攻防世界-PWN进阶区-echo_back(CISCN-2018-Quals)

最新推荐文章于 2022-03-29 16:17:32 发布
最新推荐文章于 2022-03-29 16:17:32 发布
阅读量794 收藏 4
点赞数
分类专栏: 攻防世界-PWN 文章标签: 字符串 linux 指针
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/104629998
版权

本题考查的是对格式化字符串漏洞的利用以及修改_IO_2_1_stdin来实现任意地址写

题目分析

checksec:
在这里插入图片描述
发现保护全开

源码分析:

echo函数:
在这里插入图片描述
在该函数中有明显的格式化字符串漏洞,但是格式化字符串的长度有限制,最长只能为7,这使得许多利用格式化字符串进行任意内存写的方式不能使用,不过泄露信息还是能够做到的
对于信息泄露,首先我们需要获取libc的基地址,这样我们才能计算system和/bin/sh在程序中的位置。而本题利用的泄露信息与以往的题目不同,以前一般是泄露某个库函数(read,write,printf等等)的got表地址来计算libc基地址的。但是本题因为开启了PIE以及输入长度的限制,我们难以得到got表在内存中的地址。所以本题是利用 __libc_start_main 来获取libc基地址的:main函数的返回地址为__libc_start_main + 0xf0,获得了main函数的返回地址就能计算出__libc_start_main的地址,也能计算出libc的基地址。而main函数的返回地址是保存在栈上的,根据调试可以发现使用 %19$p 就能得到main的返回地址。同理使用 %13$p就可以得到echo函数的返回地址从而计算出程序的地址。
在这里插入图片描述
通过上面的步骤我们能够计算出system和/bin/sh的地址,但是我们还需要修改函数的返回地址才能执行我们的代码。而%12$p处就保存了main函数rbp的地址,该地址+0x8就是main函数的返回地址了。
现在我们已经基本获取到了需要的地址,但是还有一个问题,就是如何把我们的rop链写入。这里就需要用到源代码中的setName函数:
在这里插入图片描述

我们先把名字设为aaaa,然后查看栈
在这里插入图片描述

可以看到我们设置的名字在%16$的位置,所以我们可以先把名字设为想要写入的地址,然后利用格式化字符串就能向该地址写入数据了。
但是还有一个问题,因为题目的限制,我们能够输入的字符数是有限的,在题目的限制下我们难以把ROP链写到返回地址上,这里我们就需要利用 _IO_2_1_stdin 了。

基础知识

在echo函数中,程序使用了scanf来读取长度,而scanf是从stdin中读取数据的,如果我们能够修改它,就能实现任意内存写入。

_IO_FILE

当Linux新建一个进程时,会自动创建3个文件描述符0、1和2,分别对应标准输入、标准输出和错误输出。C库中与文件描述符对应的是文件指针,与文件描述符0、1和2类似,我们可以直接使用文件指针stdin、stdout和stderr。
下面是stdio.h中的代码

typedef struct _IO_FILE FILE;  
 
/* Standard streams.  */  
extern struct _IO_FILE *stdin;      /* Standard input stream.  */  
extern struct _IO_FILE *stdout;     /* Standard output stream.  */  
extern struct _IO_FILE *stderr;     /* Standard error output stream.  */  
#ifdef __STDC__  
/* C89/C99 say they're macros.  Make them happy.  */  
#define stdin stdin  
#define stdout stdout  
#define stderr stderr  
#endif

从上面的源码可以看出,stdin、stdout和stderr确实是文件指针。而C标准要求stdin、stdout和stderr是宏定义,所以在C库的代码中又定义了同名宏。stdin、stdout和stderr的定义代码如下:

_IO_FILE *stdin = (FILE *) &_IO_2_1_stdin_;  
_IO_FILE *stdout = (FILE *) &_IO_2_1_stdout_;  
_IO_FILE *stderr = (FILE *) &_IO_2_1_stderr_;

让我们再看看文件的读取过程:
_IO_new_file_underflow 这个函数最终调用了_IO_SYSREAD系统调用来读取文件。在这之前,它做了一些处理

int _IO_new_file_underflow (_IO_FILE *fp)
{
   
  _IO_ssize_t count;
  ...
  if (fp->_flags & _IO_NO_READS)
    <
最低0.47元/天 解锁文章
L.o.W
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[XCTF-pwn] 24_ciscn-2018-Quals-echo_back
weixin_52640415的博客
03-08 241
格式化字符串漏洞,输入长度受限,劫持_IO_2_1_stdin_读入payload unsigned __int64 __fastcall echo_back(const char *a1) { size_t nbytes; // [rsp+1Ch] [rbp-14h] BYREF unsigned __int64 v3; // [rsp+28h] [rbp-8h] v3 = __readfsqword(0x28u); memset((char *)&nbytes + 4, 0
攻防世界echo_back
weixin_43960998的博客
04-05 369
1.程序逆向 程序读起来很简单,提供了两个功能,设置姓名和可以一直循环进行 echo_back,在 echo_back 中存在一个格式化字符串漏洞,但是每次最多读取 7 字节: 首先想到是写返回地址,但是最多只写 7 字节导致不能输送完整的 rop ,所以这里需要学习一个新的知识点。 2.漏洞利用&知识点 一个可以循环利用的格式化字符串,但是有字符限制 程序通过 scanf 输入 先是通过栈上的一些数据来泄漏 libc_base,elf_base,还要泄漏存放 main 的返回地址的栈地址,这
2020-11-09学习记录:攻防世界pwnecho_back
eeeeeight的博客
11-09 257
今天就算是世界毁灭,我也要更新博客,容我先睡一觉
hackme pwn echo [format string]
ACdream
01-31 428
题目名称就已经是很明显的提示了!echo ~ 提示:格式化字符串 从IDA中看main:即可看到printf(&amp;s)! 漏洞原理部分: http://www.cnblogs.com/Ox9A82/p/5429099.html 漏洞刷题提升: https://www.anquanke.com/post/id/85785 https://www.anquanke.com/pos...
【八芒星计划】 _IO_2_1_stdout_和_IO_2_1_stdin_ 的任意地址读和任意地址写
carol2358的博客
09-04 883
文章目录前言一、GKCTF2020]Domo总结 前言 这篇记一下任意地址读和任意地址写 _IO_2_1_stdout_的任意地址读,_IO_write_base为读取的起始地址,_IO_write_ptr为读取的末地址,并且flag的值要得是0xfbad1800才能正常读取   _IO_2_1_stdin_的任意地址写跟_IO_2_1_stdout_的任意地址读类似,也是需要控制flag还有_IO_buf_base和_IO_buf_end。 这回除了flag、_IO_buf_base和_IO_b
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
linux IO_FILE 利用
sky123博客
03-29 4684
基本结构 _IO_FILE_plus 定义如下: struct _IO_FILE_plus { FILE file; const struct _IO_jump_t *vtable; }; 包括一个结构体 file 和一个指针 vtable 。 其中 vtable 指向一个函数指针表,很多 IO_FILE 的攻击都是围绕它展开的。 _IO_FILE_plus 类型的结构有 _IO_2_1_stdin_ 、 _IO_2_1_stdout_ 和 _IO_2_1_stderr_ 。另外有头指针 _IO_
Linux内核解析之标准I/O库
weixin_30244889的博客
08-10 65
Linux创建一个进程时,会自动创建3个文件描述符0,1,2,分别对应标准输入,标准输出,错误输出。C库中与文件描述符对应的是文件指针。查看C库头文件stdio.h中的源码typedef struct _IO_FILE FILE; //文件流类型extern struct _IO_FILE *stdin; /* 标准输入流 */extern struct _IO_FILE *stdo...
[BUUCTF-pwn]——picoctf_2018_echo back
Y_peak的博客
04-03 391
[BUUCTF-pwn]——picoctf_2018_echo back 和之前的一道题及其类似大家可以对比一下[BUUCTF-pwn]——ciscn_2019_sw_1 思路都是一样的就是将printf_got修改为system_plt表,然后循环调用就好 找偏移, 为7 不过有点难受的是, 不知道为什么利用fini_array不行,那里错了也不知道,没办法只有利用put的got表了。 exploit from pwn import* p=remote('node3.buuoj.cn',27945)
xctf攻防世界_echo——爬坑之路(ret2dlresolve)
勤劳的小蜜蜂
05-27 938
很容易看到是栈溢出漏洞,而且给出了一个sample()的函数来读取flag,直接覆盖返回地址,在本地调试很快就弄完了。但是没想到,跟服务器连接后,死活出不来。没办法,想到上一篇文章一样的坑,看来只能拿Shell才行了。 查找了很多资料,一开始想着用write()函数泄漏,结果没这个函数。还动过使用fprintf函数的想法,但是远程太坑了。留几个学习到的点: 1、 gbd中可以使...
PWN技巧之攻防世界echo_back
aptx4869_li的博客
02-20 567
PWN技巧之攻防世界echo_back
有些头疼
猫沙盆
02-24 1694
这两天在做原来做的一个网站的重构,结果,看似很简单的页面,却让我头疼不已,虽然用css+div布局完成了,但是总觉得不是很理想,因为其间有一些非结构的div存在,试验半天,却没有好的方法解决。首页图如下:这里比较难实现的是中间部分的背景图,中间是带条纹的图片,而上下各有1条白色的虚线,放大如下:对于如何实现这个背景我想了两种方法,但是都不很理想,看来还要再试验。
ciscn 2018 部分writeup
StriveBen的博客
05-07 3898
ciscn 2018 部分writeup flag in your hand 这是一道js解密的题目: 发现checkToken函数数里返回的s===”FAKE-TOKEN”,使用这个字符串却得到wrong,而且ic后面被更改了: 跟踪bm函数: 这里charCodeAt() 方法可返回指定位置的字符的 Unicode 编码; 在ck函数里,ic的值又被更改了,所以要想...
nsctf_online_2019_pwn1(劫持IO_2_1_stdout来泄露地址)
seaaseesa的博客
04-30 1312
nsctf_online_2019_pwn1 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Edit功能里存在一个null off by one漏洞 没有show功能 我们可以利用fastbin attack,修改IO_2_1_stdout的_IO_write_base,这样,当再次调用puts或printf的时候,就会泄露出_IO_write_base~_IO_...
1.2.1. 标准输入与输出对象
lkflxy93的博客
09-19 459
标准库定义了 4 个 IO 对象。处理输入时使用命名为 cin(读作 see-in)的 istream 类型对象。这个对象也称为标准输入。处理输出时使用命名为 cout(读作 see-out)的 ostream 类型对象,这个对象也称为标准输出。标准库还定义了另外两个 ostream 对象,分别命名为 cerr 和 clog(分别读作“see-err”和“see-log”)。cerr 对象又叫
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值