攻防世界-PWN进阶区-1000levevls(XCTF 3rd-BCTF-2017)

最新推荐文章于 2024-07-24 22:10:44 发布
最新推荐文章于 2024-07-24 22:10:44 发布
阅读量839 收藏 4
点赞数 2
分类专栏: 攻防世界-PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/104574782
版权
本文详细解析了一道六星PWN题,涉及PIE保护、栈溢出、系统调用、vsyscall和one_gadget利用。通过分析代码和汇编,揭示了如何在开启PIE的情况下,利用栈溢出修改返回地址,结合vsyscall和one_gadget获取shell。
摘要由CSDN通过智能技术生成

这道题是攻防世界上面一道六星的pwn题,比起之前的还是挺有难度,做完也有很大收获

题目分析

首先checksec查看开启的保护
在这里插入图片描述
可以看到这题比之前的题目多了一个PIE保护,下面就简单介绍一下什么是PIE

PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载地址,从而不能通过ROPgadget等一些工具来帮助解题

下面接着对源文件进行分析

main函数
在这里插入图片描述
hint函数
在这里插入图片描述
go函数
在这里插入图片描述
在go函数中我们可以发现如果v2<=0的话,v5是不会被初始化的,而之前的hint函数中出现了system函数的地址,这个地址会不会在栈上保存呢?
接下来我们看一下hint函数的汇编代码:
在这里插入图片描述
可以看到system函数的地址被放到了rbp-110h的地方,而go函数中v5变量的位置正好就是rbp-110h
这里就出现了一个可利用的地方,如果我们进入go函数之后第一次输入小于等于0,system的地址就被保留在了栈上,而之后程序还会让我们进行一次输入,并把rbp-110h位置处的值变为加上新的输入的值,这个新的输入是没有限制的,意味着我们可以把system的地址改为libc中的任何地址。
接下来再看看play_game函数:
在这里插入图片描述
这里有一个明显的栈溢出,buf的大小仅为0x8,却可以读入最多0x400的数据,这意味着我们可以改变函数的返回地址,但是开启了PIE保护,意味着我们不知道程序执行时候的真实地址,那我们要把返回地址改成什么呢?
这里就需要利用vsyscall和之前保留在栈上的system函数了

vsyscall是什

最低0.47元/天 解锁文章
L.o.W
关注
专栏目录
攻防世界Pwn1000levels
qq_42728977的博客
01-17 444
标题: MMA CTF 2nd 2016 : greeting-150 原理: 溢出,爆破system地址,绕过PIE保护。 做题环境: ubuntu14 64位 工具: pwntools、LibcSearcher 步骤: 根据程序逻辑爆破system地址,进而计算出libc_base,进而构造ROP链获得shell。 具体流程: 用checksec查看保护:发现有PIE保护,即地址无关可执行文...
1000levevls(xctf)
weixin_43868725的博客
09-02 308
0x0 程序保护和流程 保护: 流程: main() 输入1进入go(),输入2进入hint(),输入3退出程序。 go() 根据输入数字的大小确定check()的递归次数。 可以发现存在溢出漏洞。 hint() 如果unk_20208C的值不为零就输出system函数的地址。 0x1 利用过程 1.因为程序开启了pie所以无法通过溢出泄露地址。只能看一下能否修改unk_20208C的值输出system函数的地址,但是找不到修改unk_20208C的方法。 2.只能看一下system函数的地址
攻防世界PWN1000levels题解
seaaseesa的博客
11-09 971
1000levevls 本题是一个溢出题,难点在于开启了PIE,因此里面的函数地址是随机的。 溢出点在这里 让我们看看提示功能的函数 看看它的汇编代码 不管条件是否成立,system的地址都会保存到这个函数的rbp-110h处,也就是当前函数的顶。 我们再看看这个函数 我们进去看看 如果我们输入的levels大于0,v7才有初始化,那么,如果没有初始化,...
攻防世界新手模式1000Click
最新发布
2302_79735426的博客
07-24 160
发现没有什么有用的信息,按住shift+F12 找字符串,根据逻辑,正确的flag应该在Error附近。得到flag{TIBntXVbdZ4Z9VRtoOQ2wRlvDNIjQ8Ra}发现有很多函数,在函数名的状态栏中搜索main函数,并按F5进行反汇编。由可运行程序发现:如果输入的值不正确会弹出Error!直接点1000次也可以得到flag,但是....双击Error 并且按ctrl+x查找它的汇编。下载附件后得到的是一个exe文件。
XCTF 3rd-BCTF-2017——100levels
05-08 388
64位程序,没开canary,但开了PIE  #爆破 #vsyscall 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 int v3; // eax 4 5 set(); 6 put_logo(); 7 while ( 1 ) ...
[XCTF-pwn] 21_xctf-3rd-bctf-2017_1000levels
weixin_52640415的博客
03-08 235
1000级的简版100级。 程序两个函数一个是给个提示,这时候会把system放到里(但没有输出),第二个是进行一个100层递归回答问题。 漏洞: hint函数在if前面将system放到里,这样system在里有残留 第2个漏洞是read有溢出,而且很长。 问题是这个题开启了随机化,这样题目加载地址、地址、libc加载地址都是随机的 第1个的漏洞就,第2个的漏洞是 ...
攻防世界-PWN进阶-EasyPwn(XCTF 4th-WHCTF-2017)
weixin_44145820的博客
03-04 1959
这题其实不算难,不过漏洞比较隐蔽,需要细心才能发现 题目分析 checksec: RELRO只是部分开启,考虑覆写GOT表 main: echo: 在该函数中存在一个溢出: v2的大小为1000(0x3E8),而我们的输入最大为0x438(输入缓冲大小为0x400),如果我们的输入大于0x3E8,就会覆盖了v3的内容(%s),而%s是snprintf在向v2写入数据时格式化写入的数据的,如...
攻防世界-PWN进阶-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 891
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
攻防世界-PWN进阶-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 629
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
攻防世界-PWN进阶-welpwn(RCTF-2015)
weixin_44145820的博客
02-27 1070
题目分析 首先看一下开了哪些保护 因为开了NX,所以考虑使用ROP或者return-into-libc 用IDApro分析一下源代码 可以看出main函数中不存在注入点,我们看一下echo函数 在eho函数中,缓冲至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到...
RNote XCTF 3rd-RCTF-2017 攻防世界
qq_41071646的博客
06-02 739
这个题 emmm 利用 off by one 然后就是double free 然后 写到 malloc_hook 就ok 不过这个题 我一开始出了一个问题 在 malloc_hook 里面我只是找到了 7f 然后我用了 0x30的堆块 然后不行 malloc的直接在堆块了 没有到我们想要的地方 只能又重新规划 然后 one_gadget 一把梭就好了 存...
1000levels-vsyscall
playmaker的博客
08-11 325
1000levels-vsyscall 题目是一个64位的程序 具体保护如下 程序主要分为两部分,分别为go部分和hint部分。 首先先看简单的hint部分 int hint() { signed __int64 v1; // [rsp+8h] [rbp-108h] int v2; // [rsp+10h] [rbp-100h] __int16 v3; // [rsp+14h] [r...
攻防世界PWN之Play(条件竞争)题解
seaaseesa的博客
12-19 1876
Play(条件竞争,多进程共享同一数据域) 首先,检查一下程序的保护机制,很好 然后,我们用IDA分析,发现一个很明显的溢出漏洞 但是,要想执行这个漏洞函数,就必须打赢游戏 而,要打赢游戏,就是让*(_DWORD *)(gMonster + 8)的值小于等于0,也就是Host的Surplus要小于等于0 然后,我们看到这里有一个修改(gMonster + 8)值的地方...
攻防世界PWN之secret_file题解
seaaseesa的博客
11-10 1917
首先,我们看一下程序的保护机制 吓了一跳,几个关键保护全开。 然后,我们用IDA分析一下 好像很复杂的样子。以往的ROP这些都用不了。然而,只要这个条件成立,就可以执行popen了。 其中,我们发现v15是一个定值,在这里面被初始化,调试后发现是一个字符串9387a00e31e413c55af9c08c69cd119ab4685ef3bc8bcbe1cf82161119457127...
简单的从odex或oat文件中解压出dex文件
seaaseesa的博客
02-02 3802
目前解压这两种文件的方法都是用apktool,然而还有一种简单的方法。 odex和oat是dex文件的一种优化,但是解压他们的方法是相同的。 首先用WinHex打开一个odex文件,我们可以看到dex 035这个字符串,其实这个地方就是dex文件开始的位置,根据dex文件的数据结构可知向后再偏移32个字节就是dex文件的大小。于是从头的偏移位置向后取出dex大小个字节就是dex文件的内容。
Openctf-2016-pwn-apprentice_www 题解
lifanxin的博客
02-07 236
Write Up文件信息漏洞定位利用分析wp总结 文件信息 该样本来自2016年Openctf的一道pwn题–apprentice_www 检查文件信息:   32位小端程序,只开启NX保护 漏洞定位 程序main函数如上图所示,setup函数中使用了mprotect开辟了一个可写、可读以及可执行的内存域,其截图如下;加上checksec信息中的NX保护,其实这里已经暗示了将shellcode存储在此然后执行的漏洞利用方法。 接下来我们看一下butterflySwag函数,如下图所示,其中第一个sc
攻防世界(pwn)Recho(XCTF 3rd-RCTF-2017) writeup
xidoo1234的博客
02-27 1280
深感本题扩充了本人的知识面,遂作文记录下来
Buuctf(pwn)ciscn_2019_n_8
半岛铁盒的博客
03-28 239
保护开的挺全; from pwn import* r=remote('node3.buuoj.cn',28155) payload = p32(17)*14 r.sendline(payload) r.interactive() 没利用漏洞,简单的输入满足条件就好了
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值