攻防世界-PWN进阶区-EasyPwn(XCTF 4th-WHCTF-2017)

最新推荐文章于 2024-03-12 21:30:23 发布
最新推荐文章于 2024-03-12 21:30:23 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 攻防世界-PWN 文章标签: 字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/104651124
版权

这题其实不算难,不过漏洞比较隐蔽,需要细心才能发现

题目分析

checksec:
在这里插入图片描述
RELRO只是部分开启,考虑覆写GOT表

main:
在这里插入图片描述

echo:
在这里插入图片描述
在该函数中存在一个溢出:
v2的大小为1000(0x3E8),而我们的输入最大为0x438(输入缓冲区大小为0x400),如果我们的输入大于0x3E8,就会覆盖了v3的内容(%s),而%s是snprintf在向v2写入数据时格式化写入的数据的,如果被覆盖,之后我们再加上%x$p,格式化字符串就变成了"bb%x$p",snprintf就会把位置在x的数据写入v2中。
但是按理来说,在调用snprintf时%s就已经被传入,即使v3被修改应该影响不了snprintf,下面是某dalao对此的解释:

snprintf 把格式化字符串的地址记下来,然后,每次要处理一个字符时,先从地址处取格式化字符串,然后再根据格式化字符串来处理字符。由于地址是没变的,变的是地址里面的内容。

漏洞利用

根据上文的分析,可以发现echo函数中的格式化字符串漏洞,我们可以使用该漏洞修改free函数的got表项来得到shell,过程如下:

  1. 执行执行一次2,调用free,从而把free的地址加载进got表
  2. 用格式化字符串泄露 __libc_start_main+0xF0的地址,从而计算libc的基地址,payload: ‘a’ * 0x3E8 + ‘bb%397$p’,这里简单说一下为什么是397

我们现在snprintf的位置下断点,输入%p:%p:%p:%p:%p:%p.运行至此处,此时main的返回地址位于0x7fff0d97f298,而此时rsp为0x7fff0d97e650,(0x7fff0d97f298-0x7fff0d97e650)/8=393,而第三个为0x7fff0d97e650内存储的值,它是%4$p,因此0x7ffd7b5c0348应该是%(4+393)$p
在这里插入图片描述
在这里插入图片描述

  1. 利用格式化字符串泄露elf的基地址,payload:payload: ‘a’ * 0x3E8 + ‘bb%396$p’

在上面的调试中可以发现,在main函数返回地址的上面正好是init函数的地址(下图因为重新启动了进程所以地址变了)
在这里插入图片描述
因此我们把该地址减去0xDA0就是elf的基地址
在这里插入图片描述

  1. 把free的got表最低4个字节改成system的最低4个字节(他们两个只有最低4个字节不同),这样执行free操作就会调用system
    在这里插入图片描述

这里说一下如何构造%n覆写got
在snprintf中,被写入目标地址的字符数就是%n写入的值,而本题中这个值至少为1000,所以我们按如下方法构造payload

num = (system & 0xFFFF) - padding_num
print hex(num + padding_num)
payload = 'a' * padding_num + ('bb%' + str(num) + 'c%133$hn').ljust(16, 'a') + p64(free_got)
echo(payload)
num = (
最低0.47元/天 解锁文章
L.o.W
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
攻防世界-PWN进阶-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 852
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
[XCTF-pwn] 36_xctf-4th-WHCTF-2017_easypwn
weixin_52640415的博客
03-10 308
snprintf的格式化串中途被覆盖也会生效。 unsigned __int64 m1printf() { char s[1024]; // [rsp+10h] [rbp-BF0h] BYREF char v2[1000]; // [rsp+410h] [rbp-7F0h] BYREF char v3[1024]; // [rsp+7F8h] [rbp-408h] BYREF unsigned __int64 v4; // [rsp+BF8h] [rbp-8h] v4 = __re
WICCTF-2021-easypwn
05-12
2021津门杯ctf的第一道pwn题。
攻防世界PWNEasyPwn题解
seaaseesa的博客
11-15 3714
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 3810
攻防世界-Pwn-new-easypwn
攻防世界new-easypwn
DeMaJIKA的博客
12-02 233
这儿剋应用pwndbg来看代码,但是个人习惯用ida,先在linux里面运行一下试试功能。反正仙checksec检查下保护机制。
攻防世界 pwn——pwnstack
CNS-Enterprise BCC-1701-J
06-01 1050
攻防世界 做题练习
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
“百度杯”CTF比赛 十二月场easypwn
红凳子的博客
04-04 532
“百度杯”CTF比赛 十二月场easypwn前言一、程序分析二、漏洞利用exploit 前言 在这篇文章中将学习到泄露canary、ret2scu和ret2syscall 一、程序分析 从中可以看出该程序为64位动态链接的ELF文件,开启了canary保护,需要想办法绕过。 绕过canary的方法分为两种,一种为直接泄露canary的值,另一种为覆盖canary的值。 这里选择泄露canary的值,可以看出canary的位置在[rbp-8h]处,接着想办法泄露出[rbp-8h]处数据。 从源码中可以
攻防世界Easypwn-格式化字符串漏洞利用
aptx4869_li的博客
02-21 595
解题思路 基本信息查询 healer@healer:~/Documents/CTF/PWN/3.FormatStringVulnerability/EasyPwn$ readelf -h pwn1 ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's c
[BUUCTF]-PWN:roarctf_2019_easy_pwn解析
2301_79326813的博客
02-03 1403
先看保护64位,got表不可写看ida大致就是alloc创建堆块,fill填充堆块,free释放堆块,show输出堆块内容这里要注意的点有以下alloc创建堆块:这里采用的是calloc而不是malloc,calloc在创建堆块时会初始化也就是清空相应的内存空间,而malloc不会,这里使用calloc创建堆块fill填充堆块:这里它限制了填充的字节大小不得超过堆块大小,但如果填充大小正好大于堆块10字节的话,就可以多溢出一个字节,存在off by one漏洞。
攻防世界-PWN-new_easypwn
aptx4869_li的博客
07-31 2535
攻防世界的格式化字符串漏洞利用,简单题
new-easy(pwn)
最新发布
m0_72827793的博客
03-12 1265
由于栈溢出攻击的主要目标通过溢出覆盖函数栈高位的返回地址,因此其思路是在函数开始执行前,即在返回地地址前写入一个字长的随机数据,在函数返回前校验该值是否被改变,如果被改变,则认为是发生了栈溢出。与ASLR保护十分类似,PIE保护的目的是让可执行程序ELF的地址进行随机化加载,从而使得程序的内存结构对攻击者完全未知,进一步提高程序的安全性。ASLR的目的是将程序的堆栈地址和动态链接库的加载地址进行一定的随机化,这些地址之间是不可读写执行的为映射内存,降低攻击者对程序内存结构的了解。
攻防世界-PWN进阶-welpwn(RCTF-2015)
weixin_44145820的博客
02-27 1040
题目分析 首先看一下开了哪些保护 因为开了NX,所以考虑使用ROP或者return-into-libc 用IDApro分析一下源代码 可以看出main函数中不存在注入点,我们看一下echo函数 在eho函数中,缓冲至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到...
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值