当前位置: 首页 > news >正文

BUUCTF PWN wp--warmup_csaw_2016

news 2025/8/2 20:28:01

第一步    先checksec一下(没有启用NX保护、PIE、完整的RELRO和栈保护,还有具有RWX权限的内存段。)

分析一下这个文件的保护机制:

  1. Arch: amd64-64-little
    • 这表示该可执行文件是为64位的AMD64架构编译的,并且使用的是小端字节序(little-endian)。
  2. RELRO: Partial RELRO
    • RELRO(Relocation Read-Only)是一种安全特性,旨在减少攻击者修改程序运行时的全局偏移表(GOT)的能力。有两种RELRO设置:
      • Full RELRO:将GOT置于只读段,从而在程序启动时就完全确定,并且在运行时不可更改。
      • Partial RELRO:只将部分GOT置于只读段,这意味着攻击者可能仍然有能力在运行时修改GOT,尽管这比没有任何RELRO保护要困难。
    • Partial RELRO表示该程序没有实现完全的RELRO保护,因此存在一定的风险。
  3. Stack: No canary found
    • 栈保护可以通过栈溢出保护(Stack Smashing Protector,SSP)实现,通常使用一个称为“canary”的随机值来检测栈溢出。如果攻击者试图通过栈溢出覆盖返回地址,canary值会被改变,程序可以检测到这种改变并终止。
    • No canary found表示该程序没有启用栈保护,这使得它更容易受到栈溢出攻击。
  4. NX: NX disabled
    • NX(No-eXecute)是一种硬件支持的功能,它将内存区域标记为不可执行,从而防止了在数据段(如堆栈或堆)中执行代码。
    • NX disabled表示该程序没有启用NX保护,这允许攻击者在程序的堆栈或堆上执行代码,增加了受到攻击的风险。
  5. PIE: No PIE (0x400000)
    • PIE(Position-Independent Executable)是一种安全特性,它使得程序的代码可以在内存中的任意位置加载,这样每次程序运行时地址空间布局都是随机的,增加了利用内存损坏漏洞的难度。
    • No PIE表示该程序不是位置独立的,它总是在固定的地址(在这个例子中是0x400000)加载,这使得利用某些类型的漏洞更容易。
  6. RWX: Has RWX segments
    • RWX表示内存段同时具有读(Read)、写(Write)和执行(eXecute)权限。通常,内存段应该只有读和执行权限,或者只有读和写权限,而不应该同时具有所有三个权限。
    • Has RWX segments表示该程序有内存段同时具有读、写和执行权限,这是不安全的,因为它允许攻击者修改内存中的代码并执行它。

第二步  拖入ida,发现关键字flag,双击后按ctrl + x

 发现该语句在sub_40060D中

进入该函数,该函数就是一个简单的system()函数,这个函数的作用就是输出flag的文件信息

与之前一题相似:触发后门函数sub_40060(),函数地址为0x40060D

第三步  进入该数组

以下是对这两个特殊字段 “r” “s” 的解释:

  • r:代表返回地址(return address)。当一个函数被调用时,调用者的返回地址(即调用指令之后的地址)会被自动推入栈中。这个返回地址在函数执行完毕后用于控制流返回到调用点。
  • s:代表保存的寄存器(saved registers)。在函数开始执行时,如果函数要使用某些寄存器,并且这些寄存器在调用者中之后还需要使用,那么这些寄存器的值需要在栈上保存,以便在函数返回前恢复。

解释一下最后var部分:

  • var_40 db 64 dup(?):这行代码声明了一个名为var_40的局部变量,它是一个字节数组,大小为64字节。db表示声明字节(double byte),64 dup(?)表示重复64次,每次分配一个未初始化的字节(用?表示)。这个数组在栈帧中的位置相对于基指针ebp是偏移量-40的地方(如果ebp指向栈帧的底部),这通常意味着它是函数中的一个局部变量。
  • s db 8 dup(?):这行代码声明了一个名为s的局部变量,它是一个字节数组,大小为8字节。这个数组用于保存寄存器的值,正如之前提到的Saved regs: 8,这通常用于保存两个32位寄存器的值。
  • r db 8 dup(?):这行代码声明了一个名为r的局部变量,它也是一个字节数组,大小为8字节。这个数组用于保存返回地址,尽管在大多数汇编语言中,返回地址是自动保存在栈上的,而不是显式声明一个变量来保存。这里的声明可能是为了示例或说明目的,实际上并不常见。(就我个人理解这个8应该不算在内,要算的的话只算前面那两个32位寄存器的。仅为个人理解,如有错误,请指正。)

如此看的话填充数据大小为64+8(var_40加上两个32位寄存器),72个。

第五步 编写脚本

成功得到flag

http://www.lryc.cn/news/427993.html

相关文章:

  • dockerfile搭建部署LNMP
  • Rust : 数据分析利器polars用法
  • Qt第一课
  • 论“graphics.h”库,easyx
  • 如何在寂静中用电脑找回失踪的手机?远程控制了解一下
  • Android 实现动态换行显示的 TextView 列表
  • Golang | Leetcode Golang题解之第352题将数据流变为多个不相交区间
  • Ubuntu安装mysql 以及远程连接mysql Windows—适合初学者的讲解(详细)
  • 【数学建模】MATLAB快速入门
  • 【ubuntu24.04】k8s 部署5:配置calico 镜像拉取
  • Elasticsearch 的数据备份与恢复
  • Ps:首选项 - 暂存盘
  • 力扣217题详解:存在重复元素的多种解法与复杂度分析
  • 享元模式:轻量级对象共享,高效利用内存
  • 人工智能-自然语言处理(NLP)
  • 基于UE5和ROS2的激光雷达+深度RGBD相机小车的仿真指南(三)---创建自定义激光雷达Componet组件
  • C++ 设计模式——策略模式
  • 【书生大模型实战营(暑假场)闯关材料】基础岛:第3关 浦语提示词工程实践
  • C++ | Leetcode C++题解之第350题两个数组的交集II
  • 遗传算法原理与实战(python、matlab)
  • 《黑神话:悟空》媒体评分解禁 M站均分82
  • 安卓中携程和线程的区别。携程是指什么?
  • 部署flannel网络(master服务器执行)遇到错误
  • 超越IP-Adapter!阿里提出UniPortrait,可通过文本定制生成高保真的单人或多人图像。
  • 使用托管竞价实例在Amazon SageMaker上运行机器学习训练
  • AIoT智能物联网平台定义
  • 微服务设计原则——高性能:存储设计
  • hbase-manager图形化界面的安装与配置
  • STM32之继电器与震动传感器的使用,实现震动灯
  • RS232(旧协议)与RS485(新协议)