BugkuCTF-PWN题pwn3-read_note超详细讲解

最新推荐文章于 2023-04-23 10:37:49 发布
最新推荐文章于 2023-04-23 10:37:49 发布
阅读量2.5k 收藏 4
点赞数 3
分类专栏: # BugkuCTF-PWN 文章标签: c++ c# c语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/am_03/article/details/120000764
版权

知识点

puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00

Canary最低位为\x00(截断符)

\x 和 0x 的区别:
区别不大,都是把数按16进制输出。
1、0x 表示整型数值 (十六进制)
char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42;
2、\x42用于字符表达,或者字符串表达
char c = ‘\x42’; 亦等价于: char c = 0x42;
char* s = “\x41\x42”; //表示字符串:AB

程序编译的时候入口并不是main函数,而是start代码段。事实上,start代码段还会调用__libc_start_main来做一些初始化工作,最后调用main函数并在main函数结束后做一些处理。

解题流程

先运行一下看看在这里插入图片描述
一开始会让你输入一个路径,不存在的话就会报错退出,然后打印出文件内容,然后分别输入note的长度和内容,输入内容的长度取决于之前的note长度;如果实际输入的长度不是624,则再输入一遍

查看保护机制
在这里插入图片描述
发现除了RELRO,其他保护机制全开
在这里插入图片描述
在这里插入图片描述

此题难点:

第一要读懂题目找出漏洞
第二是要绕过各类保护机制
第三是exp的编写调试。

第一要读懂题目找出漏洞

首先分析程序,重要部分如下所示。一开始会让你输入一个路径,不存在的话就会报错退出,然后打印出文件内容;以上均可以忽略,没有任何用处。然后分别输入note的长度和内容,输入内容的长度取决于之前的note长度;如果实际输入的长度不是624,则再输入一遍,此时输入内容的长度变为0x270(624)。可以发现,v4的长度为0x258(600),而输入的长度可以任意控制,因此存在栈溢出。
在这里插入图片描述

第二是要绕过各类保护机制

确定了漏洞所在,下一个问题就是如何绕过NX、Canary、PIE和ASLR等保护机制了,下面一个个来说。
1.NX很简单,ROP即可。

2.Canary会很大程度上妨碍栈溢出,但结合本题的环境,输入一次后紧接着一个puts函数将输入内容打印出来,然后还有一次输入的机会,因此可以在第一次输入时,通过覆盖Canary最低位的\x00为其他值(Canary最低位肯定为\x00,而puts()会一直输出直到碰见\x00位置),让puts()泄露出Canary的内容,第二次输入时再将正确的Canary写回去,就可以绕过Canary的保护了。

3.PIE会让程序加载的基地址随机化,但是随机化并不完全,最低三位是不会改变的,可以利用这个特性,通过覆盖最低的两位来有限的修改程序控制流,然后再泄露出程序加载地址。

4.至于ASLR,利用ret2libc的方法,泄露出libc的版本,就可以算出system等函数的地址然后get shell了。

第三是exp的编写调试

通过以上的分析,由于需要泄露三个内容,因此main函数需要执行四次,每次执行都会有两次输入,每次执行的工作分别如下:

第一次执行

需要在填满v4的长度600后,再溢出两个十六进制位(64位计算机一个地址是8个字节),覆盖Canary的最低位,然后将Canary打印出来;再次输入时,将正确的Canary放在原来的位置,然后溢出栈上返回地址的低两位为\x20。为什么是\x20,是因为从ida里可以发现,vul函数最后retn的地址为0xd1f,main函数的起始地址是0xd20,前面的偏移都是相同的,因此可以通过这类方法绕过PIE再跳回main。
在这里插入图片描述
在这里插入图片描述
如图D2E为main的返回地址

第二次执行

在填满600的基础上,需要再多溢出两个地址位数(64位计算机一个地址是8个字节),也就是616。从栈分布可以看出,v4之后是Canary(0x7fffffffde88处),然后再填充一个地址位,就可以输出main+14的真实地址,也就可以得到程序加载的地址。之后使用跟之前同样的方法,再次回到main函数的起始位置。
在这里插入图片描述

第三次执行

要溢出的就是__libc_start_main的真实地址了,作为main函数的返回地址,从上图可以看出,可以从栈上泄露__libc_start_main+240的地址,依次利用LibcSearcher算出libc版本,然后得到system地址和/bin/sh字符串的地址。此时已经具备了get shell的条件,但由于第二次输入的长度所限,因此还要再跳回main函数,再次执行程序。
在这里插入图片描述

第四次执行

将payload拼接好,然后发给程序了。由于是64位,传参需要rdi。通过ROPgadget搜索程序二进制,发现存在pop rdi;ret;的gadget,将其偏移再加上第二步得到的程序加载基地址,就可以得到gadget的真实地址,至此,payload拼接完成,可以拿到shell了。
在这里插入图片描述
exp:

from pwn import *
from LibcSearcher import *
#sh = process('./file/read_note')   #本地调试
sh = remote(
最低0.47元/天 解锁文章
彬彬有礼am_03
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugkuCTF练习平台pwn3(read_note)的writeup
只影的博客
03-05 1445
Bugku的pwn中,这道分值最高,也是难度最大的一道。难点在于,第一要读懂题目找出漏洞,第二是要绕过各种保护机制,第三是exp的编写调试。看一眼程序的保护机制,发现除了RELRO所有保护全开,还是有点头疼的,毕竟我刚开始学pwn没几天,还没有做过PIE和Canary的题目,所以调试还是花了不少时间的。 首先分析程序,重要部分如下所示。一开始会让你输入一个路径,不存在的话就会报错推出,然后打...
--pwn3
m0_49959202的博客
09-20 1081
文章目录pwn31.程序分析2.栈帧设计3.exp编写 pwn3 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现pie没开: ldd一下,找到使用的动态链接库: ida分析,发现存在函数vulnerable_function(),可以用来栈溢出 题目给出了一个.so文件,那么只需要泄露got表内容,就可以得到system()函数的真实地址。bin_sh字符串也可以到libc里面寻找。 发现write()函数在read()函数前被调用,因此可以使用write()将writ
bugku pwn3
doudoudedi
10-11 739
这道不算太难多次返回main函数就可以了,第一次就leak出canary然后修改最低位就可以返回main函数第二次我们leak出程序的基址再次返回main函数第三次函数我们泄露出libc最后一处返回main函数我们就可以getshell了 exp: from pwn import * from LibcSearcher import * #p=process('./read_note') p=r...
2023HDCTF部分wp(pwn3,web1,crypto3,Misc1)
qq_51627915的博客
04-23 949
HDCTF部分wp,指我a出来的
buuctf pwn rip 1,rop解法
amber_o0k的博客
11-07 1141
from pwn import * io = remote('node4.buuoj.cn', 27175) pop_rdi_ret=0x4011fb bin_sh=0x40201b syscall=0x401040 ret=0x401016 payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall) io.sendline(payload) io.interactive() 这个解法有点复杂了,强行构造了一波rop。.
ctfctf-pwn收集
03-31
ctfCTF(夺旗赛)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF库通常由多个类别的挑战组成,例如Web安全、二...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Bugku S3 AWD排位赛-9 pwn二进制
最新发布
08-27
Bugku S3 AWD排位赛-9 pwn二进制
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 3095
pwn笔记 - ret2text - 函数传参
read_note
whu_xxs的博客
03-15 535
基本原理 单比特量子态的一般表达式为: ∣ψ>=eiγ(cos⁡θ2∣0>+eiφsin⁡θ2∣1>)\left|\psi\right>=e^{i\gamma}\left(\cos\frac{\theta}{2}\left|0\right>+e^{i\varphi}\sin\frac{\theta}{2}\left|1\right>\right)∣ψ⟩=eiγ...
CTF学习日记----攻防世界pwn高手区welpwn
派大星的博客
11-16 515
CTF学习日记----攻防世界pwn高手区welpwn 前言 本人CTF菜鸡一枚,今天也是第一次创作博客,今天做了一个ROP链的题目,特地记录一下,如有错误,还请各位大佬批评指正,侵删。 题目 题目没有任何提示,附件扔进kali看看 64位程序,开启NX保护。对于NX保护,我的理解是NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,这时就违反了NX,CPU就不干了,从而不能执行恶意指令。但是我们可以通过其他命令绕过NX保护,
Pwn中阶学习1-[栈溢出]/篇3
m0_52343643的博客
04-14 1256
这种型一般是在题目没有给出程序文件的时候,我们对程序一无所知,对程序是否栈溢出、栈溢出长度、gadget地址,源函数地址等只能进行爆破得到 攻击条件: 程序存在栈溢出漏洞 服务器端的进程在崩溃后会重新启动,且启动进程地址与先前一样。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的。 BROP绕过ASLR、NX、Canary保护 步骤 爆破栈溢出长度 得到漏洞函数或main函数地址(stop gadget:使程序返回地
Bugku S3 AWD排位赛-2 pwn
z1r0的博客
08-13 575
可以通过s溢出改掉v5,满足条件即可。
linux内核提取ret2usr,Linux内核漏洞利用技术详解 Part 2
weixin_30970539的博客
05-07 353
前言在上一篇文章中,我们不仅为读者详细介绍了如何搭建环境,还通过一个具体的例子演示了最简单的内核漏洞利用技术:ret2usr。在本文中,我们将逐步启用更多的安全防御机制,即SMEP、KPTI和SMAP,并逐一解释它们将如何影响我们的漏洞利用方法,以及如何绕过这些防御机制。启用SMEP机制SMEP简介SMEP(Supervisormode execution protection,SMEP)机制的作...
PWN 学习—某平台ROP2 writeup
SNAKEのBlog
08-01 457
64位栈帧学习 writeup 本能反应 RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过 NX:NX enabl...
BugKu做记录【pwn】(持续更新中)
Assassin
04-06 3140
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做了,刚刚开始的签到就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
栈迁移过程记录,栈指针rsp、rbp、rip、leave变化过程
qq_39153421的博客
03-11 6235
栈迁移 通过ROP leave_ret 改变ebp的值伪造栈,到达栈迁移的目的。下面就一个题目的一个payload进行调试,逐指令理解栈迁移的过程。这里只是通过ROP来实现,还有一种是通过ROP,向bss段伪造栈,这个以后再说。 stack=rbp-0x70 #指向当前栈顶 # ROPgadget --binary easy_ad --only "pop|ret" | grep rdi pop_rdi_ret=0x400953 fun_addr=0x400756 leave_ret=0x4007B5 pu
ctf 简单pwn资源
08-09
CTF 简单 PWN 资源是指为了让参与网络攻防竞赛的选手提高他们在 PWN 领域的技能而准备的一些简单题目。这些题目通常要求选手对二进制代码进行逆向工程、利用漏洞并实施攻击,以获取题目提供的关键信息或获取系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值