babyaeg是强网杯的一道pwn。本题的情景不太普遍,一般的pwn一般出示binary,随后在远侧运行服务项目,由做题人将binary剖析清晰后,产生exp进攻远侧;本题则随机生成二进制文件,base64编号后发给做题人,在五秒以内,做题人务必出示Payload,立即开展进攻,假如五秒時间内做题人沒有取得成功随意代码执行,则联接关掉,一切重新来过。这就代表着,大家务必自动化地对binary开展剖析。
IO解决
做为本题的之一个流程,大家更先要看一下怎样与远侧开展互动:
Welcome to QWB BABYAEG-
I will send you a newly compiled binary (probably exploitable) in base64 formatafter you get the binary, I will be waiting for your input as a plain textwhen your input is given, I will execute the binary with your input as argv[1]you have 5 seconds to build exploit payloadhint: base64 -d 1.bin | gunzip > 1.elfwait…H52Qf4owMSIgQAAACBMmFADAB4CDCSGFMKAQiMKEsIJBvIjQIg4ACgBY3ABAAwCKCAkktMjRIsuVIi/CYCiTpkIEHAEMSKgSIRybCX 9ClgKAAOOZFy3Khw…
here, get this binary and give me some crafted argv[1]for explotationremember you only have 5 seconds… hurry up!time expired! bye!
大家获得的是一个base64编号后的字符串数组。为了更好地防止大段大段的编码数据,我将它省去了。即然是自动化剖析,大家务必获得充足多的样版,再从这当中寻找相同点。一个一个地拷贝编解码太dirty,我们要将自动化的观念应用究竟,挑选一个雅致的 *** ~~
from pwn import *
from ipdb import set_trace
import os
from exp import *
def getbinary():
p=remote('***.**.**.***', 40005)
tmp=p.recvuntil('wait...n')
res=p.recvuntil('n')[:-1]
print res
i=0
while True:
if os.path.exists('binaries/binary' str(i)):
i =1
continue
open('tmpbinary' str(i), 'w').write(res)
break
os.system('base64 -d tmpbinary' str(i) ' | gunzip > binaries/binary' str(i))
os.system('rm tmpbinary' str(i))
getbinary()
不断运作这一脚本 *** ,或是填加循环系统,大家就能在binaries文件夹下获得一堆binary。以供下面进一步剖析。
静态数据剖析
首先看程序流程基本资料:
本题沒有Stack Canary,沒有开PIE,这针对自动化剖析是十分友善的。不完美的地区取决于打开了NX,这代表着大家有可能必须自动生成ROP,可是后边大家将有简易的方式处理这个问题。
大家随意挑一个binary用ida开启,先观查一下到底是个哪些的步骤。依照国际惯例,首先看主函数:
__int64 __fastcall main(int a1, char **a2, char **a3)
{
__int64 result; // rax
unsigned int v4; // eax
int v5; // eax
int v6; // eax
int v7; // eax
char v8; //[rsp 15h][rbp-1Bh]
char v9; //[rsp 16h][rbp-1Ah]
char v10; //[rsp 17h][rbp-19h]
int i; //[rsp 18h][rbp-18h]
int v12; //[rsp 1Ch][rbp-14h]
int v13; //[rsp 20h][rbp-10h]
int v14; //[rsp 24小时][rbp-Ch]
int v15; //[rsp 28h][rbp-8h]
int v16; //[rsp 2Ch][rbp-4h]
if ( a1==2 )
{
v4=sub_26095B9(1LL, 2LL, 3LL, 4LL, 5LL, 6LL);
srand(v4);
dword_280BC5C=strlen(a2[1]) >> 1;
if ( dword_280BC5C 1000 )
{
v16=0;
v15=0;
while ( v16 2 * dword_280BC5C )
{
v8=a2[1][v16];
v9=a2[1][v16 1];
v10=0;
v5=v15 ;
__isoc99_sscanf(&v8, "hhx", &byte_280BF80[v5]);
v16 =2;
}
for ( i=0; i if ( (_BYTE)v14==29 && (_BYTE)v13==-6 && 61 * (_BYTE)v13 98 * (_BYTE)v14 - (_BYTE)v12==48 )
{
v6=v14 ;
v13=v6;
}
if ( (_BYTE)v14==-14 && (_BYTE)v13==12 && 17 * (_BYTE)v14 65 * (_BYTE)v13 - (_BYTE)v12==78 )
{
v7=v12 ;
本文导读目录: 1、想成为一名的黑客 必须学习哪些课程? 2、黑客要学哪些编程语言 3、入黑客要学哪些语言哪些知识? 4、黑客要学那些东西 5、黑客刚开始学的是什么编程语言? 6、...
澳大利亚深海鱼油价值 差异品牌,差异规格价值纷歧样的哦~ 像下图是Blackmores品牌的无腥味鱼油,一瓶400粒,得手价差不多207一瓶。 .. 澳洲文体卖的深海鱼油一般没有365粒包...
外交习语 | 2021年开局月,中国米首外交这样开展 2021年开局月,困难与奋进共生,挑战与希望同在。 通电话、互致信函、致慰问电、“线上”出席多边外交活动……中国米首外交延续着繁忙...
现在使用电脑、智能手机,无非是为了多快好省的帮助我们完成各种“任务”,加快效率。就拿文件批量重命名来说吧,“鼠标右键+手敲”最基础、“手敲+Tab”算进阶,ACDSee附带功能可以搞定图片类,拖把更名...
高手能人 怎么样找黑客黑客网站相关问题 黑客入侵监控教程相关问题 黑客隐身如何抓到 黑客会通过qq入侵手机号吗(黑客如何入侵手机)...
sudo apt install gcc-4.4能够将 Windows PowerShell 指令的输入和输出捕获到根据文本的脚本中。 示例:Envoy头部到Fuzzer的映射 GetStatus(...