Recho(xctf)

最新推荐文章于 2023-02-07 11:37:59 发布
最新推荐文章于 2023-02-07 11:37:59 发布
阅读量924 收藏
点赞数 2
分类专栏: # xctf(pwn高手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/107910973
版权
本文探讨了一个程序的栈溢出漏洞,详细介绍了利用过程,包括如何通过关闭输入、一次性布置gadget到栈上,以及如何通过syscall调用open函数来读取flag文件内容,最终达到输出flag的目的。利用的关键点包括找到特定的gadget和修改got表以实现功能。
摘要由CSDN通过智能技术生成

0x0 程序保护和流程

保护:

protect

流程:

main()

main

存在一个很明显的问题,就第二次可以输入的字符串大小是根据第一次输入的数字大小确定的,所以存在一个明显的栈溢出。

0x1 利用过程

1.通过栈溢出控制程序的流程只会发生在函数结束时,但是在这个程序中只要第一次的read函数一直有效程序就不会退出,所以在对栈完成布局之后就需要关闭输入。

2.一旦关闭输入,就不能继续输入了,所以必须一次就把gadget全部布置到栈上。

3.通过提示可以在.data中找到flag字符串。

在这里插入图片描述

4.于是猜想需要将名字为flag的文件中的内容读取并输出就能得到flag了。而读取并输出的流程可以为open()->read()->printf()。(write函数参数较多,printf函数可以少写一点代码)

flag=open("flag",0); // O_RDONLY==0
read(fd, addr, 100);
printf(addr);

但是在这段程序中并没有open函数,不过还可以使用syscall直接调用open函数,而在libc中可以发现open()的调用号为2。

open

接下来只需要找到syscall的gadget就并配合其他gadget就可以实现open()了。程序中的write函数和alarm函数都是需要syscall完成调用的。

write

alarm

所以只需要修改got表将got表中的地址加上偏移就可以直接调用syscall。选用这两个函数的原因是都有syscall,知道got表地址,并且不在ROP链中。

5.通过以上分析和程序中的gadget可以写出payload了。

需要的gadget。

pop_ret

在这里插入图片描述

pop_rax=0x4006fc
pop_rdi=0x4008a3
pop_rsi=0x4008a1
pop_rdx=0x4006fe
最低0.47元/天 解锁文章
whiteh4nd
关注
专栏目录
XCTF 3rd-RCTF-2017——Recho分析
Eagle_hwei的博客
02-05 1126
Recho的题目分析 2020-02-04 21:10:35by hawkJW 题目附件、ida文件及wp链接   这道题的思路和以往的不太一样,在这里学习、记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看到,保护情况还是比较轻松的,主要在NX上,即栈上不可执行。下面具体看一下程序的流程,如图所示 实际上,我们发现这个流程还是比较简单的,就...
XCTF Recho
weixin_44164182的博客
01-02 236
XCTF Recho ROP构造linux系统调用 from pwn import * import time from ctypes import * # context.update(log_level='debug', timeout='2') context.log_level = 'debug' context.timeout = 2 # r = process('./Recho') r = remote('220.249.52.134', 54741) elf = ELF('./Recho'
XCTF 3rd-RCTF-2017 Recho
qq_41071646的博客
07-16 855
最近感觉事情比较忙 以前就是做了一些题 就总结一下 现在 是 如果题目一下就看出来了 就再也不会写博客了 估计以后博客会 越写越少 然后 这个题目 参考链接 https://www.xctf.org.cn/library/details/e0d90ad9d0609320fd6743706135a80913d27b8d/ 主程序 主要是有几点没有想到 第一点就是没有想到怎么退出循环...
【攻防世界】Recho
weixin_43960998的博客
03-28 741
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
攻防世界高手进阶区——Recho
weixin_62675330的博客
03-11 446
攻防世界高手进阶区——Recho 题目什么也没给。(在这个题困了好久,一直在学基础,但是发现了一个更好用的学习网站,基本 ROP - CTF Wiki (ctf-wiki.org))希望对你们有用,估计以后就转战ctfwiki了。先做完这个题吧。 做题经历 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]
攻防世界--Recho
最新发布
qq_73149934的博客
02-07 240
攻防世界--Recho
Recho扩展「Recho Extension」-crx插件
03-09
Recho扩展 Recho是一款Chrome扩展程序,可以实时在幻灯片上传输反应。 与指定的哈希标签喃喃自语的杂音,像幻灯片上的幻灯片一样实时流动。 您也可以通过插入此扩展名,通过智能手机远程控制滑动操作。 我认为我们...
Recho Extension-crx插件
04-02
recho extension recho是镀Chrome扩展,导致幻灯片上的实时React。 在指定的HASHTAG中得分的推文实时刷新,幻灯片上的幻灯片。 您还可以通过拨打此扩展来远程使用智能手机进行幻灯片操作。 我们认为,通过向LT...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界进阶题Recho——知识点缝合怪
weixin_48066554的博客
09-20 1011
攻防世界进阶题Recho——知识点缝合怪 文章目录攻防世界进阶题Recho——知识点缝合怪引入初分析1、checksec2、主函数结构3、栈结构4、特殊字符串解题过程1、gadget搜集2、GOT表详情3、函数参数说明exp(详细注释) 引入 好久没有做pwn题了,手生的厉害,做道简单题练练手好了 这道题其实难度不高,属于那种开门见山把漏洞点抛出任君采撷的题,但是由于涉及的知识点较多,在ROP链构造时需要有清晰的思路,对于我这样的小白来说自然是再好不过的练习题。 初分析 1、checksec 题目拿到手上,
(攻防世界)(pwn)(RCTF2017)Recho
PLpa的博客
09-07 1760
0x00.前言 又是一题栈溢出题,但是又有一点点不同。。。 0x01.程序逻辑 程序保护: 程序只开了NX保护,堆栈不可执行。 进入IDA 程序让你先输入你将要输入的字符串长度,然后继续让你输入字符串。 最后,程序会输出你输入的字符串。 看起来,这很像一般的栈溢出,甚至我们可以通过程序的输出把一些敏感的地址给输出出来。 更加让人欣喜的是,这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...
[BMZCTF-pwn] 18-RCTF-2017-Recho
weixin_52640415的博客
02-15 292
复现一把,不看不行。 代码很简单,溢出很明显。 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]; // [rsp+10h] [rbp-30h] BYREF int v6; // [rsp+38h] [rbp-8h] int v7; // [rsp+3Ch] [rbp-4h] Init(
XCTF 4th-WHCTF-2017 creakme
weixin_30273175的博客
04-02 306
exe文件 运行一下 随便输一下 ps.这个曹操身边的故事挺有意思的 但是没啥卵用....... 查一下壳无壳 ida载入 发现找不到main函数 直接看start感觉逻辑乱乱的(萌新求不喷.....) 百度之,可能是MFC写的,小白真的是纯小白 一脸蒙蔽,第一次接触MFC 看一下大神的题解照着复现了一遍 但是大佬中间有的地方讲的不明白,可能是觉得太简单不需要讲了吧.....
【RCTF2017】Recho------<Linux的系统调用、PLT和GOT表>
qq_21746331的博客
12-29 1285
【RCTF2017】Recho知识点关键字样本知识点详解0x01 Linux的系统调用 知识点关键字 栈溢出、系统调用、ROP、pwntools中的shutdown方法、plt表和got表 样本 样本来自于RCTF2017_Recho,攻防世界上有练习环境 知识点详解 0x01 Linux的系统调用 最直观的理解,系统调用是操作系统提供给用户的一系列对计算机资源进行控制的方法,用户可以通过系统调用来请求使用计算机资源。比如Linux系统中,常用的文件I/O,进程控制等函数就是简介使用系统调用方法的函数。在
pwn-Recho
醉等佳人归
09-08 310
1.题目 1.保护机制 开启nx 2.关键代码 2.思路 重点1:看出来是个很简单的栈溢出,但是第一个问题是这个循环是个死循环,如果直接使用close()函数程序会直接退出,查询资料后发现pwn库中提供了shutdown()函数,他可以关闭IO流,即让循环正常退出 重点2:既然使用shutdown函数,我们必须一次性将payload发送过去,这就导致我们不能使用内存泄漏来泄漏system函数,查询了一下字符串发现有一个flag,所以我们考虑使用系统调用完成,alarm,open,read,write函数的
RNote XCTF 3rd-RCTF-2017 攻防世界
qq_41071646的博客
06-02 741
这个题 emmm 利用 off by one 然后就是double free 然后 写到 malloc_hook 就ok 不过这个题 我一开始出了一个问题 在 malloc_hook 里面我只是找到了 7f 然后我用了 0x30的堆块 然后不行 malloc的直接在堆块了 没有到我们想要的地方 只能又重新规划 然后 one_gadget 一把梭就好了 存...
攻防世界PWN之Recho题解
seaaseesa的博客
11-09 2398
Recho 首先,还是查看一下程序的保护机制。看起来不错。 然后用IDA分析 看起来是一个很简单的溢出,然而,这题的难点在于这个循环如何结束。read一直都是真,如果是在linux终端上直接运行,我们可以用Ctrl+D,然而,pwn远程,就无法处理这种信号。幸运的是pwntools提供了一个shutdown功能,该功能可以关闭流,如果我们关闭输入流,这个循环就结束了。但是我们别想再次...
[XCTF-pwn] 18_3rd-rctf-2017_recho
weixin_52640415的博客
03-04 219
这个不看别人的还真没着。 题目本身有个逻辑问题:输入不能小于16,这样就可以写溢出了。但是由于有prctl不能直接用system,又没有open所以rop似乎没法写。另外一个是要让read读到报错退出循环。 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]; // [rsp+10h] [rbp-30h
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值