babyaeg是强网杯的一道pwn。本题的情景不太普遍,一般的pwn一般出示binary,随后在远侧运行服务项目,由做题人将binary剖析清晰后,产生exp进攻远侧;本题则随机生成二进制文件,base64编号后发给做题人,在五秒以内,做题人务必出示Payload,立即开展进攻,假如五秒時间内做题人沒有取得成功随意代码执行,则联接关掉,一切重新来过。这就代表着,大家务必自动化地对binary开展剖析。
IO解决
做为本题的之一个流程,大家更先要看一下怎样与远侧开展互动:
Welcome to QWB BABYAEG-
I will send you a newly compiled binary (probably exploitable) in base64 formatafter you get the binary, I will be waiting for your input as a plain textwhen your input is given, I will execute the binary with your input as argv[1]you have 5 seconds to build exploit payloadhint: base64 -d 1.bin | gunzip > 1.elfwait…H52Qf4owMSIgQAAACBMmFADAB4CDCSGFMKAQiMKEsIJBvIjQIg4ACgBY3ABAAwCKCAkktMjRIsuVIi/CYCiTpkIEHAEMSKgSIRybCX 9ClgKAAOOZFy3Khw…
here, get this binary and give me some crafted argv[1]for explotationremember you only have 5 seconds… hurry up!time expired! bye!
大家获得的是一个base64编号后的字符串数组。为了更好地防止大段大段的编码数据,我将它省去了。即然是自动化剖析,大家务必获得充足多的样版,再从这当中寻找相同点。一个一个地拷贝编解码太dirty,我们要将自动化的观念应用究竟,挑选一个雅致的 *** ~~
from pwn import *
from ipdb import set_trace
import os
from exp import *
def getbinary():
p=remote('***.**.**.***', 40005)
tmp=p.recvuntil('wait...n')
res=p.recvuntil('n')[:-1]
print res
i=0
while True:
if os.path.exists('binaries/binary' str(i)):
i =1
continue
open('tmpbinary' str(i), 'w').write(res)
break
os.system('base64 -d tmpbinary' str(i) ' | gunzip > binaries/binary' str(i))
os.system('rm tmpbinary' str(i))
getbinary()
不断运作这一脚本 *** ,或是填加循环系统,大家就能在binaries文件夹下获得一堆binary。以供下面进一步剖析。
静态数据剖析
首先看程序流程基本资料:
本题沒有Stack Canary,沒有开PIE,这针对自动化剖析是十分友善的。不完美的地区取决于打开了NX,这代表着大家有可能必须自动生成ROP,可是后边大家将有简易的方式处理这个问题。
大家随意挑一个binary用ida开启,先观查一下到底是个哪些的步骤。依照国际惯例,首先看主函数:
__int64 __fastcall main(int a1, char **a2, char **a3)
{
__int64 result; // rax
unsigned int v4; // eax
int v5; // eax
int v6; // eax
int v7; // eax
char v8; //[rsp 15h][rbp-1Bh]
char v9; //[rsp 16h][rbp-1Ah]
char v10; //[rsp 17h][rbp-19h]
int i; //[rsp 18h][rbp-18h]
int v12; //[rsp 1Ch][rbp-14h]
int v13; //[rsp 20h][rbp-10h]
int v14; //[rsp 24小时][rbp-Ch]
int v15; //[rsp 28h][rbp-8h]
int v16; //[rsp 2Ch][rbp-4h]
if ( a1==2 )
{
v4=sub_26095B9(1LL, 2LL, 3LL, 4LL, 5LL, 6LL);
srand(v4);
dword_280BC5C=strlen(a2[1]) >> 1;
if ( dword_280BC5C 1000 )
{
v16=0;
v15=0;
while ( v16 2 * dword_280BC5C )
{
v8=a2[1][v16];
v9=a2[1][v16 1];
v10=0;
v5=v15 ;
__isoc99_sscanf(&v8, "hhx", &byte_280BF80[v5]);
v16 =2;
}
for ( i=0; i if ( (_BYTE)v14==29 && (_BYTE)v13==-6 && 61 * (_BYTE)v13 98 * (_BYTE)v14 - (_BYTE)v12==48 )
{
v6=v14 ;
v13=v6;
}
if ( (_BYTE)v14==-14 && (_BYTE)v13==12 && 17 * (_BYTE)v14 65 * (_BYTE)v13 - (_BYTE)v12==78 )
{
v7=v12 ;
中新网1月27日电 据最高人民检察院微信公众号消息,1月27日,最高人民检察院召开以“筑牢生产安全底线 守护生命财产平安”为主题的新闻发布会,发布最高人民检察院第二十五批指导性案例。 以下是...
赢咖3平台登录【主管99229】在计划香港旅行的时候,大多数游客会被一个问题困扰:换多少港币合适?本篇攻略将提供港币兑换指南,并给出其他支付方式建议。 香港素来有“购物天堂”的美称,因此不少游客除了吃...
本文目录一览: 1、10岁孩子怎么学习少儿编程? 2、三年级的小孩子怎么学编程会比较合适? 3、想让孩子学习编程,该如何孩子学习呢? 10岁孩子怎么学习少儿编程? 1、可以从Scratch入...
操作方式 01 起首要将电脑版微信设置保留聊天记实,如许才会在电脑大将微信聊天记实保留下来。不然聊天记实是没有保留下来的。进入电脑版微信设置,通用设置,将“保留聊天记实”选项勾选上。...
本文讲述了关于微软在线调查创建应用Microsoft forms的一个漏洞,通过其中的数据分享机制,作者可以藉机获取到参与调查用户的邮箱信息,漏洞最终收获了$2k的奖励。微软的Office365有很多...
现在平台越来越大,流量的来源也是多种多样,但不管你用什么方式引流,都要确保最终这店铺的流量结构是免费流量占据主导地位。 总能在评论区看到类似这样的提问,“店铺现在的流量一直靠付费流量在支撑,免费流量...