buuctf pwn解题2

于 2024-02-05 22:00:44 发布
阅读量1.2k 收藏 48
点赞数 46
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80477504/article/details/136047052
版权
本文介绍了如何通过ret2syscall技术在32位程序中利用系统调用来执行shellcode,涉及gadgets查找、ROP技巧、溢出攻击、以及在特定环境下的权限需求,如关闭NX和ASLR保护。
摘要由CSDN通过智能技术生成

ret2syscall

原理
顾名思义,ret to syscall,就是调用系统函数以达到getshell的目的
在计算中,系统调用是一种编程方式,计算机程序从该程序中向执行其的操作系统内核请求服务。这可能包括与硬件相关的服务(例如,访问硬盘驱动器),创建和执行新进程以及与诸如进程调度之类的集成内核服务进行通信。系统调用提供了进程与操作系统之间的基本接口。
至于系统调用在其中充当什么角色,稍后再看,现在我们要做的是:让程序调用execve(“/bin/sh”,NULL,NULL)函数即可拿到shell

相关扩展——gadgets
gadgets可以理解为代码段或者汇编指令
获取gadgets的方式:
指令:

ROPgadget --binary 文件名 --only 'pop|ret' |grep '寄存器名'
ROPgadget --binary 文件名 --only 'int'
ROPgadget --binary 文件名 --string '/bin/sh'

例行检查(32位,开启nx保护)

因为该程序是 32 位,所以:

  • eax 应该为 0xb( 0xb 是execve 对应的系统调用号)
  • ebx 应该指向 /bin/sh 的地址,其实执行 sh 的地址也可以
  • ecx 应该为 0
  • edx 应该为 0
  • 最后再执行int 0x80触发中断即可执行execve()获取shell

接下来利用ida检查程序,先查看main函数的伪代码(gets函数有溢出危险)

 

再查看字符串(明显得出没有system,shellcode,存在bin/sh但没有使用) 计算偏移量,生成有规律的垃圾数

使用gdb进行调试 (打断点然后运行)

 

输入c继续运行 ,输入随机数,得到返回地址

 得到偏移量

寻找寄存器 地址(eax/ebx,ecx,edx)

寻找int 0x80的地址 寻找bin/sh地址

(1)ida(从字符串找到bin/sh进行双击即可得到)

(2)虚拟机终端 

编写exp即可

 ciscn_2019_n_5

ret2shellcode

即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码。

在栈溢出的基础上,要想执行 shellcode,需要对应的 binary 在运行时,shellcode 所在的区域具有可执行权限。

利用关键
1、程序存在溢出,并且还要能够控制返回地址
2、程序运行时,shellcode 所在的区域要拥有执行权限(NX保护关闭、bss段可执行)
3、操作系统还需要关闭 ASLR (地址空间布局随机化) 保护 。(或关闭PIE保护)

扩展——asm、shellcraft
asm函数是对某个内容进行汇编

shellcraft:shellcraft是pwntools中的一个模块,是shellcode的生成器,我们可以使用shellcode = asm(shellcraft.sh())来生成shell。需要注意的是,对于不同的平台(AMD、Intel),不同位数的机器(32位、64位)的shellcode不一样,所以在使用shellcraft之前要设置好context。

read函数

在read()函数里,有Linux给出的定义

NAME        read - read from a file descriptor       

#include <unistd.h>       

ssize_t read(int fd, void *buf, size_t count);

fd:文件描述符,用来指向要操作的文件的文件结构体

buf:一块内存空间

count:希望读取的字节数

返回值表示实际读到的字节数(字符串结束符 '\0'不算)

例行检查(64位,没有开任何保护)

进入ida检查源码,先f5查看main函数的伪代码 通过read函数编写shellcode,text可溢出,通过text溢出到read执行shellcode
(要求name有可执行权限)

由于buf可读可写可执行,所以name有可执行权限 

 

查看name权限的方法 

查看name地址

 查看偏移量

编写exp解题

 jarvisoj_level2

例行检查(32位,开启了nx保护)

ida中进行分析,查看字符串(发现system和bin/sh不在一起) 

使用rop传参,构造system(‘/bin/sh’),32位架构所有参数直接使用栈来传递 

 查看main函数伪代码,双击vulnerable_function函数查看 

read函数中v1只有136个字节,读入的数据大小为256,可溢出120个字节,足够构造rop,偏移量即为136=0x88

 

bin/sh地址

system地址 编写exp

2301_80477504
关注
  • 46
    点赞
  • 48
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BUUCTF-PWN刷题日记(二)
weixin_45461609的博客
05-15 310
BUUCTF-PWN刷题日记ciscn_2019_n_8not_the_same_3dsctf_2016 ciscn_2019_n_8 送分题… ''' Author:3nc0de Date:2020/05/15 ''' from pwn import * r = process('./pwn') #r = remote('node3.buuoj.cn', port) payload=p32(0x11)*14 r.sendline(payload) r.interactive() not_the
buuctf-pwn刷题(二)
CHAWUCIREN1的博客
10-15 2074
ciscn_2019_n_1 直接运行一波 猜数字的 checksec file一下 放入ida 发现func函数里面有 东西 这个是一道溢出题,我们输入的数字给v1,但是在进行判断的时候,用的是v2,我们需要溢出v2,使其等于目标值 查看一下栈空间 我们发现v2在栈上04的位置,也就是(0x30-4) 11.28125转化为十六进制为0x41348000 pay load= b’A’*(0x30-4) + p64(0x41348000) from pwn import * payload =
BUUCTF-pwn(2)
njh18790816639的博客
11-06 547
[第五空间2019 决赛]PWN5 该函数漏洞比较明显,进行调试验证! 并且没有开启PIE保护措施,所以我们可以利用任意地址写,写入.bss:0804C044 password该地址处数据即可。 然后密码就被操控了。 [OGeek2019]babyrop 将urandom中一个随机数写入到buf中,然后作为参数传入到下一个函数中。 必须通过条件才可以可利用到下面的栈溢出漏洞!而且read还可以溢出一个字节到v5上。这里strlen遇到’\x00‘停止检测,所有外面可以利用该特征,绕过检测!
BUUCTF PWN(2)
qq_60794823的博客
09-28 213
首先先用checksec查看开启了什么保护可以看到只开启了NX保护,即堆栈不可执行用32位的IDA打开附件,shift+f12查看字串打开main函数查看vuln函数,发现存在栈溢出漏洞的函数,**fgets(s, 32, edata)**这里对gets作出了限制,32(0x20)而s的大小0x3c>0x20所以不能造成溢出。这道题就不能解决了吗,结果肯定不是这样的仔细查看C代码可以发现,函数实现了字符串替换,将I替换为you,并将结果重组赋值给s。
[BUUCTF]PWN20——ciscn_2019_n_5
mcmuyanga的博客
09-07 1252
[BUUCTF]PWN20——ciscn_2019_n_5 附件 步骤: 例行检查,64位,没有开启任何保护 试运行一下程序,看看程序的执行情况 64位ida载入,找到main函数, 逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上 第二次输入利用gets,没有限制长度,可以对v4造成溢出 利用过程 利用第一个输入点,往name参数里写入shellcode context(arch='amd64',os='linux')
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
pwn07.ret2syscall例题
11-11
ret2syscall例题
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2libc2pwn 入门题
02-11
pwn 入门题
BUUCTF pwn2_sctf2016
红叶的博客
11-01 490
本题难点:绕过字符串大小限制以及是否掌握了ret2libc。
持续更新 BUUCTF——PWN(二)
weixin_41748164的博客
12-14 462
buuctf pwn 第三页
[BUUCTF]PWN2——rip
mcmuyanga的博客
08-23 1730
[BUUCTF]-rip 题目网址:https://buuoj.cn/challenges#rip 步骤: 例行检查附件,64位程序,没有开启任何保护 nc一下,看看输入点的提示字符串,让我们写入一个字符串,然后回显ok,bye 用对应位数的ida打开,shift+f12先来查看一下程序里有的字符串 这里可以看到有bin/sh还有system函数,对于这两个我们比较敏感,因为system(/bin/sh)这句代码能让我们直接获取shell 双击bin/sh跟进,然后安装ctrl+x查看一下哪里调用了这
BUUCTF-PWN刷题记录-2
weixin_44145820的博客
03-15 635
目录gyctf_2020_borrowstack gyctf_2020_borrowstack 本题只有有限的溢出空间,而且有NX的保护,只能用ROP的办法 利用方法为把rbp改为bank+4的地址,返回地址改为leave的地址,这样就能利用RBP修改RSP,bank前8个字节填写bank+8的地址,之后跟上ROP链, 不过这题还有一点,就是Bank离stdin和stdout比较近,需要先使用...
buuctf习题pwn(2~10)
yw__y的博客
03-30 1047
BUUCTF PWN部分题目wp
awxnutpgs545144602的博客
08-16 2015
pwn好难啊 PWN 1,连上就有flag的pwnnc buuoj.cn 6000得到flag 2,RIP覆盖一下用ida分析一下,发现已有了system,只需覆盖RIP为fun()的地址,用peda计算偏移为23,写脚本 from pwn import* sh=remote('f.b...
BUUCTF(pwn)wdb_2018_3rd_soEasy[栈劫持ret2shellcode]
半岛铁盒的博客
04-04 385
没开任何保护,是ret2shellcode题型 from pwn import* context.arch="i386" p=remote("node3.buuoj.cn",25766) p.recvuntil("Hei,give you a gift->") buf_addr=int(p.recv(10),16) shellcode=asm(shellcraft.sh()) payload=shellcode.ljust(0x48+4,'\0')+p32(buf_addr) p.sendline.
BUUCTF pwn wp 41 - 45
fa1c4的blog
10-05 212
cmcc_simplerop ret2syscall 参考 https://rninche01.tistory.com/entry/Linux-system-call-table-%EC%A0%95%EB%A6%ACx86-x64 构造rop执行 read(0, bss_addr, 8) 读取 /bin/sh\x00 execve(bss_addr, 0, 0) get shell 这里有个坑点, v4到ebp的距离不是IDA显示的那样, 需要调试确定, 发现偏移是0x1c from pwn im
CTF buuoj pwn-----第2题:rip
bing_Max的博客
08-28 2733
CTF buuoj pwn-----第2题:rip 记录一下pwn的过程 同第1题一样,新手学习日记,流水线记录. 打开题目,连接靶机,下载文件’ript’ 1. 首先checkesc ,检测文件的保护机制. checksec在下载好pwntools后就有 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-lit
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值