当前位置: 首页 > news >正文

BUUCTF PWN wp--warmup_csaw_2016

news 2025/12/2 8:42:19

第一步    先checksec一下(没有启用NX保护、PIE、完整的RELRO和栈保护,还有具有RWX权限的内存段。)

分析一下这个文件的保护机制:

  1. Arch: amd64-64-little
    • 这表示该可执行文件是为64位的AMD64架构编译的,并且使用的是小端字节序(little-endian)。
  2. RELRO: Partial RELRO
    • RELRO(Relocation Read-Only)是一种安全特性,旨在减少攻击者修改程序运行时的全局偏移表(GOT)的能力。有两种RELRO设置:
      • Full RELRO:将GOT置于只读段,从而在程序启动时就完全确定,并且在运行时不可更改。
      • Partial RELRO:只将部分GOT置于只读段,这意味着攻击者可能仍然有能力在运行时修改GOT,尽管这比没有任何RELRO保护要困难。
    • Partial RELRO表示该程序没有实现完全的RELRO保护,因此存在一定的风险。
  3. Stack: No canary found
    • 栈保护可以通过栈溢出保护(Stack Smashing Protector,SSP)实现,通常使用一个称为“canary”的随机值来检测栈溢出。如果攻击者试图通过栈溢出覆盖返回地址,canary值会被改变,程序可以检测到这种改变并终止。
    • No canary found表示该程序没有启用栈保护,这使得它更容易受到栈溢出攻击。
  4. NX: NX disabled
    • NX(No-eXecute)是一种硬件支持的功能,它将内存区域标记为不可执行,从而防止了在数据段(如堆栈或堆)中执行代码。
    • NX disabled表示该程序没有启用NX保护,这允许攻击者在程序的堆栈或堆上执行代码,增加了受到攻击的风险。
  5. PIE: No PIE (0x400000)
    • PIE(Position-Independent Executable)是一种安全特性,它使得程序的代码可以在内存中的任意位置加载,这样每次程序运行时地址空间布局都是随机的,增加了利用内存损坏漏洞的难度。
    • No PIE表示该程序不是位置独立的,它总是在固定的地址(在这个例子中是0x400000)加载,这使得利用某些类型的漏洞更容易。
  6. RWX: Has RWX segments
    • RWX表示内存段同时具有读(Read)、写(Write)和执行(eXecute)权限。通常,内存段应该只有读和执行权限,或者只有读和写权限,而不应该同时具有所有三个权限。
    • Has RWX segments表示该程序有内存段同时具有读、写和执行权限,这是不安全的,因为它允许攻击者修改内存中的代码并执行它。

第二步  拖入ida,发现关键字flag,双击后按ctrl + x

 发现该语句在sub_40060D中

进入该函数,该函数就是一个简单的system()函数,这个函数的作用就是输出flag的文件信息

与之前一题相似:触发后门函数sub_40060(),函数地址为0x40060D

第三步  进入该数组

以下是对这两个特殊字段 “r” “s” 的解释:

  • r:代表返回地址(return address)。当一个函数被调用时,调用者的返回地址(即调用指令之后的地址)会被自动推入栈中。这个返回地址在函数执行完毕后用于控制流返回到调用点。
  • s:代表保存的寄存器(saved registers)。在函数开始执行时,如果函数要使用某些寄存器,并且这些寄存器在调用者中之后还需要使用,那么这些寄存器的值需要在栈上保存,以便在函数返回前恢复。

解释一下最后var部分:

  • var_40 db 64 dup(?):这行代码声明了一个名为var_40的局部变量,它是一个字节数组,大小为64字节。db表示声明字节(double byte),64 dup(?)表示重复64次,每次分配一个未初始化的字节(用?表示)。这个数组在栈帧中的位置相对于基指针ebp是偏移量-40的地方(如果ebp指向栈帧的底部),这通常意味着它是函数中的一个局部变量。
  • s db 8 dup(?):这行代码声明了一个名为s的局部变量,它是一个字节数组,大小为8字节。这个数组用于保存寄存器的值,正如之前提到的Saved regs: 8,这通常用于保存两个32位寄存器的值。
  • r db 8 dup(?):这行代码声明了一个名为r的局部变量,它也是一个字节数组,大小为8字节。这个数组用于保存返回地址,尽管在大多数汇编语言中,返回地址是自动保存在栈上的,而不是显式声明一个变量来保存。这里的声明可能是为了示例或说明目的,实际上并不常见。(就我个人理解这个8应该不算在内,要算的的话只算前面那两个32位寄存器的。仅为个人理解,如有错误,请指正。)

如此看的话填充数据大小为64+8(var_40加上两个32位寄存器),72个。

第五步 编写脚本

成功得到flag


http://www.mrgr.cn/news/943.html

相关文章:

  • MySQL面试相关精选
  • Github 2024-08-19 开源项目周报Top15
  • jenkins workpase优化清理
  • AutoTiny电脑自动化操作
  • FunClip,音视频识别,自动化剪辑,文本校对,智能纠错,导出SRT
  • 回顾 | 瑞云科技亮相ICIC2024,虚拟仿真实训云平台引关注
  • java使用itext 直接生成pdf
  • 大模型学习微调资源
  • Java面试题--分布式锁
  • 深入探索CSS的:unresolved伪类:选择未解析元素的神秘面纱
  • 【C语言】深入讲解指针(上)
  • VueX 使用
  • SQL进阶技巧:数据清洗如何利用组内最近不为空的数据填充缺失值。【埋点日志事件缺失值填充】
  • hive学习(四)
  • 成为Python砖家(3): 何时产生字节码 .pyc 文件
  • 群晖NAS本地搭建可远程交互的大型语言模型LLM聊天机器人
  • HarmonyOs透明弹窗(选择照片弹窗样式)
  • 微前端架构下的负载均衡实现:策略与技术
  • 【项目】Java文档搜索引擎测试报告
  • 域名注册查询方法