BugkuCTF-PWN题canary超详细讲解

最新推荐文章于 2024-11-20 10:24:50 发布
原创 最新推荐文章于 2024-11-20 10:24:50 发布 · 2.7k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c# #安全

这篇博客深入剖析了Bugku CTF中的一道PWN题,涉及Canary保护机制和栈溢出漏洞。文章解释了小端序内存存储、解题流程,以及如何利用栈溢出泄露Canary值。作者通过设置断点观察寄存器变化,并使用ROPgadget找到所需 gadget,最终目标是调用system函数执行'/bin/sh'来控制系统。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

知识点

小端序说明,数据在内存里是如何存储的?下表里数据都为16进制
在这里插入图片描述

解题流程

在这里插入图片描述
题目Hint:更新 LibcSeacher 的 libc-database

checksec查看保护机制
在这里插入图片描述
存在Canary和NX。

在这里插入图片描述
0x28=40
0x10=16
0x29=41
0x300=768
0x2C=44

buf长度为48,而read读取长度为768
v5长度为520,而read读取长度为768
所以存在栈溢出漏洞
在这里插入图片描述
注意关注以下两条语句
.text:000000000040082C mov rax, fs:28h
.text:0000000000400835 mov [rbp+var_8], rax
canary存在rbp+var_8,可以在0x40082C下断点,

最低0.47元/天 解锁文章

200万优质内容无限畅学
BugkuCTF pwn canary
ChaoYue_miku的博客
07-03 1217
** 0、下载附件使用checksec检查保护情况 ** 开启了NX保护和Canary保护 ** 1、nc 114.67.246.176 19138远程连接,查看目 ** ** 2、使用IDA 64 Pro打开文件反编译 ** 查看main函数,两个read()函数都可以读取0x300个字节的数据,而buf和v5到栈底指针rbp的距离只有0x240和0x210字节,因此这里存在栈溢出漏洞 靠近栈底处的var_8应该就是canary 查看main函数的汇编指令 结合意可知,覆盖canary末尾的
BugkuCTF-PWNpwn3-read_note超详细讲解
am_03的博客
08-30 2909
知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别: 区别不大,都是把数按16进制输出。 1、0x 表示整型数值 (十六进制) char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42; 2、\x42用于字符表达,或者字符串表达 char c = ‘\x42’; 亦等价于: char c = 0x42; char* s = “\x41\x42
ctf pwn
m0_64195960的博客
04-11 1715
2022年3月21栈迁移 这道是栈迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以栈溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的栈迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
BUGKU canary2
最新发布
qq_39628285的博客
11-20 1039
plt表指过程连接表,got表指全局偏移量表,这两个表在程序调用动态链接库中的函数时起作用。函数地址=库被加载的基地址+函数在库内的偏移地址。要获取库中任一函数在调用时的地址,关键在于确定库的基地址。如果程序已经调用了某个库函数的地址,那么该函数在got表中的对应表现则会被改写为其地址,那么我们使用该地址减去该函数的库内偏移即可得到基地址。在本中,puts函数是已经调用过的,因此我们可以通过溢出让puts函数打印自身地址的方式获取基地址。先使用ROPgadget寻找一个pop rdi;
ctf(pwn) canary保护机制讲解 与 解密方法介绍
半岛铁盒的博客
03-03 2735
Canary保护机制 canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 在函数开始时就随机产生一个值,将这个值CANARY放到栈上紧挨ebp的上一个位置,当攻击者想通过缓冲区溢出覆盖ebp或者ebp下方的返回地址时,一定会覆盖掉CANARY的值;当程序结束时,程序会检查CANARY这个值和之前的是否一致,如果不一致,则不会往下运行,从而避免了缓冲区溢出攻
BugkuCTF pwn pwn1
H4ppyD0g的博客
08-17 1340
1 pwn1 ubuntu下输入 nc 114.116.54.89 10001 然后ls查看该目录下文件,发现有flag文件, cat flag 获取flag。 nc 主机的ip或域名端口号 作用是建立于对应ip或端口的链接,相当于一个后门web shell,可以进行访问等操作。 nc的作用还有很多,这里只是最简单的应用。 ...
BugkuCTF pwn
像初雪一样自由洒落
04-02 671
唉,觉得自己TCL,栈溢出知识点差不多都会了,可是目做不出来啊啊啊啊!缺少锻炼吧,这两天把BugkuCTF上面的pwn做一下吧。。。 pwn1 只给了连接 第一次,才50分,想来不会太难,连上去 果然,连接就能拿flag ...
BugKu记录【pwn】(持续更新中)
Assassin
04-06 4228
文章目录repeater1.目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做了,刚刚开始的签到就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.目分析 目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
bugku ctf pwn1 (nc 114.116.54.89 10001)
热门推荐
qq_42777804的博客
06-17 1万+
nc 114.116.54.89 10001 在Linux里面运行 nc 114.116.54.89 10001 ( nc命令用于设置路由器。) 之后用 ls -l 命令 (ls命令用于显示指定工作目录下之内容(列出目前工作目录所含之文件及子目录)。) (-l 除文件名称外,亦将文件型态、权限、拥有者、文件大小等资讯详细列出) 发现flag 使用命令 :...
ctf库ctf-pwn收集
03-31
ctf库 CTF(夺旗赛)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF库通常由多个类别的挑战组成,例如Web安全、二进制反汇编、密码学、隐写术等。每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得积分。比赛通常在一定的时间内进行,参赛者可以单独或组队参加。 此外,CTF库也提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。在比赛中,参赛者可以学习新的技能,了解新的安全趋势,并结识志同道合的人。此外,CTF比赛也是一种很好的锻炼方式,能够帮助参赛者提高解决问的能力和团队协作能力。 CTF库是学习和提高网络安全技能的极好途径。它们提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。如果您对网络安全感兴趣,请尝试参加一个CTF比赛或挑战集,它们将为您提供有趣和具有挑战性的体验。
ctf-pwn:canary绕过
chennbnbnb的博客
01-19 3255
文章目录覆盖00字符读出canary原理利用条件漏洞代码编译选项EXP利用格式化字符串漏洞读出canary原理漏洞代码编译选项EXP逐字节猜解canary原理漏洞代码编译EXPSSP Leak原理 覆盖00字符读出canary 原理 canary的值设计为以0x00结尾,防止read,printf灯函数直接读出 通过栈溢出覆盖最低位的字节,从而获得canary 利用条件 存在read/pri...
CTF pwn堆入门 -- Unsorted bin
lifanxin的博客
04-08 3530
Unsorted bin概述攻击方式泄露libc地址总结 概述   Unsorted bin也是堆中常见的,当一个堆块被释放时,且该堆块大小不属于fast bin(libc-2.26之后要填满tcache),那么在进入small bin和large bin之前,都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时,如果申请的内存堆块小于寻找的unsorted bin,那么会将该内存块切割后返回给用户,剩下的仍然保存在unsorted bin上;如果申请的内存堆块
ctf-pwn nc总结
weixin_61995249的博客
05-21 3092
命令来查看文件或目录的详细信息,并根据文件的属性来确定其类型。
BugkuCTF pwn第一弹
weixin_43489686的博客
09-09 2213
BugkuCTF pwn第一弹
[Bugku CTF——Pwn] pwn4
Y_peak的博客
03-22 766
[Bugku CTF——Pwn] pwn4 目地址:https://ctf.bugku.com/ 给的提示很清楚,绕过canary保护 那就绕过就好 目当中有system函数 利用ROPgadget就好 思路 将canary低位的 ‘\x00’ 给覆盖掉, 就可以利用 %s 将其输出, leek出来 exploit from pwn import * #p = process('./pwn4_') p = remote('114.67.246.176',15541) pop_rdi = 0x00
ctfshow 内部赛 pwn 签到
SCP000111的博客
11-16 2005
ctfshow 内部赛 pwn 签到 找了在刷的中,不会做这道,找了好久没找到wp,搞了几天,还怀疑目出错了,结果一看有最近13天前做出来的,又认真在搞。最终搞出来了,原来是csu,不想让后来人向我一样没有wp可以看,解出来马上就写了博客hhhh。 先放图片,2021.11.16该代码可行 这个我找了好久。都没找到wp,但是我看到了一个人的博客,无意间发现他的目似乎与这道一样,于是尝试求解,解出,在这里感谢下作者。这里 作者是偏有宸机,他那里有更好的解释。Ret2libc_64[csu及get
ctf.bugku ctf目详解——pwn2
yeshen4328的专栏
05-26 1297
ctf.bugku ctf目详解——pwn2 目 程序分配了一个栈上的变量s,长度为0x30,并一开始置0. 9行开始从外部读取0x100的数据到s中,由此可见此处存在一个栈溢出。 同时使用ida打开程序之后发现还存在一个get_shell的函数: 于是我们需要想方法利用溢出来调用这个get_shell函数。 x64函数调用规则 解之前我们先学习下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e
CTF中的PWN——绕canary防护3(puts带出canary 泄露函数地址计算基地址)
壊壊的诱惑你的博客
10-14 2620
前言: 想要学好pwn,首先要看懂wp。此断断续续占用了我两三天,原谅我太菜了。此为攻防世界的babystack。金丝雀前文叙述过,此处不再阐述,绕过的首选办法就是想办法得到canary的值,因为程序每次load的时候canary都不同,但是一个进程中的所有方法的金丝雀的值都相同。得到canry的值后构造payload即可。 目:babystack-攻防世界 file及...
CTF-记一次PWN练习
小王的技术库
08-10 1153
在CTF中PWN型通常会直接给定一个已经编译好的二进制程序(Windows下的EXE或者Linux下的ELF文件等),然后参赛选手通过对二进制程序进行逆向分析和调试来找到利用漏洞,并编写利用代码,通过远程代码执行来达到溢出攻击的效果,最终拿到目标机器的shell夺取flag。try again.的提示信息,请对pwn1程序进行逆向分析和调试,找到程序内部的漏洞,并构造特殊的输入数据,使之输出Congratulations,
2021 BugKu CTF AWD排位赛真解析
CTF比赛通常分为多个环节,包括但不限于密码学(Crypto)、逆向工程(Reverse Engineering)、二进制分析(Binary Analysis)、漏洞挖掘(Pwn)、Web安全(Web)、取证(Forensics)等。在AWD模式中,所有参赛队伍...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值