攻防世界 Pwn Recho

最新推荐文章于 2023-05-10 19:50:56 发布
原创 最新推荐文章于 2023-05-10 19:50:56 发布 · 736 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #pwn

本文介绍PwnRecho1题目的详细解题过程,包括利用alarm函数劫持got表,通过syscall读取并输出flag,展示了ROP链条构造及pwntools的使用。

攻防世界 Pwn Recho

1.题目下载地址

点击下载

2.checksec

在这里插入图片描述

3.IDA分析

在这里插入图片描述
可以看到这个while是死循环
所以要学会使用pwntools的shutdown功能来退出循环
但是循环退出之后就不能再进入了
接下来要看一下漏洞在哪
在这里插入图片描述

这个题目有个明显后门,在data段发现有flag。可以将它read到bss段中,再通过write输出出来
在gdb动态调试时,分析alarm,发现有
在这里插入图片描述
有syscall系统调用
漏洞利用思路如下:

    1. alrm函数got表劫持到syscall位置
    1. open(‘flag’,READONLY)
    1. 通过read将flag写入到bss段,之后再write输出

ROP链条:
syscall>>flag>>read>>write
ROP地址

└─$ ROPgadget --binary ./Recho --only 'pop|ret'                                                                                              148 ⨯ 1 ⚙
Gadgets information
============================================================
0x000000000040089c : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040089e : pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004008a0 : pop r14 ; pop r15 ; ret
0x00000000004008a2 : pop r15 ; ret
0x00000000004006fc : pop rax ; ret <--------------------
0x000000000040089b : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040089f : pop rbp ; pop r14 ; pop r15 ; ret
0x0000000000400690 : pop rbp ; ret
0x00000000004008a3 : pop rdi ; ret   <-----------------------
0x00000000004006fe : pop rdx ; ret   <------------------------
0x00000000004008a1 : pop rsi ; pop r15 ; ret          <---------------------
0x000000000040089d : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004005b6 : ret

Unique gadgets found: 13


└─$ ROPgadget --binary ./Recho --only 'add|ret'
最低0.47元/天 解锁文章
PWN系列】攻防世界 RECHO 题解
Vicl1fe的博客
11-03 556
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.freesion.com/article/5370510581/ 参考网址写的很详细。转载一下。
攻防世界进阶题Recho——知识点缝合怪
weixin_48066554的博客
09-20 1265
攻防世界进阶题Recho——知识点缝合怪 文章目录攻防世界进阶题Recho——知识点缝合怪引入初分析1、checksec2、主函数结构3、栈结构4、特殊字符串解题过程1、gadget搜集2、GOT表详情3、函数参数说明exp(详细注释) 引入 好久没有做pwn题了,手生的厉害,做道简单题练练手好了 这道题其实难度不高,属于那种开门见山把漏洞点抛出任君采撷的题,但是由于涉及的知识点较多,在ROP链构造时需要有清晰的思路,对于我这样的小白来说自然是再好不过的练习题。 初分析 1、checksec 题目拿到手上,
攻防世界Recho
weixin_43960998的博客
03-28 1031
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
攻防世界--Recho
qq_73149934的博客
02-07 373
攻防世界--Recho
pwn-Recho
醉等佳人归
09-08 392
1.题目 1.保护机制 开启nx 2.关键代码 2.思路 重点1:看出来是个很简单的栈溢出,但是第一个问题是这个循环是个死循环,如果直接使用close()函数程序会直接退出,查询资料后发现pwn库中提供了shutdown()函数,他可以关闭IO流,即让循环正常退出 重点2:既然使用shutdown函数,我们必须一次性将payload发送过去,这就导致我们不能使用内存泄漏来泄漏system函数,查询了一下字符串发现有一个flag,所以我们考虑使用系统调用完成,alarm,open,read,write函数的
精选资源
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界高手进阶区——Recho
weixin_62675330的博客
03-11 578
攻防世界高手进阶区——Recho 题目什么也没给。(在这个题困了好久,一直在学基础,但是发现了一个更好用的学习网站,基本 ROP - CTF Wiki (ctf-wiki.org))希望对你们有用,估计以后就转战ctfwiki了。先做完这个题吧。 做题经历 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]
攻防世界(pwn)Recho(XCTF 3rd-RCTF-2017) writeup
xidoo1234的博客
02-27 1469
深感本题扩充了本人的知识面,遂作文记录下来
攻防世界)(pwn)(RCTF2017)Recho
PLpa的博客
09-07 2402
0x00.前言 又是一题栈溢出题,但是又有一点点不同。。。 0x01.程序逻辑 程序保护: 程序只开了NX保护,堆栈不可执行。 进入IDA 程序让你先输入你将要输入的字符串长度,然后继续让你输入字符串。 最后,程序会输出你输入的字符串。 看起来,这很像一般的栈溢出,甚至我们可以通过程序的输出把一些敏感的地址给输出出来。 更加让人欣喜的是,这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...
pwn 继续Recho
doudoudedi
09-28 720
好久没有更新博客了师傅们的评论都看了emem萌新会加油的~~ 这是一道xctf上的pwn题Rcho 主函数的逻辑很简单就是`// local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { char ...
repeater【攻防世界
qq_41696518的博客
09-01 2448
repeater 攻防世界
攻防世界PWNRecho题解
seaaseesa的博客
11-09 2762
Recho 首先,还是查看一下程序的保护机制。看起来不错。 然后用IDA分析 看起来是一个很简单的溢出,然而,这题的难点在于这个循环如何结束。read一直都是真,如果是在linux终端上直接运行,我们可以用Ctrl+D,然而,pwn远程,就无法处理这种信号。幸运的是pwntools提供了一个shutdown功能,该功能可以关闭流,如果我们关闭输入流,这个循环就结束了。但是我们别想再次...
PWN做题笔记10-repeater(ALSR绕过)
qq_40923256的博客
05-10 635
泰山杯pwn部分的题目:repeater
攻防世界--- PWN学习笔记
m0_62879498的博客
12-03 550
PWN学习笔记 一,栈介绍 栈:栈是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶,需要读数据的时候从栈顶开始弹出数据(最后一个数据被第一个读出来),是一种特殊的线性表。栈的操作常用的有进栈(PUSH),出栈(POP),还有常用的标识栈顶和栈底。 进栈(PUSH):将一个数据放入栈里叫进栈(PUSH) 出栈(POP):将一个数据从栈里取出叫出栈(POP) 栈顶:常用寄存器ESP,ESP是栈指针寄存器,其内存放着一个指针,该指针永远指向系统栈最上面
ADworld pwn wp - Recho
fa1c4的blog
06-27 220
可以任意长度输入, 存在溢出, 不过溢出之后再次输入还是继续执行, 无法退出循环就不能劫持程序流 这里用到pwntools的一个函数, 用来结束输入流, 从而结束循环 def shutdown(self, direction = "send"): """shutdown(direction = "send") Closes the tube for futher reading or writing depending on `direction`. Ar..
pwntools发送eof信号
SkYe's Blog
05-28 2235
做题目遇到的两种 eof 信号需求情况: 发送 eof 之后,后续不需要继续输入(vnctf-White-Give-Flag) 发送 eof 之后,后续还需要继续输入(mtctf-blind) eof 发送后继续输入 不用 mtctf-blind 做例子,因为利用 eof 绕过第一层之后,由于题目其他方面而无法 getshell ,用一个 demo 例子(来源)代替: #include <stdio.h> #include <stdlib.h> #include <stri
CISCN PWN签到题 task_note_service
Bill
05-02 1798
序言 比赛中这道差那么一点点就做出来了 程序运行 1.menu ---------menu--------- 1. add note 2. show note 3. edit note 4. del note 5. exit your choice&gt;&gt; 2. add 1. add note 2. show note 3. edit note 4. del...
pwn学习】GOT表劫持
Morphy_Amo的博客
12-15 4349
文章目录例题GOT表劫持获取Syscallopen-read-write利用系统调用号调用open构造payload获取syscall读取flag文件exp 例题 例题:XCTF-008-Recho 查看安全策略 root@kali:~/ctf/xctf/pwn# checksec 008_Recho [*] '/root/ctf/xctf/pwn/008_Recho' Arch: amd64-64-little RELRO: Partial RELRO Stac
ctf-pwn的一些小技巧
钞sir的博客
11-09 5237
当我们在写exp的时候有些需要去复制粘贴某些函数在plt表,got表的地址,或者找ROP的地址,有些时候复制粘贴不方便且不方便阅读,这样时候我们就可以用pwntools中提供的一些函数; 以32位程序的exp为例: ROPgadget: 0x0804872f : pop ebp ; ret 0x0804872c : pop ebx ; pop esi ; pop edi ; pop ebp...
攻防世界 PWN
最新发布
12-12
攻防世界PWN有多个题目及对应的解题资料,以下是部分介绍: - **new_easypwn**:检查保护机制可知,该程序为amd64 - 64 - little架构,有部分RELRO,存在Canary,开启了NX和PIE。`readelf -h`显示ELF文件头信息,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值