CTF Blind pwn题型学习笔记

最新推荐文章于 2022-08-13 15:56:02 发布
最新推荐文章于 2022-08-13 15:56:02 发布
阅读量1.8k 收藏 9
点赞数 1
分类专栏: 网络安全 ctf pwn 文章标签: 网络安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A951860555/article/details/119983827
版权

Blind pwn

概述

  所谓Blind pwn,即是在无法获得二进制程序文件的情况下对题目进行漏洞利用。这篇博客主要是将见到过的盲打pwn题做一个总结,大概可以分为以下几类盲打pwn题:逻辑漏洞盲打、格式化字符串盲打、栈溢出盲打、堆盲打。

如何辨别漏洞类型

  对于盲打题,首先第一步应该是判断属于哪种类型的盲打,判断的步骤也很简单,nc连上后,直接看程序提供的菜单功能。
  一般来说,需要逻辑漏洞利用的题,菜单功能会比较复杂,这个下面单独的小节会讲解。而对于格式化字符串漏洞、栈溢出漏洞,题目提供的功能就非常简单了,一般会直接提示我们进行输入,然后就是打印输出。因此鉴别是否是格式化字符串漏洞可以利用常用的招数,比如输入%p等格式化符号;而对于栈溢出就输入超长的字符串即可,看程序是否崩溃。
  当然对于盲打的题目,还有一个重要的提示就是要看题目,有些时候题目本身就是提示,暗示了利用的类型。

逻辑漏洞盲打

  首先,我们来看下逻辑漏洞利用的题目,这里以2021年heroctf的一道比赛题目为例。这里我就无法提供二进制程序和远程环境了,只能凭记忆讲解一下这道题目。
  在做这道题的时候,我也是刚入门pwn题,对于盲打的题目更是知之甚少,不过当时也是听说过BROP的,这是一种利用栈溢出来实现盲打的,后面会介绍。所以当时一度差点放弃这道题目,不过好在后面仔细看了下,其实是一道非常简单的逻辑漏洞利用题目。
  题目的逻辑大概如下:这是一个模拟赌场游戏的程序,首先我们会有初始的金币,随便举个数目,就1000$吧,然后程序提供赌钱,买运气,买flag,退出等几个选项。买运气会花费100$,然后没有其它任何作用;买flag的话需要2000$。最后就是赌钱,每次赌钱,有50个赌桌可供选择,要求我们先下注,即输入赌桌的号数,同时下注的钱也是我们可以控制的,下注的钱越多,赢的也就越多,输的话就是全没,然后程序会随机返回一个数(一定在1-50之间,这是多次运行程序看到的结果,确认是随机的),如果返回的数和我们输入的赌桌数一样,就是我们赢,不一样就是输。
  程序逻辑到这里也就差不多完了,想要达到的目标也很明确,就是我们需要去赌钱赚够2000$来买到flag。当然直接赌钱是不可能赌的,无法是课本还是现实的经验告诉我们,赌钱这个东西永远都不可能有赢家,你也许会小赚,但终究是亏的。因此,这里利用了程序实现时的逻辑漏洞,或者也不叫漏洞,毕竟现实中也有很多操作是这样搞的。程序的实现方式是让我们自己选择赌桌号数,自己决定每个赌桌的钱数,而且可以多次下注,因此答案就来了,我们在每个赌桌上都下注一样的钱,这样我们每次赌钱都可以在某个赌桌上赢。至于下注多少钱就看赔率,保证即使49个赌桌输的情况下,一个赌桌赢也是赚的。这样我们多赌几次就可以赢够买flag的钱,当然最终还是用脚本来实现交互的,毕竟手动操作太繁琐。
  做完这道题,我不仅想到了鸡蛋不要放到一个笼子里的名言,以及联想到了股票市场上对冲基金操作的原理,总而言之,只要我全都买,就一定会赢😏。

格式化字符串盲打

原理阐述

  这里先总结一下格式化字符串漏洞盲打的一般操作步骤,简而言之的话就是先找到一个代码段的地址,然后从该地址出发尽可能的泄露出二进制程序本身,之后将泄露出来的内容保存在一个文件中。这样就相当于获得了二进制程序文件本身,再用IDA进行分析,之后的步骤就和普通的pwn题一样了。
  因此这里关键的步骤就是如何找到一个地址进而泄露二进制程序。这里可以分为两种情况进行讨论,第一种是针对没有开PIE保护的程序,这样程序代码基址是固定的,32位程序为0x8048000, 64位程序为0x400000,我们直接从这些地址开始泄露即可。那么如何判断程序是否开启了PIE保护,可以直接先用%p尝试泄露一些栈上的地址,如果有和上述基址偏移不大的值存在的话,说明程序是没有开启PIE保护的。
  接下来讨论第二种情况,就是简单尝试后无法确定程序是否开了PIE,那么我们直接泄露400bytes的栈上内容来看看情况,一般可以从上面找到.start函数的地址,也就是.text代码段的起始地址。大家可以参考一下这篇中的demo – pwn 盲打,它也是以没有开PIE保护的程序为例,这样可以方便的识别出.start函数,但开了PIE的话识别起来有点难度。将上面的操作简单总结为如下流程:leak stack & find .text --> dump .text。
  当然之所以格式化字符串漏洞的题可以这样做,也是利用了其泄露信息的便捷性,常用的泄露方式总结如下。

%n$p   # 打印printf第n个参数的值
%n$s   # 以printf第n个参数的值为地址打印其指向的值

例题讲解

axb_2019_fmt32

  这道题在buuoj上有复现,并且是给了二进制文件的,如果直接看二进制文件的话,题目非常简单。这里我们只把提供的二进制文件和最后dump出来的程序做对比,而不是直接利用它解题。
  通过题目命名和nc连接后操作可以判断其为格式化字符串漏洞,程序存在alarm,非常短的时间后程序会自动停止。通过题目名字和泄露出的栈数据,可以初步判断其为32位程序,并且没有开启PIE保护。
  dump脚本如下,主要分为leak和dump两个函数。leak函数的功能是利用fmt的offset加上给定的地址来泄露二进制程序本身,注意这里使用的是%s。dump函数,根据程序的逻辑来不断执行leak函数,尽可能的泄露出二进制程序。

from pwn import *


p = remote(
最低0.47元/天 解锁文章
__lifanxin
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
CTF高质量PWN题之二叉树的漏洞利用
HBohan的博客
11-19 1109
初步分析 【技术资料】 程序运行起来看起来似乎是一道常规的菜单堆题: libc环境: 是Glibc 2.27-3ubuntu1.4,这个版本与2.31版本很像,都有key机制,一定程度上防止了double free的攻击。 回到程序,程序的功能有插入,展示和删除,我们具体用IDA打开来看看程序是个什么逻辑。 可以看到函数列表有非常多的函数(原题去除了符号表,笔者经过逆向重命名了一些函数符号),并且使用c++编写,逆向起来难度更大,如果采取常规的静态分析手段,可能会花费很大的精力,由于题目名字是cx
Ctfshow pwn 02(自己做出的第一道pwn题)
weixin_64875092的博客
12-05 5257
算是一篇第一次做出pwn题的日记了! 本文写给想要入门pwn但只安装好虚拟机和ida完全不知道怎么用的小白~ 有许多写的不严谨或无脑的地方请多包涵! 其中有许多我在做题时踩到的坑(因为自己零基础实在不知道怎么问也不知道去问谁而导致浪费好多时间而进行不下去) 现在开始! 首先第一步,来到ctfshow的网站,找到这道pwn02 之后点击Launch an instance(这所是一个建立连接的步骤,少了这一步在使用python3时会出现如下报错)如果问我什么是python3,请耐心看下去
Blind_pwn之格式化字符串
蚁景网安学院
07-07 987
可能需要提前了解的知识格式化字符串原理&利用got & plt 调用关系程序的一般启动过程原理格式化字符串盲打指的是只给出可交互的 ip 地址与端口,不给出对应的 bin...
攻防世界PWN之stackoverflow(栈溢出盲打)题解
seaaseesa的博客
01-28 1868
Stackoverflow 这题,没有提供给我们二进制文件,仅仅有一个可交互的地址。由题意也可以知道,它存在栈溢出。这是一个栈溢出盲打的题目。 首先,就是确定栈溢出的长度 我们发现,当我们输入23个整数后,就发生了溢出报错,同时,我们也知道了,这个程序开启了canary机制,这正好被我们利用起来判断栈溢出的长度。 接下来,就是泄露栈数据了,主要依靠功能3,它会把数组里的数据相邻的去重后...
CTF中的PWN——无安全防护(栈溢出)
壊壊的诱惑你的博客
09-20 2485
前言 今天心情不错,人最大的敌人真的就是自己!!! 好久没学PWN和逆向了,今天写一篇关于CTFPWN的文章回忆一下。本文主要讲的是利用栈溢出的基础PWN,分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型,其中自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。 满足函数条件类型 很low的命名...
PWN测试题目
07-18
信息安全PWN测试题目:用于CTF的练习与PWN学习,测试题目。
JuniorCTF - Web - blind
weixin_30273931的博客
01-19 497
题目链接 https://ctftime.org/task/7450 参考链接 https://github.com/Dvd848/CTFs/blob/master/2018_35C3_Junior/blind.md https://github.com/lukeflima/CTF-Writeups/tree/master/35c3%20Junior/blind 解题过程 转载于:https:/...
ctf题库ctf-pwn赛题收集
03-31
CTF题库是学习和提高网络安全技能的极好途径。它们提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。如果您对网络安全感兴趣,请尝试参加一个CTF比赛或挑战集,它们将为您提供有趣和...
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记 Pwn是计算机安全领域中的一个重要方向,旨在研究和学习 Binary Exploitation,CTF 等安全知识。本文将从Pwn学习路线及学习笔记入手,总结作者在学习Pwn过程中的心得体会和经验。 一、前期...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
CTF PWN 武器库题
12-12
CTF PWN 武器库题或rifle题,利用fastbin堆溢出得shell,
CTF PWN专用虚拟机-附件资源
03-05
CTF PWN专用虚拟机-附件资源
CTFPWN的一些题型(持续更新......)
qq_44371274的博客
04-05 2100
ret2test 先运行一下,看程序做了些什么 发现只是让我们输入一串字符。接下来具体分析下属性,并且丢进gdb里分析一下 可以看到这是一个64位的程序,而且什么保护都没有开,接下来拖进IDA里继续分析 我们进入v4 F5反编译之后,可以很明显地看出程序有gets输入漏洞,gets可以读取无限长的字符串,我们就可以利用这个漏洞造成了一个栈溢出 发现分配的栈的空间大小是70,由于程序在返回地址前...
2021 西湖论剑 pwn blind
yongbaoii的博客
03-26 593
利用ret2csu,覆盖alarm的got表最低一字节,通过爆破劫持alarm为syscall。 通过read函数的返回值让rax为0x5b,执行execve("/bin/sh", 0, 0) exp #/usr/env/bin python from pwn import * import time context.log_level = "debug" gadget1 = 0x4007ba gadget2 = 0x4007a0 elf = ELF('./blind') read_got = el.
ctf-MISC-blind_injection2
god_001的博客
05-16 455
题目链接:跳转提示 用wireshark打开文件,联系题目名字发现这是一个基于时间延迟的SQL注入, 其中, id=1 and if((select count(*) from information_schema.schemata)=2,sleep(1),0)--+ information_schema.schemata——所有数据库名 select count(*) from information_schema.schemata——计算数据库数量 所以上面那句话的意思是,如果数据.
”BUUCTFpwn题解(一些栈题+程序分析)
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
xman_2019_nooocall(pwn里基于时间的盲注)
seaaseesa的博客
04-30 676
xman_2019_nooocall 首先,检查一下程序的保护机制 沙箱机制禁用了所有的系统调用 然后,我们用IDA分析一下,我们可以输入并执行16字节shellcode。然后问题在于系统调用全部被禁用。 程序一开始的时候使用了fopen打开了flag,并且将flag读取到了内存里。然后,当执行shellcode的时候,我们发现,栈里有FILE结构体的地址。 FILE...
CTF特训营》——PWN:二进制安全基础
PICACHU+++的博客
08-13 2662
即DEP,是进制程序在非可执行的内存区中执行指令。在80x86体系中,操作系统的内存管理是通过页面表存储方式来实现,其最后一位就是NX位,0表示允许执行,1表示禁止执行。NX一般是防止直接在堆和栈上运行shellcode代码,gcc默认开启不可执行栈功能,添加编译选项z -exestack可开启栈可执行功能。...
CTF之web学习记录 -- 文件包含
热门推荐
lifanxin的博客
05-11 1万+
文件包含概述常见文件包含函数和原理本地文件包含远程文件包含总结 概述   后端编程人员一般会把重复使用的函数写到单个文件中,需要使用时再直接调用此文件即可,因此该过程也就被称为文件包含。文件包含的存在使得开发变得更加灵活和方便,但同时也带了安全问题,导致客户端可以远程调用文件,造成文件包含漏洞。这个漏洞在php中十分常见,其他语言也有。 常见文件包含函数和原理 # php include() // 执行到include时才包含文件,找不到文件产生警告,脚本继续执行 require() // 程序运行就
学习ctfpwn的网址
最新发布
03-15
当涉及到学习CTF(Capture The Flag)和Pwn(漏洞利用)的时候,以下是一些常用的网址和资源推荐: 1. CTFtime:https://ctftime.org/ - CTFtime是一个CTF竞赛的信息平台,你可以在这里找到各种CTF比赛的信息、题目和解答。 2. Pwnable.kr:http://pwnable.kr/ - Pwnable.kr是一个专注于Pwn题目的在线平台,****** CTF Wiki:https://ctf-wiki.github.io/ctf-wiki/ - CTF Wiki是一个开放的CTF知识库,包含了各种CTF相关的知识、技巧和工具的介绍和使用方法。 5. CTF365:https://ctf365.com/ - CTF365是一个在线的CTF训练平台,提供了各种类型的CTF题目供学习和挑战。 6. CTFlearn:https://ctflearn.com/ - CTFlearn是一个面向初学者的CTF学习平台,*********!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值