Bugku PWN Easy_int

原创 已于 2023-04-01 18:34:18 修改 · 839 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #python #安全

于 2023-04-01 18:28:56 首次发布
文章详细描述了一个64位程序的pwn挑战,通过溢出漏洞和数值溢出技巧进入vuln函数,然后寻找并利用ropgadget来构造payload,最终目标是获取shell。在初次尝试失败后,通过调整system调用的地址成功拿到flag。

前言

看到好久没更新博客了,最近又刚好在学习pwn,那就补一篇WriteUP吧!

题目信息

解题过程

先check

64位程序,只开启了NX保护,直接上IDA静态分析

最低0.47元/天 解锁文章
bugku 里面的五个pwn题wp
qq_36495104的博客
05-08 2682
pwn1 没给二进制文件,直接nc过去就能拿shell,查看flag,flag{6979d853add353c9} pwn2 查看保护,发现什么保护都没开启 ida反编译查看 明显栈溢出,还注意到有后门函数 只需要劫持函数的返回地址到get_shell函数,就可以用拿到flag。使用gdb调试发现,在0x38个字符后就会覆盖返回地址,所以编写脚本拿flag。 exp #pwn2.py from pwn import * #sh=process('./pwn2') sh=remote('11
BugKu做题记录【pwn】(持续更新中)
Assassin
04-06 4408
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
bugku-pwn-wp
令则
03-27 588
bugku 文章目录bugkupwn1pwn2pwn3pwn4pwn5 pwn1 这个是典型的新手题了,nc连上去就有shell, 直接可以拿到flag。 pwn2 main函数 这里我们看到read函数位置会出现一个典型的栈溢出。 然后我们计算下溢出位置到返回值之间的距离,就可以控制程序流程了, 接下来我们看到函数中存在一个get_shell_函数: 然后就可以着手写exp,这里简单写下pa...
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku pwn1
PRCORANGE的博客
04-13 313
题目: nc 114.67.246.176 10846 nc:全称Netcat,用于连接远程服务器端口。连接后它会返回一个cmdshell用于执行命令(Linux自带该命令)。 在linux中连接服务器,再使用ls查看目录 cat flag
BUGKUeasy_re
chen64515的博客
03-25 723
BUGKUeasy_re尝试IDA 提示: flag格式:DUTCTF{xxxx} Hint: 1.逆向常用的工具有IDA 、ollydbg 地址 尝试 要输入一个flag串,尝试输入失败,根据提示使用IDA查找flag。 IDA 将文件拖入IDA中,按F5进行反编译(提示没有Decompiler,是安装的IDA不带反编译插件,找带的版本重新安装)得到c代码: int __cdecl m...
bugku pwn5(格式化字符串漏洞)
weixin_45097188的博客
10-09 1630
检查程序开启了哪些保护及位数 没有开始栈保护 读程序 发现没有system和bin/sh两个后门,需要返回到libc,但是有__libc_start_main函数,可以通过这个函数计算libc的基地址。 libc_start_main的偏移=0x28/8+6=11 思路:栈上格式化漏洞配合栈溢出漏洞,首先利用格式化泄漏libc地址,然后栈溢出执行system(’/bin/sh’) 利用pwn4...
BugkuCTF pwn题第一弹
weixin_43489686的博客
09-09 2261
BugkuCTF pwn题第一弹
pwn入门小技巧
qq_36918532的博客
05-24 3420
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
bugku-pwn-瑞士军刀 overflow2
m0_57954651的博客
01-13 2262
在klai中使用file命令查看文件类型 可以看到是64位。system函数的地址是0×40043F。使用IDA 64 Pro打开文件 查看主函数。利用Kali连接 ls查看。给了个nc和文件 下载。
Bugku pwn4 WP
至臻求学,胸怀云月
02-18 894
下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/wiki/pwn4' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x4...
Bugku pwn4
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
10-24 384
准备: 可以看到程序没有开任何的保护 运行测试了一下,有一个输入数据的点 IDA 定位到主函数,很明显这里的 s 可以作为溢出的点 浏览了一下找到了system函数,kaix… 找找rop点,查看一下字符串 刚开始也很懵逼,找了一下/bin/bash 没找到,去看了wp,原来这里的$0也是可以利用的,system('/bin/bash')和system('$0')的效果是一样的。 这样我们就可以借用'$0'来溢出拿到shell OK现在我们有...
Bugku pwn5
BengDouLove的博客
02-28 657
我怀着沉重的心情写这个blog,在我做出这道题之前费劲了千辛万苦,花了三天时间,思考加发呆加询问… 菜就不用说了。 好好记录一下吧。 代码中存在格式化字符串漏洞,具体运行起来是这样 这是第一个坑,%x与%p是有区别的,x输出四个字节,p输出八个字节,这是64位的程序,所以地址应该大于四个字节了。 之前一直用的%x最后泄露出来的地址不对,也很难发现。 (菜+1) 为什么是%11$p呢,这要从pri...
[BUGKU] [PWN] PWN2
Stan冲冲冲
05-18 326
[BUGKU] [PWN] PWN2 先下载文件,拉入UBUNTU,checksec检查一下 checksec pwn2 发现啥都没开,最重要的是架构是amd64 在windows里把pwn2拉入64位ida 按F5切换到伪C 注意这句话 read(0, &s, 0x100uLL); 常见的缓冲区漏洞 按shift+f12查看字符串 发现有一个cat flag 按x发现交叉引用 .text:0000000000400769 mov edi, offs
bugku-pwn3
playmaker的博客
06-04 1723
程序是一个保护全关的64位程序,主逻辑如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-10h] memset(&s, 0, 0x10uLL); setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stdin, 0LL, 1...
bugku pwn3
doudoudedi
10-11 840
这道题不算太难多次返回main函数就可以了,第一次就leak出canary然后修改最低位就可以返回main函数第二次我们leak出程序的基址再次返回main函数第三次函数我们泄露出libc最后一处返回main函数我们就可以getshell了 exp: from pwn import * from LibcSearcher import * #p=process('./read_note') p=r...
BugKu - pwn2
Casuall的博客
07-06 3872
这道题来自于bugku旧平台的第二道pwn题,还是比较简单的,一个典型的缓冲区溢出题。 首先查看一下文件类型,file pwn2,可以看到是64位的程序。然后用64位IDA打开,查看程序的逻辑。 可以看到这个程序的逻辑比较简单,有一个read函数,这个函数一个危险函数,可能引发缓冲区溢出漏洞。常见的危险函数还有gets、strcpy、sprintf、scanf等。 然后查看字符串,看看是否有内置...
pwn IO_FILE
最新发布
08-01
### Pwn中IO_FILE利用技术详解 IO_FILE结构体是C标准库中用于管理文件流的核心数据结构,其在glibc中的实现包含了一系列的函数指针,用于处理文件的读写操作。攻击者在发现二进制漏洞时,如果能够控制这些函数指针或其调用上下文,就可能实现任意代码执行。 #### IO_FILE结构体的基本组成 IO_FILE结构体在glibc中定义如下,包含了一系列用于管理文件读写状态的字段: ```c struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ char* _IO_read_ptr; /* Current read pointer */ char* _IO_read_end; /* End of get area. */ char* _IO_read_base; /* Start of putback+get area. */ char* _IO_write_base; /* Start of put area. */ char* _IO_write_ptr; /* Current put pointer. */ char* _IO_write_end; /* End of put area. */ char* _IO_buf_base; /* Start of reserve area. */ char* _IO_buf_end; /* End of reserve area. */ char* _IO_save_base; /* Pointer to start of non-current get area. */ char* _IO_backup_base; /* Pointer to just before start of backup area. */ char* _IO_save_end; /* Pointer to just past end of backup area. */ struct _IO_marker *_markers; struct _IO_FILE *_chain; int _fileno; /* File descriptor. */ ... }; ``` 其中,`_flags`字段用于标识文件流的状态,而`_IO_read_ptr`、`_IO_read_end`等字段用于管理缓冲区。最重要的是,`_IO_FILE`结构体内部包含了一个`_IO_jump_t`结构体指针,该结构体包含了多个函数指针,例如`_IO_underflow`, `_IO_overflow`, `_IO_xsgetn`, `_IO_seekoff`, `_IO_seekset`等,这些函数指针决定了文件流的具体操作逻辑[^1]。 #### IO_FILE利用技术的核心思想 在二进制漏洞利用中,攻击者通常通过堆溢出、UAF(Use-After-Free)等漏洞修改`_IO_FILE`结构体中的函数指针或其关联的`_IO_jump_t`虚表指针。一旦控制了这些指针,攻击者可以在程序调用如`fread`, `fwrite`, `fclose`等函数时触发任意代码执行。 一个典型的攻击场景是通过堆溢出覆盖`_IO_jump_t`指针,使其指向攻击者控制的内存区域。随后,当程序尝试调用某个文件操作函数(如`fread`)时,就会跳转到攻击者指定的地址执行代码。例如,攻击者可以将该指针修改为指向栈或堆中的shellcode,从而获得控制权[^2]。 #### 实际攻击步骤示例 1. **泄露堆地址**:通过某种方式(如堆喷射或信息泄露漏洞)获取堆的地址,以便构造`_IO_jump_t`结构体的伪造虚表。 2. **堆风水布局**:通过精心构造堆块的分配与释放,确保`_IO_FILE`结构体位于可控的堆块中。 3. **堆溢出修改虚表指针**:利用堆溢出漏洞将`_IO_jump_t`指针修改为指向攻击者控制的内存区域。 4. **构造伪造的虚表**:在可控内存区域中构造一个伪造的`_IO_jump_t`结构体,其中包含指向shellcode的函数指针。 5. **触发函数调用**:调用如`fread`, `fwrite`等函数,触发虚表中的函数指针,从而执行shellcode[^4]。 #### 防御机制与绕过策略 现代glibc版本中引入了多种保护机制,例如: - **Tcache防护**:限制了tcache链表的篡改,防止简单的tcache poisoning攻击。 - **虚表完整性检查**:某些glibc版本中加入了对`_IO_jump_t`虚表地址的合法性检查,防止其指向不可信区域。 - **地址空间随机化(ASLR)**:通过随机化堆、栈和虚表的基址,增加攻击者预测地址的难度。 攻击者通常需要结合多个漏洞(如信息泄露+堆溢出)来绕过这些防护。例如,在无PIE(Position Independent Executable)的环境中,攻击者可以通过泄露libc基址来计算虚表地址,从而精确构造伪造的`_IO_jump_t`结构体[^1]。 #### 实战案例 在Google CTF 2022的FILESTORE题目中,攻击者通过堆溢出漏洞结合tcache poisoning技术,实现了对`__free_hook`的劫持,并最终调用`system`函数获取shell。虽然该题目并未直接使用IO_FILE利用技术,但其核心思想(通过堆溢出修改关键函数指针)与IO_FILE攻击有异曲同工之妙[^1]。 #### 代码示例 以下是一个简单的伪造`_IO_jump_t`结构体的示例代码: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> void shell() { system("/bin/sh"); } int main() { FILE *fp = fopen("testfile", "w+"); char *fake_jump_table = malloc(0x100); memset(fake_jump_table, 0, 0x100); // 构造伪造的_IO_jump_t结构体,其中_IO_OVERFLOW字段指向shell函数 void **vtable = (void **)fake_jump_table; vtable[3] = (void *)shell; // _IO_OVERFLOW // 修改_IO_jump_t指针指向伪造的虚表 void **file_ptr = (void **)fp; file_ptr[13] = fake_jump_table; // _IO_vtable_offset // 触发_IO_OVERFLOW调用 fprintf(fp, "This will trigger shell()\n"); return 0; } ``` 上述代码中,`fake_jump_table`模拟了一个伪造的`_IO_jump_t`结构体,其中`_IO_OVERFLOW`函数指针被指向`shell`函数。通过修改`_IO_vtable_offset`字段,使得`fp`指向该伪造的虚表。当调用`fprintf`时,会触发`_IO_OVERFLOW`函数指针,从而执行`shell`函数。 #### 攻击链总结 1. **堆溢出或UAF漏洞**:获取对`_IO_FILE`结构体的写权限。 2. **伪造虚表**:在可控内存区域构造伪造的`_IO_jump_t`结构体。 3. **劫持控制流**:修改虚表指针,使其指向伪造的结构体。 4. **触发函数调用**:调用标准I/O函数(如`fread`, `fwrite`)触发shellcode执行。 这种攻击方式在CTF比赛中常用于绕过常规的ROP链构造,尤其在没有足够gadget的情况下具有较高的实用性[^4]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值