1000levevls(xctf)

最新推荐文章于 2023-05-20 14:51:43 发布
最新推荐文章于 2023-05-20 14:51:43 发布
阅读量299 收藏
点赞数
分类专栏: # xctf(pwn高手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/108360544
版权
本文详细介绍了程序的保护流程,包括栈溢出漏洞和程序的输入处理。通过分析发现,虽然开启了PIE导致直接泄露地址困难,但可以通过修改特定内存区域触发system函数,并利用one_gadget在栈上放置地址。最后,借助vsyscall gadget来实现getshell,而不依赖libc或elf基址的泄露。
摘要由CSDN通过智能技术生成

0x0 程序保护和流程

保护:

protect

流程:

main()

main

输入1进入go(),输入2进入hint(),输入3退出程序。

go()

go

根据输入数字的大小确定check()的递归次数。

check

可以发现存在栈溢出漏洞。

hint()

hint

如果unk_20208C的值不为零就输出system函数的地址。

0x1 利用过程

1.因为程序开启了pie所以无法通过栈溢出泄露地址。只能看一下能否修改unk_20208C的值输出system函数的地址,但是找不到修改unk_20208C的方法。

2.只能看一下system函数的地址是否在内存中出现过。

hint_ass

发现只要进入hint()就会将system函数的地址存放到当前rbp-0x110的位置。而go()中的v5变量也位于rbp-0x110的位置,并且只要输入的level小于等于零v5就不会被初始化。也就是调用完hint()后再调用go()的时候只要输入的level小于等于零v5的值就是system函数的地址。之后还可以输入一个有符号的值与v5进行计算,只要减去system函数的基地址在加上one_gadget的地址就可以在栈上留下one_gadget的地址了。由于地址的大小肯定比100大,所以在第100次时的rsp+0x18的地方存放着one_gadget的地址。

stack

就像上图一样,此时rbp=0x7FFC438DCD50。

3.但是如何使得ret指令指向rsp+0x18的位置就有点难度了,因为至今为止没有泄露过libc和elf的基地址,无法使用"pop | ret"。通过查找资料知道了vsyscall这个每次加载不会改变其地址的gadget。

最低0.47元/天 解锁文章
whiteh4nd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-PWN进阶区-1000levevls(XCTF 3rd-BCTF-2017)
weixin_44145820的博客
02-29 823
这道题是攻防世界上面一道六星的pwn题,比起之前的还是挺有难度,做完也有很大收获 题目分析 首先checksec查看开启的保护 可以看到这题比之前的题目多了一个PIE保护,下面就简单介绍一下什么是PIE PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bs...
【HITB GSEC CTF 2017】1000levels
weixin_30709929的博客
09-08 171
https://files.cnblogs.com/files/p4nda/498a3f10-8976-4733-8bdb-30d6f9d9fdad.gz #通过阅读天枢战队大佬们的wp调试的结果 首先查看一下该elf文件的保护情况: 是64位程序,有PIE、NX保护,没有canary保护,怀疑是栈溢出类型。 开始寻找溢出点,通过阅读ida得到的代码,大致分析一下文件含义:...
攻防世界PWN之1000levels题解
seaaseesa的博客
11-09 960
1000levevls 本题是一个栈溢出题,难点在于开启了PIE,因此里面的函数地址是随机的。 溢出点在这里 让我们看看提示功能的函数 看看它的汇编代码 不管条件是否成立,system的地址都会保存到这个函数的rbp-110h处,也就是当前函数的栈顶。 我们再看看这个函数 我们进去看看 如果我们输入的levels大于0,v7才有初始化,那么,如果没有初始化,...
攻防世界 1000Click writeup
m0_73605862的博客
05-20 443
Step2:然后将程序放在IDApro这个逆向分析软件下进行分析,没有主函数,并且一直在生成函数,所以直接查看字符串。Step3:view下open subviews下的strings,选择,或者shift+F12也可以,查看字符串。【来源】(攻防世界)https://adworld.xctf.org.cn/challenges/list。Step4:往下翻阅,发现很多符合flag形式的字符串,随便点进去看看有什么不同,【思路】先用exeinfope进行查壳,再用IDApro进行逆向分析。
攻防世界PWN之RCalc题解
seaaseesa的博客
11-19 1399
RCalc 首先,检查一下程序的保护机制,还不错,只开了NX 然后,我们用IDA分析 看到这,感觉像是堆的题,应该会很复杂。然而,我们再看看其他地方,发现这个函数只是在初始化时调用的,也不太可能会被利用,而且程序全程没有调用free函数 然后,我们瞧瞧其他函数,看到这里感觉好复杂,然而,它只是一个用来生成随机数的函数罢了 然后,我们继续看其他函数 这个样子,好像是can...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
简单的从odex或oat文件中解压出dex文件
seaaseesa的博客
02-02 3792
目前解压这两种文件的方法都是用apktool,然而还有一种简单的方法。 odex和oat是dex文件的一种优化,但是解压他们的方法是相同的。 首先用WinHex打开一个odex文件,我们可以看到dex 035这个字符串,其实这个地方就是dex文件开始的位置,根据dex文件的数据结构可知向后再偏移32个字节就是dex文件的大小。于是从头的偏移位置向后取出dex大小个字节就是dex文件的内容。
攻防世界-PWN进阶区-echo_back(CISCN-2018-Quals)
weixin_44145820的博客
03-03 820
本题考查的是对格式化字符串漏洞的利用以及修改_IO_2_1_stdin来实现任意写 题目分析 checksec: 发现保护全开 源码分析: echo函数: 在该函数中有明显的格式化字符串漏洞,但是格式化字符串的长度有限制,最长只能为7,这使得许多利用格式化字符串进行任意内存写的方式不能使用,不过泄露信息还是能够做到的 对于信息泄露,首先我们需要获取libc的基地址,这样我们才能计算system...
攻防世界PWN之notebook题解
seaaseesa的博客
11-21 533
Notebook 研究了一下,做出来的人挺少,还挺有成就感 首先,检查一下程序的保护机制,发现PIE和RELRO未开启 然后,我们用IDA分析一下,看起来好复杂的样子 发现有溢出和格式化字符串漏洞 首先当然是想到利用格式化字符串漏洞来泄露canary的值 要想执行格式化字符串漏洞,得满足那个if条件 我想了好久,才反应过来,如果有传入格式化的字符串,这个条件就不可...
linux实验总结1000字,vsyscall总结
weixin_32579355的博客
05-15 380
利用vsyscall/vsdo技术bypass PIE我们知道,在开启了ASLR的系统上运行PIE程序,就意味着所有的地址都是随机化的。然而在某些版本的系统中这个结论并不成立,原因是存在着一个神奇的vsyscall。(由于vsyscall在一部分发行版本中的内核已经被裁减掉了,新版的kali也属于其中之一。vsyscall在内核中实现,无法用docker模拟,因此任何与vsyscall相关的实验都...
hitb-2017 1000levels writeup
jmp esp
08-28 1665
题目分析题目设置的还是比较巧妙的。本身是一个二进制的文件,linux 64环境,保护情况如下: Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled功能一共三个: 1. go:
Linux pwn入门教程(7)——PIE与bypass思路
子曰小玖的博客
06-04 2093
https://bbs.ichunqiu.com/thread-43627-1-1.html 0x00 PIE简介 在之前的文章中我们提到过ASLR这一防护技术。由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用。因为ASLR技术的出现,攻击者在ROP或者向进程中写数据时不得不先进行leak,或者干脆放弃堆栈,转向bss或者其他地址固定的内存块。而PIE(position...
VDSO与vsyscall
MillionSky的专栏
03-19 7378
1 概述vsyscall和vDSO是用于加速某些系统调用的两种机制。 传统的int 0x80有点慢, Intel和AMD分别实现了sysenter/sysexit和syscall/ sysret, 即所谓的快速系统调用指令, 使用它们更快, 但是也带来了兼容性的问题. 于是Linux实现了vsyscall, 程序统一调用vsyscall, 具体的选择由内核来决定. 而vsyscall的实现就在VD...
XCTF 3rd-BCTF-2017——100levels
05-08 381
64位程序,没开canary,但开了PIE  #爆破 #vsyscall 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 int v3; // eax 4 5 set(); 6 put_logo(); 7 while ( 1 ) ...
2019XCTF攻防世界之萌新入坑
weixin_44113469的博客
04-06 1642
XCTF攻防世界的题质量确实很高,还有解题思路和writeup,真是棒极了。 萌新入坑 0x01 babystack 保护机制 题目开启了nx,canary 题目代码 思路分析 ①这道题主要是绕过canary,然后栈溢出getshell。 ②经分析,read函数读入到s处,可以溢出。 ③put函数输出s的内容,遇到’\x00’才停止,即使字符串中存在’\n’,也会继续输出,用...
xctf 100levels
doudoudedi
11-20 256
直接用vsyscall的地址不会发生改变通过栈的结构分布发现返回地址+24byte之后便是system_addr将其改为execve(’/bin/sh’)然后跳到上面即可 from pwn import * local=1 if local==1: p=process('./100levels') elf=ELF('./100levels') libc=ELF('./libc.so') el...
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入漏洞来获取敏感数据或者执行非授权操作。这个题目可以帮助参与者提升对于 SQL 注入漏洞的理解和防御能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值