BUUCTF-PWN gyctf_2020_bfnote(劫持TLS结构,ret2_dl_runtime_resolve)

最新推荐文章于 2024-06-05 23:29:12 发布
最新推荐文章于 2024-06-05 23:29:12 发布
阅读量1.6k 收藏 3
点赞数 1
分类专栏: BUU-PWN CTF知识学习 文章标签: plt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/105598660
版权
本文详细分析了一道带有Canary保护的栈溢出题目gyctf_2020_bfnote,涉及延迟绑定技术、函数plt调用过程、Canary机制以及漏洞利用策略。通过伪造rel和sym结构,实现ret2dl_runtime_resolve,最终绕过Canary防护并进行任意内存写操作。
摘要由CSDN通过智能技术生成

目录

程序分析

在这里插入图片描述
一道带有canary的栈溢出题目

main函数是吧ebp-4中存放地址再减四获得的

在这里插入图片描述
调试结果如下
在这里插入图片描述
我们把这里的地址改为bss+gap+4,并在bss+gap的地址放入我们的ROP链即可(这里需要留出一段空间防止执行某些函数时rsp减小而修改了got表变量)
在这里插入图片描述

背景知识

延迟绑定

本题需要利用ret2al_runtime_resolve,涉及到延迟绑定的技术,简单介绍一下函数绑定的过程,以atol的调用为例
我们看一下第一次调用程序atol,此时atol_got存放着atol@plt+6的地址
在这里插入图片描述
程序把0x40压入栈之后,跳到了0x08048450
在这里插入图片描述

该函数把linkmap压入栈,然后跳向0x0804a008存放的地址
在这里插入图片描述
而这个地址中存放的就是_dl_runtime_resolve的地址
在这里插入图片描述
之后就会在Libc中找到该函数并把它放入atol_got中
大致流程就是这样,下面介绍两个在该过程中涉及的结构体
符号表.dynsym节,它是一个结构体Elf32_Sym数组,定义如下

typedef struct
{
   
  Elf32_Word    st_name; //st_name指向的是函数名称在.dynstr表中的偏移
  Elf32_Addr    st_value;
  Elf32_Word    st_size;
  unsigned char st_info; //对于导入函数符号而言,它是0x12
  unsigned char st_other;
  Elf32_Section st_shndx;
}Elf32_Sym; //对于导入函数符号而言,其他字段都是0

重定位表.rel.plt为一个Elf32_Rel数组,定义如下

typedef struct {
   
    Elf32_Addr        r_offset;//got表地址,即函数地址写入的位置,
    Elf32_Word       r_info;//r_info>>8表示该函数对应在符号表.dynsym中的下标,r_info&0xff则表示重定位类型,本题需要r_info&0xff为0x7,因为类型需为ELF_MACHINE_JMP_SLOT以绕过类型验证
} Elf32_Rel;

程序的节信息可以通过readelf查看
在这里插入图片描述

回到atol第一次执行的时候
程序把0x40压入栈,这是atol函数的ELF32_REL结构与.rel.plt节的偏移
在这里插入图片描述
之后入栈的0x0804a004为link_map,程序先从第一个参数link_map获取字符串表.dynstr、符号表.dynsym以及重定位表.rel.plt的地址,通过参数0x40即.rel.plt表中的偏移加上.rel.plt的地址获取函数atol对应的重定位结构Elf32_Rel的位置

在这里插入图片描述

结构体第一个参数就是atol的GOT地址

最低0.47元/天 解锁文章
L.o.W
关注
专栏目录
GYCTF 2020-BFnote题目分析
Eagle_hwei的博客
03-14 872
BFnote的题目分析 2020-03-1408:28:02 by hawkJW 题目附件、ida文件及wp链接   自己太菜了,这道题里面包含的一些知识点和思路确实是以前完全没有接触过的。。。特别学习一下 1. 程序流程总览 首先,按照惯例,我们看一下程序开启的保护措施,如图所示 可以看到,仅仅是没有开启PIE保护,其余基本上保护都开启了,保护还是比较严格的。 下面我们来粗...
i春秋2020新春战役PWNBFnote (修改TLS结构来bypass canary)
seaaseesa的博客
02-24 2213
BFnote 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 一开始处,有一个溢出漏洞,但是由于开启了canary保护,得想办法绕过canary。下方的堆溢出,不仔细看还发现不了,v4只有一开始被初始化,在循环里,只有i被重新赋值,v4没变,而下方又用到了v4。 这题是可以绕过canary的,这就牵涉到了一个知识点。 在linux下,有一种线程局部存储(Thread ...
GYctf-BFnote IO_FILE还可以这样利用
蚁景网安学院
02-27 233
这次感受到了自己是多么的菜,打完hgame再来打这个感觉完全不是一个等级的pwn题,第一天只做出来一个,算是比较有质量的题吧,从比赛开始卡到我比赛结束,幸亏最后做出来了。有两个很明显的溢...
canary绕过感悟随记(pwn入门)
最新发布
2402_83422357的博客
06-05 1108
这个是假设总共要打70个长度,canary在0xc的位置,你刚开始打程序打到canary的位置总共是打了0x70-0xc计算一下就是0x64的位置了,那么,32位的机子.canary的值为4个字节,所以我们接收0x65,0x66,0x67就可以接收到canary前面的3个字节了.[0x65:0x68]左闭右开可以达到要求,而canary规定最后一个字节为\x00,用rjust(4,b'\x00')可以达到要求.rjust(4,b'\x00')这个的意思就是说,总共接收4个字节的数据,先接收完所有数据。
BugKu-CTF(杂项misc)--easypicture/TLS
Nailaoyyds的博客
05-13 1142
目录 题解: 工具爆破压缩包密码 ​编辑 拿到密码0707 zsteg拿到密文 拿到flag 题解: 拿到一张图片 fostmore分解(普通图片不会有这么大kb的) 得到一张图片和一个压缩包 工具爆破压缩包密码 拿到密码0707 hint:你喝过咖啡吗?你见过彩色的图片吗?,这里其实提示的是stegsolve, 但是我用的是zsteg剖析ciphertext 拿到一串密文 zsteg拿到密文 AES解密:rcPr04H36Qj+......
BUUCTF-PWN gyctf_2020_force(house of force)
weixin_44145820的博客
04-15 1412
目录程序分析漏洞分析漏洞利用EXP 程序分析 程序只有添加功能,puts功能没有用 添加功能中,有三个注意点 chunk大小没有限制 可以获得分配空间的地址 读入长度固定为0x50 漏洞分析 根据题目force,可以联想到house of force堆利用方法 以下内容取自ctf-wiki House Of Force 是一种堆利用方法,但是并不是说 House Of Force 必须...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 988
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF gyctf_2020_borrowstack
BengDouLove的博客
04-22 820
第一个read的只能溢出0x10字节,也就是刚好覆盖返回地址,如果要ROP地方肯定不够 所以迁移到bank,在那里ROP 之前没遇到过这样的题,怎么迁过去我苦思冥想,最终还是看了wp,,用两个leave来控制rsp和rbp寄存器,太妙了 leave是个伪代码,,分解开就是 mov rsp,rbp pop rbp 如果把构造成这样 ‘A’ * 0x60 bank_addr leave_...
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1540
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
CTF训练之现学现卖--SSH私钥泄露-附件资源
03-05
CTF训练之现学现卖--SSH私钥泄露-附件资源
[GYCTF2020]Ezsqli(无列名注入)
weixin_43940853的博客
05-16 5275
[GYCTF2020]Ezsqli 过滤了好多东西,包括用来查询的information关键词,本上就是考虑盲注了 当||后面条件为真时返回Nu1L,为假时返回V&N,这就是判断盲注语句是否成立的关键 接下来就可以写脚本判断表名了 import requests url = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/' payload = '2||ascii(substr((select group_concat
gyctf_2020_borrowstack
m0_73756460的博客
02-22 140
buu刷题gyctf_2020_borrowstack【wp】
BUUCTF-pwn(7)
njh18790816639的博客
12-19 1797
ret2dl_resolve _dl_runtime_resolve()通过两个参数在libc中寻找函数地址,而我们更加关注的是第二个参数也就是上面write的0x20,0x20将_dl_runtime_resolve()带到了reloc的位置,reloc中有2个重要信息,一个是函数的got表地址,另一个是r_info。r_info的高位是.dynsym中的条目,.dynsym的地址加上0x10*Num,得到函数对应的符号信息,而修改其中的st_name偏移,就可以伪造函数名称,从而实现漏洞利用,我们将其
BUUCTF--gyctf_2020_borrowstack1
qq_30528603的博客
01-05 376
迁到什么地方呢,肯定就是这个bank所在的地方了。我们还需要考虑一些细节上的东西,首先我们需要知道libc的基地址,因此我们需要通过puts函数来泄露。后续的操作就很简单,通过泄露的puts函数地址,计算出libc的基地址,当程序再次回到主函数时,直接将上的返回地址覆盖成one_gadget拿到权限。接下来的操作基本都是pop,因此rsp是从低地址到高地址跑(每次pop,rsp+8),所以我们顺序布局就可以。old_rbp覆盖成我们的bss段,让rbp指过去,接着返回地址需要再调用一次leave。
使用 Socks5 来劫持 HTTPS(TCP-TLS) 之旅
hackzkaq的博客
11-09 739
虽然大家在 yak 核心引擎中还能看到 martian 的影子,但是需要提醒的是,这个 martian 已经不是大家认识的 google/martian 了,我们对他进行了大量 Bug 修复,上下文控制以及 Socks5 支持,认证代理支持的修改,甚至我们还在他的基础上支持了国密算法的劫持套件,以助力对国内一些特殊站点的测试。因此我们做了一些简单的验证,去实现了基于 Socks5 协议的代理劫持,同时我们以一种更加简单高效的方式让 Socks5 的代理适配了传统的普通 MITM 交互式劫持中。
pwngyctf_2020_borrowstack
Nothing
03-02 1639
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
[阅读型]CTF中linux pwn的四大基本防御措施
easy_level1的博客
04-13 1818
讨论linux pwn中对二进制文件常见的四个基本防御措施 RELRO NX CANARY PIE
对某次比赛里PWN的分析
1phan的博客
04-11 721
MD5: FC76A2EFBD7D07A89A2DD343B9328E26 SHA1: EDAA95DB7406E5076A2AA8B30BA6B3E7547CD7B4 CRC32: 1374F4F7 很久很久之前某次CTF的PWN。。。题目在附件。 首先分析.exe文件 前面可以看到程序创建了socket服务 黄色选中的call为‘程序功能
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值