,如下所示:
查看got表

objdump -R passcode

得到如下查询结果
在这里插入图片描述
由于printf函数被多次调用,因此这里可以直接使用printf函数的地址,在输入name时将存放printf的地址写入name的最后四个字节,当进行passcode输入时将该地址的内容修改为system的函数调用,则在接下来函数的执行中再次调用printf实际执行过程如下:
调用printf函数-》找到printf函数地址(该地址修改后实际存放的是system的函数调用)-》调用该地址所在的函数
此时就可以直接执行system函数。

注意:这里还可以替换成其他后面会调用的函数的地址,如fflush等

使用disas login查看system指令所在地址如下:
在这里插入图片描述
因此passcode1的值可以确定为0x080485e3,由于scanf读passcode1读入的是十进制数据,因此这里需要转换成十进制数据来读:
0x080485e3=134514147
在这里插入图片描述
构造答案例如:

python -c "print('b'*96 + '\x00\xa0\x04\x08'+'\n'+'134514147'+'\n')" | ./passcode

这里的’\x00\xa0\x04\x08’是printf函数入口地址的小端序0x0804a000。

fflush()函数

该函数有两个参数,
fflush(stdin):该函数功能是清空输入缓冲区,通常是为了确保不影响后面的数据读取(例如在读完一个字符串后紧接着又要读取一个字符,此时应该先执行fflush(stdin)。
fflush(stdout):刷新标准输出缓冲区,把输出缓冲区里的东西打印到标准输出设备上
同时还需要注意此函数仅适用于部分编译器(如VC6),但是并非所有编译器都要支持这个功能(如gcc3.2)。这是一个对C标准的扩充。
接下来直接运行passcode,然而却直接报错:

Segmentation fault (core dumped)
在这里插入图片描述
这里百度说这个错误是内存读入的问题,也就是实际上如果想要通过scanf读取int类型的数据应该是使用以下语句,而它少了一个&

scanf("%d",&passcode1)

而当前passcode1在读取前存放的数据所在的地址可能无法放入数据导致的。

方法2

这里在passcode1实现了任意写以后实际上还有一个方法:
这里可以看到fflush存在一个跳转函数,这里可以直接把跳转地址的内容修改为system所在的位置即可:
在这里插入图片描述
构造答案如下:

python -c “print(‘b’*96 + ‘\x04\xa0\x04\x08’+‘\n’+‘134514147’+‘\n’)” | ./passcode

答案

在这里插入图片描述
可以看到两种方法都可以得到答案。

第六题 random

代码如下:
在这里插入图片描述

这道题突然一下又变得很简单了呀,只需要两个知识点:

  1. a ^ b ^ a=a ^ a ^ b=b (关于异或的运算)
  2. random=rand(),其中rand函数如果没有种子的赋值,那么它产生的随机数是固定不变的。也就是这里产生的是一个固定不变的伪随机数。
  3. 利用以上两点答案就很简单了,key=伪随机数 ^ 0xdeadbeef

使用gdb调试查看伪随机数的值:
在这里插入图片描述
可以看到rax中存放的就是产生的伪随机数的值:1804289383
在这里插入图片描述
答案也就是:3039230856
在这里插入图片描述

pwnable.kr——flag、passcode
shutdown -s -t
08-17 519
pwnable.kr —— flag 送分 下载文件,查看一下,是ELF文件并且有UPX壳。这个壳只是个压缩壳,不是难事,脱壳。之后用IDA打开看一下,加载完之后主函数就是整个逻辑,malloc()一个空间,然后使用strcpy复制。数据的来源也很清晰,来自CS段的flag变量。直接进入到cs:flag的位置复制出来目标字符串提交即可。 pwnable.kr —— passcode ...
PWN passcode [pwnable.kr]CTF writeup解系列5
重新启程
01-01 959
直接看目: 连接服务器看看情况: root@mypwn:/ctf/work/pwnable.kr# ssh passcode@pwnable.kr -p2222 passcode@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | \|...
pwnable.kr passcode
r250414958的博客
04-21 444
目来自pwnable.kr 里面的思路是通过学习别人的文章获得的,作为个人的学习记录一下 目是这样的 passcode SSH连接一下 看看有什么文件 可以看到有三个文件,其中 flag 只对创建者 passcode_pwn 和 root 可读,而我们登录的用户是 passcode(从连接时的用户名或使用 whoami 命令可以得知),因此是没有权限读这个文件的。passcode 对有所有...
pwnable.kr-passcode
qq_35661990的博客
09-18 624
这道的难点在于GOT表覆写,理解了GOT表和PLT表的关系就比较好做了。 函数在调用printf等函数的时候需要访问PLT表,而PLT表中储存的是GOT表对应项的地址。 另外一点就是scanf的参数如果没有加&地址符,就会把参数所在栈内的4个字节(我认为是因为目中要传入%d是四字节的int型吧)当作地址,然后把缓冲区的数据输入进去。(在IDA中看,就是有加地址符,程序会执行lea指...
pwnable.krpasscode
搓雪小怪兽的工作室
08-26 331
目描述 Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that? ssh passcode@pwnable.kr -p2...
pwnable.krpasscode
think_ycx的专栏
07-09 579
下载程序scp -P 2222 -p passcode@pwnable.kr:/home/passcode/* ./漏洞信息程序main函数中,welcome和login存在栈复用,welcome调用gets向ebp-0x70读入100个字符。 login中scanf没有取地址,因此会把[ebp-10h]和[ebp-0xch]的内容当成要写入的地址。在welcome中,我们有一次布置数据的机会,可...
pwnable.kr报错NameError: name ‘remote‘ is not defined
CODER的博客
12-25 2632
coin这道需要连到pwnable.kr的服务器上去执行命令 然而写入文件到tmp后并不能执行 会报错 name ‘remote’ is not defined 我研究了一番 笑死我了 首先是查资料感觉有人写了个pwn.py在/tmp 于是ls -lah /tmp/pwn.py 发现是col用户 于是以col身份连上去删掉这玩意 然后还是报错 感觉/tmp/pwn有这个目录 于是 ls -lah /tmp/pwn 创建者是uaf 连上去继续删掉目录 本来以为这样就好了 于是又执行了一遍还是报错。。。 进入
pwnable.kr之collision
Jason_ZhouYetao的博客
06-18 503
先看目源码 #include <stdio.h> #include <string.h> unsigned long hashcode = 0x21DD09EC; unsigned long check_password(const char* p){ int* ip = (int*)p; int i; int res=0; for(i=0; i<5...
如何找回iPhone的访问限制密码
Crazy Panda
06-20 8606
作者:Fiez Wang 链接:https://www.zhihu.com/question/20831363/answer/96581795 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 首先说结果:我的iPhone 5s(IOS 9.3.1未越狱)的『访问限制密码』已经成功破解,不需要恢复iPhone系统、不需要恢复备份、不需要越狱,所以数据不会
[pwnable.kr]passcode
iekuil的博客
10-03 330
->plt[1]第一条指令jmp *got[3] --> plt[1]第二条指令压栈 --> plt[1]第三条指令jmp plt[0] --> plt[0]第一条指令再压栈 --> plt[0]第二条指令jmp *got[2] --> 进入动态链接函数 --> 回写got表&调用目标函数。got[3],即804a000处实际存的值是8048426,即plt[1]中第二条指令的位置,除了plt[0]和got[0]、got[1]、got[2]有特殊作用外,
pwnable.kr——passcode
xy_369的博客
05-10 140
⑩:综上,我们的思路是将 got 表中 printf 函数的地址(即0x0804A000)中存的值修改为 system("/bin/cat flag");的地址(0x080485E3)即可,随后程序执行到 printf 函数就相当于执行system("/bin/cat flag");函数,但已知我们只能控passcode1不能控passcode2,所以这不能依靠修改passcode1,passcode2使程序正常执行来执行 system("/bin/cat flag");⑦:查找偏移,可知偏移为96。
pwnable.kr - passcode
ACdream
10-12 565
pwnable.kr passcode
pwnable.krpasscode
weixin_30563917的博客
07-14 145
使用ssh passcode@pwnable.kr -p2222登录到远程服务器, ls -l 查看目录下的文件, -r--r----- 1 root passcode_pwn 48 Jun 26 2014 flag -r-xr-sr-x 1 root passcode_pwn 7485 Jun 26 2014 passcode -rw-r--r-- 1 root root ...
pwnable.kr [Toddler's Bottle] - passcode
Re:Umiade.tr
03-27 576
Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that? ssh passcode@pwnable.k
pwnable.kr-passcode WP
Casuall的博客
03-30 528
首先用ssh连进去,一个可执行文件,一个源码文件,一个flag文件,先执行passcode程序,让你输入name,passcode1,passcode2,如图。 我们先用scp命令把文件拷贝下来,scp -P2222 passcode@pwnable.kr:passcode . ,注意后面有一个点,表示拷贝到当前目录的意思。然后看一下源码 #include <stdio.h> #in...
pwnable.kr wp passcode
fa1c4的blog
01-17 287
目 Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that? ssh passcode@pwnable.kr -p2222 (pw:guest) 解 #include <stdio.h> #include &lt
pwnable.krpasscode summary
Bill
04-23 722
本人写这篇博客完全是为了方便以后查证,若能帮上各位的忙,在线非常宽慰. 关于pwnable.kr上的passcode,这博客写的很到位,大家不妨去看一下:passcode.我在这里只是补充几个问,再将整个过程简单化而已. 1.plt表和got表的关系   plt表—->got表.当程序中有需要库函数时,该plt和got表上场了.我们来举一个简单的例子(test.c):#include <st
(1)如果执行数据库的查询语句为:$sql="select * from users where username = ' ".$username." ' and passcode = ' ".$passwd." ' "; 该如何构造万能密码?
最新发布
05-18
在该 SQL 查询语句中,$username 和 $passwd 都...select * from users where username = '' or 1=1#' and passcode = '' ``` 由于 1=1 永远为真,所以这个查询语句将会返回所有用户记录,无论用户名和密码是否匹配。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值