Pwn5-bugku

最新推荐文章于 2021-09-15 14:31:22 发布
最新推荐文章于 2021-09-15 14:31:22 发布
阅读量226 收藏
点赞数
分类专栏: 安全 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeshen4328/article/details/109008029
版权

pwn5

基础知识

  1. 格式化字符串漏洞:

    在c/c++的格式化输出中,使用的是printf函数,它的参数如下所示:

    int printf(const char *format, ...);

    使用方式如下:

    char buf[10] = {};
read(0,buf,9);
printf("%s",buf);

    如果直接使用printf输出buf的话,则存在格式化字符串漏洞:

    char buf[10] = {};
read(0,buf,9);
printf("%s",buf);

    原理:因为printf会从第一个参数读取格式化字符串,比如%x、%p,如果外部输入是“%x%x”这种字符串,那么printf就会从格式化字符串后面的数据读取对应格式的数据并输出,造成内存泄漏;

    利用:在64位机器中,调用printf函数时,会把参数以此push到寄存器rdi、rsi、rdx、rcx、r8、r9中,更多的参数则是push到栈中,那么printf函数在处理格式化时,也是先从寄存器中读取参数,如果参数超过上述寄存器数,则从栈中读取数据。回到漏洞利用,如果输入的格式化字符串为%p%p,那么printf会依次读取rsi、rdx中的数据(在读取格式化字符串时是从rdi读取的,所以第一个%p是从rsi开始)。有一种格式化字符可以指定输出第几个参数,如%0 p 是 从 第 0 个 参 数 寄 存 器 读 取 , 也 就 是 r d i , p是从第0个参数寄存器读取,也就是rdi,%1 p0rdip是从第1个参数寄存器读取,也就是rsi,%6$p是从第6个参数读取,由于寄存器只有6个,那么它就会从printf函数的栈中读取;

  2. libc

    通常所说的libc就是一个so库,里面包含了众多基本函数,比如system等。在运行一个程序前,比如helloworld,会首先加载libc,然后使用libc_start_main函数来加载我们自己写的main函数;

解题

image-20200809224452927

题目如上,本题存在两个漏洞1.格式化字符串漏洞,该漏洞可以用来泄漏libc的地址;2.栈溢出,该漏洞可以用来跳转到libc的system函数去,我们现在就要利用这两个漏洞拿到shell。

格式化字符串漏洞利用

首先需要利用格式化字符串漏洞获取libc的基地址,我们运行程序,运行到printf处,查看栈中的内容:
image-20200809232326356

栈里面有个返回地址0x00007f14af6360b3,可以看下内容:

image-20200809232435087

发现这个是__libc_start_main里面的代码,0x7f14af6360b3的地址为 __libc_start_main+243,因此__libc_start_main的地址为0x7f14af635fc0(0x7f14af6360b3-243)。

image-20200813212458118

然后可以利用ida查看该函数在libc中的偏移,计算得出libc的地址:

image-20200813212738776

因此可以由栈上的__libc_start_main函数的地址来计算的到libc的地址addr_libc=0x7f14af60f000=0x7f14af635fc0-0x0000000000026FC0。

我们可以使用vmmap命令验证下,看libc的地址是否为x7f14af60f000

image-20200813213009278

验证正确。(由于这是在我ubuntu上运行的,所以libc的地址为我机器上的,要获取题目中的libc地址,那么需要拿到对应系统版本的libc文件)

栈溢出利用

image-20200815153244683

题目后面存在一个栈溢出漏洞,缓存区s大小为0x20,但是读取了64个字节,所以可以控制栈。同时还需要注意要让代码跑到return 0语句,需要满足输入包含两个字符串needle和byte_4009BA,通过ida可以知道,这两个字符串为“真香”和“鸽子”:

needle

image-20200815153529680

byte_4009BA

image-20200815153654121

对应字符串

image-20200815153607201

所以之后输入真香鸽子即可跑到return 0语句。

这时候我们就需要构造ROP来拿到shell了。

image-20200815164152372

上图为我们可以控制的栈空间,总共0x40个字节,前0x28个是要填充内容的,后面0x18个是要放置相应跳转地址;

  1. 找到human中pop rdi | ret的地址0x0000000000026b72;

    ROPgadget --binary libc-2.31.so --only "pop|ret"

    image-20200815162258945

    在libc中找到“/bin/sh”字符串的地址addr_libc+0x00000000001B75AA:

    image-20200815162434748

    以及system函数的地址addr_libc+0x0000000000055410:

    image-20200815162504376

  2. 依次向栈中写入pop rdi |ret的地址、“/bin/sh”字符串的地址、system函数的地址;

    image-20200822180438953

当human运行完return 0之后,便会从栈中取出返回地址(已被修改为pop rdi|ret的地址),并跳转运行;

运行完pop rdi之后,“/bin/sh”的地址被存入rdi寄存器,ret运行之后,便从栈中取出返回地址(system函数地址)运行,这时候就相当于调用了system("/bin/sh"),拿到shell;

yeshen4328
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku pwn5
Ceciiiilia的博客
04-18 339
1、有字符串格式化漏洞,通过该漏洞可以打印出栈里rip上libc_start_main的真实地址(需要算出偏移) 2、有libc_start_main的真实地址,即找到该地址在lib表内相对于lib_base真实地址的偏移,及system和bin/sh相对于libc_base的偏移 3、lib_base_addr加上system在lib表中的偏移,即可找到system的真实地址,lib_bas...
Bugku pwn5
BengDouLove的博客
02-28 584
我怀着沉重的心情写这个blog,在我做出这道题之前费劲了千辛万苦,花了三天时间,思考加发呆加询问… 菜就不用说了。 好好记录一下吧。 代码中存在格式化字符串漏洞,具体运行起来是这样 这是第一个坑,%x与%p是有区别的,x输出四个字节,p输出八个字节,这是64位的程序,所以地址应该大于四个字节了。 之前一直用的%x最后泄露出来的地址不对,也很难发现。 (菜+1) 为什么是%11$p呢,这要从pri...
Bugku pwn5 WP
至臻求学,胸怀云月
02-19 898
下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/bugku/human' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x...
pwn5 - bugku
SkYe's Blog
11-02 833
pwn5 - bugku 本文并未真正意义上的writeup,因为我无法成功复现???只是单纯记录一下,做题笔记 首先看一下保护,只开了NX。 没有危险函数,如system、getshell等 main函数中的变量s,在read函数时可以造成溢出。当中的if条件是限制程序的第二次输入必须包含真香、鸽子两个字符串。 当中的重点是printf存在格式化字符串漏洞,我们可以从这里读取到main函...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
Bugku S3 AWD排位赛-9 pwn二进制
最新发布
08-27
Bugku S3 AWD排位赛-9 pwn二进制
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku-pwn5(萌新版)
TedLau的博客
05-02 747
补充一些点便于理解
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
bugku pwn5(格式化字符串漏洞)
weixin_45097188的博客
10-09 1390
检查程序开启了哪些保护及位数 没有开始栈保护 读程序 发现没有system和bin/sh两个后门,需要返回到libc,但是有__libc_start_main函数,可以通过这个函数计算libc的基地址libc_start_main的偏移=0x28/8+6=11 思路:栈上格式化漏洞配合栈溢出漏洞,首先利用格式化泄漏libc地址,然后栈溢出执行system(’/bin/sh’) 利用pwn4...
[BUGKU] [PWN] PWN5
Stan冲冲冲
05-18 408
[BUGKU] [PWN] PWN5 先下载文件,拉入UBUNTU,checksec检查一下 checksec human 架构是amd64,并开启了NX(堆栈可执行,16进制地址后六位不变,其余运行一次都会变) 在windows里把pwn2拉入64位ida 按F5切换到伪C 发现乱码,修改配置文件后ALT+A全部选上UTF-8,再按一次F5,中文就可以显示了 int __cdecl main(int argc, const char **argv, const char **envp) { char
bugku pwn5(栈溢出)
weixin_44954083的博客
12-11 915
查看保护机制: 这个开了nx保护,堆栈不可以执行 拉到ida看一下: 这道题没有binsh和system两个后门,所以这个需要libc地址,在main函数看到了libc_start_main函数,这里需要得到libc_base地址,通过真实地址-偏移地址 这里得到是真实地址, 0x7ffff7a2d830-240=‘0x7ffff7a2d740’ 通过真实地址后面三位不变可以去得到偏移地...
BugkuCTF练习平台pwn5(human)的writeup
只影的博客
03-04 935
这道题的思路相对简单,但是比较有代表性。 首先查看防护机制,发现只打开了NX。用ida打开题目,发现中文无法识别为字符串。这里需要用命令行打开ida,新建bat并编辑内容为D:\IDA_Pro_v7.0\ida64.exe -dCULTURE=all human即可。 漏洞有两处,第一处比较明显,是格式化字符串漏洞,如下所示。 memset(&s, 0, 0x20uLL); put...
bugku-pwn-wp
令则
03-27 446
bugku 文章目录bugkupwn1pwn2pwn3pwn4pwn5 pwn1 这个是典型的新手题了,nc连上去就有shell, 直接可以拿到flag。 pwn2 main函数 这里我们看到read函数位置会出现一个典型的栈溢出。 然后我们计算下溢出位置到返回值之间的距离,就可以控制程序流程了, 接下来我们看到函数中存在一个get_shell_函数: 然后就可以着手写exp,这里简单写下pa...
第五空间-PWN5
shidaofu的博客
09-15 177
国际惯例 无脑 IDA 思路 WP 总结
第五空间pwn5
qq_46441427的博客
07-03 229
文章目录前言一、题目特征二、分析方法1三.参考文章 前言 一、题目特征 二、分析 方法1 格式化字符串漏洞,那直接改那个函数的值 直接修改atoi函数的.got.plt表地址 这样在调用atoi函数的时候,可以直接在公共plt表跳转到system函数 确定偏移为10 from pwn import* p = process('./pwn') elf = ELF('./pwn') atoi_got = elf.got['atoi'] system_plt = elf.plt['system'] p
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值