攻防世界babystack(pwn1)——glibc_all_in_one初体验

于 2022-05-14 11:27:32 发布
阅读量1.3k 收藏 7
点赞数 3
分类专栏: 学习笔记 文章标签: libc pwn ret2libc 汇编 canary
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48066554/article/details/124765709
版权

攻防世界babystack(pwn1)——glibc_all_in_one初体验

文章目录

引入

​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决)

初步分析

1、checksec

​ 没有PIE,i了i了

2、伪代码分析

在这里插入图片描述

​ 直接一个大大的溢出read甩我脸上,而且还是无限循环的read,而且有120字节的溢出空间(0x100-136),完全不需要自己费尽心思去构造乱七八糟的利用链,这种题请务必もっともっと!XD

​ 但是,在main函数的最开始部份存在着一条语句v6=__readfsqword(0x28u) ,这条语句的作用就是把canary字段读到栈中,所以这道题我们需要想到绕开或者泄露canary的方法,不然盲目地栈溢出会引起程序 __stack_chk_fail的报错。这里程序正好 提供了一个puts方法,可以供我们泄露canary。

3、栈分析
addr var
-0x90 buf
-0x8 var_8
0x0 s
0x8 r

​ 栈结构大致如上,其中var_8就是心心念念的canary,可以清楚看见canary以及返回地址都在栈溢出的覆盖范围内

解题思路

1、泄露canary

​ 由于题目给出了puts方法,所以可以尝试先把buf与canary之间的空间用字符填满,然后使用puts函数将canary输出。但是canary为了防止栈内容泄露,特地把最低位设置为"\x00",以此让输出函数被截断,防止泄露canary及canary后的栈内容。

​ 所以要是想要输出canary的值,需要使用填充字符把canary的最低位覆盖为"\x00"以外的值。又因为程序是小端程序,所以当我们溢出缓冲区一个字节时,溢出的一个字节正好能覆盖到canary的最后一个字节上,此时,canary将被认为是输入的一部分随着填充字符串被puts函数输出出来。

在这里插入图片描述
在这里插入图片描述
​ 处理后获得canary

在这里插入图片描述

因为调用过puts函数,所以puts的gots表地址和puts表地址是已知的,再加上有充足的溢出空间,所以这里还是请出老演员puts函数来把puts函数的libc装载地址泄露出来

​ 需要注意的是,由于程序为64位程序,所以puts函数的参数需要通过寄存器传递,所以这里还需要找到一个pop rdi; ret;的小gadget,这里我使用的是ROPgadget工具进行搜索,具体方法不再赘述。

​ 然后就可以开始构造ROP链,具体如下

payload1 = "a" * 0x88 + p64(canary) + "A"* 0x8 +  p64(rdi_addr) + p64(puts_got) + p64(puts_plt)  + p64
最低0.47元/天 解锁文章
lunat:c
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[攻防世界 pwn]——hello_pwn
Y_peak的博客
02-18 286
[攻防世界 pwn]——hello_pwn15 题目地址: https://adworld.xctf.org.cn/ 题目: checksec IDA, 利用栈溢出修改dword_60106C就好距离为4 exploit from pwn import * #p = process("./pwn") p = remote("111.200.241.244",35304) payload = 'a'*4 + p64(0x6e756161) p.sendline(payload) p.inter
关于glibc-all-in-one下载libc2.35以上报错问题
最新发布
2302_79899078的博客
06-18 180
xclibc -x ./pwn ./libc-版本。下载2.35时报错:原因是缺少解压工具zstd。xclibc -c libc版本。下载后重新输命令就可以了。附加xclibc命令。
[BUUCTF]PWN——bjdctf_2020_babystack
BangSen1的博客
03-29 294
例行检查,64位,开启NX保护 运行一下, 用IDA打开,检索字符串,看到了后门 跟进查看。 找到了地址,shelladdr=0x4006EA 查看主函数 接收函数长度由我们自己决定,由此可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',25232) shelladdr=0x4006EA r.sendline('100') payload='a'*(0x10+8)+p64(shelladdr) r.sendline(payload) r.
[攻防世界 pwn]——guess_num
Y_peak的博客
02-19 1115
[攻防世界 pwn]——guess_num15 [攻防世界 pwn]——level0 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下,开启了NX, canary, PIE 好家伙 在IDA中发现 我们只要利用gets函数将seed[0]给覆盖掉就可以了, 间距为0x20 用C语言写个小demo #include <stdio.h> #include <stdlib.h> int main() { int n, b;
[BUUCTF]PWN——actf_2019_babystack
mcmuyanga的博客
01-19 1365
actf_2019_babystack 附件 步骤: 例行检查,64位程序,开启了nx保护 本地运行一下看看大概的情况,有两次输入 64位ida载入 程序可以输入两次,加上只能覆盖ebp和返回地址,想到的是栈迁移的方法 栈迁移主要就是使用的leave和retn这两条指令,两条指令的实质是 leave:move rbp,rsp;pop rbp retn:pop rdi 利用思路 第一个输入点固定输入0xe0,造成溢出 19行会打印出s在栈上的地址,接收一下,获得栈地址 由于没有现成的system
攻防世界高手进阶区——dice_game
weixin_62675330的博客
02-19 1935
攻防世界高手进阶区——dice_game 题目里面啥都没有。 一.分析文件 checksec 只有栈溢出保护关闭了,其他都是开着的。 运行 可以看出是要猜数字,猜对50次。 ida逆向 __int64 __fastcall main(int a1, char **a2, char **a3) { char buf[55]; // [rsp+0h] [rbp-50h] BYREF char v5; // [rsp+37h] [rbp-19h] ssize_t v6; // [
[BUUCTF]PWN18——bjdctf_2020_babystack
mcmuyanga的博客
09-02 2748
[BUUCTF]PWN18——bjdctf_2020_babystack 附件 步骤: 例行检查,64位,开启了nx保护 试运行一下程序 大概了解程序的执行过程后用64位ida打开,shift+f12先查看一下程序里的字符串 看到/bin/sh双击跟进,ctrl+x找到了后门函数,shell_addr=0x4006e6 根据试运行的回显,找到了输入点 一个简单的小程序,buf读入的数据长度由我们输入的nbytes来控制,所以这里可以利用它来溢出 EXP from pwn import* r=re
BUUCTF PWN bjdctf_2020_babystack
Rt1Text的博客
04-23 303
1.checksec+运行 64位/NX保护 2.64位IDA进行中 1.main函数 read()函数溢出 跟进buf,看看偏移 offset=0x10+8 但要注意一点: read(0, buf, (unsigned int)nbytes); 无符号整型,需要输入-1,进行整型溢出 接下来就是常规的操作 backdoor函数地址 3.直接上脚本 from pwn import* #p=process('./12babystack') p=remote...
[攻防世界 pwn]——get_shell
Y_peak的博客
02-18 229
[攻防世界 pwn]——get_shell 题目地址: https://adworld.xctf.org.cn/ 题目: IDA源码 直接交互就好 exploit from pwn import * p = remote("111.200.241.244",39864) p.interactive()
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 6840
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
1. "PWN.c":这很可能是 AVR 单片机的 C 语言源代码,实现了 PWM 输出功能。我们可以预期代码中包含了初始化 PWM 定时器、设置 PWM 配置、以及可能的 PWM 寄存器操作等内容。 2. "www.pudn.com.txt":这个文件可能是...
awd攻防比赛总结——3s_NwGeek.docx
09-30
AWD 攻防比赛总结 AWD 攻防比赛总结是关于一场线下的 AWD 攻防对抗赛的总结报告,报告作者 3s_NwGeek 分享了在比赛中的经验和心得。该报告主要集中在 Web 环境下的个人领悟到的技巧和心得。 首先,作者介绍了比赛...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
在网络安全领域,特别是针对Pwn(破解)类竞赛,"jmp_rsp"是一个常见的技术概念,主要涉及栈溢出漏洞的利用。广东大学生网络攻防大赛中的这个“jmp_rsp”题目显然是设计来测试参赛者对这类漏洞的理解和利用能力。...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
1. C语言源代码:这部分代码可能负责设置定时器参数、初始化PWM接口以及根据应用需求调整占空比。 2. ARM7汇编代码:可能包括更底层的定时器控制和中断处理函数,这些函数可能直接操作硬件寄存器以实现PWM功能。 ...
C++中while循环中cin语句被跳过问题解析
weixin_48066554的博客
06-18 5798
今天在写代码的时候,遇到了一个非常奇怪的问题 while (true) { int select; cout << "请输入查找的方式:" << endl; cout << "1、按职工编号查找" << endl; cout << "2、按职工姓名查找" << endl; cin >> select; if (select == 1) { break; }
Debug工具的使用
weixin_48066554的博客
10-17 5075
实验一 Debug工具的使用 一、预备知识:Debug的使用 1)、什么是Debug? 实模式( 8086 方式)程序的调试工具。可以用它查看 CPU 各种寄存器中的内容、内存的情况和在机器码级跟踪程序的运行。还可以满足你作为Hentai的偷窥欲望,想想透过这个小小的dos窗口CPU和RAM在你面前一览无余的样子,是不是一下子就冲…满了热情呢 (并没有) 2)、我们用到的Debug功能 用 Debug 的 R 命令查看、改变CPU寄存器的内容。 用 Debug 的 D 命令查看内存中的内容。 用
堆机制利用之fastbin
weixin_48066554的博客
05-04 2300
堆机制利用之fastbin 前半部分:基于libc2.23(无tcache) 堆机制(fastbin等) 想要了解堆的机制利用方法必须要先了解堆的基本机制以及结构 目前主要使用的内存管理库是ptmalloc,而在ptmalloc中,用户请求的空间由名为chunk的数据结构表示 下面就是一个标准的chunk结构 该chunk中,**prev_size参数为前一chunk(如果未被使用)的大小,size参数为该chunk的大小,而P参数(pre_insue)为标志位,标志前一个chunk的使用情况。**而上述
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值