关于沙箱关闭execve的绕过技巧及SROP的简单利用方法 --(buuctf[V&N2020 公开赛])babybabypwn + warmup

最新推荐文章于 2022-11-20 14:52:38 发布
最新推荐文章于 2022-11-20 14:52:38 发布
阅读量1.7k 收藏 7
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn 栈溢出 ROP 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43986365/article/details/107136484

前言

最近做buuctf又发现一种以前没有见过的沙箱关闭execve的题目,在网上找了很多资料,终于初步了解了一些简单的绕过技巧,故写此博客记录一下。

[V&N2020 公开赛]babybabypwn

查看保护

在这里插入图片描述
保护全开的64位Linux程序。

IDA查看伪代码

在这里插入图片描述
直接进入main函数看看,发现syscall函数,并不是很了解这个函数,但是通过百度我们知道syscall的几个参数的意义。
第一个参数表示syscall调用的函数,例如题目中的15调用的就是sigreturn。
看到sigreturn相信很多人马上就联想到了SROP,不了解的推荐看一下CTFWIKI
这里详细的讲解了SROP的基础知识。
如果syscall调用的是sigreturn的话,那么第二个参数自然就是Signal Frame,通过CTFWIKI的学习我们知道这个Signal Frame存的就是所谓的即将恢复到栈上的寄存器的值。
在这里插入图片描述

最低0.47元/天 解锁文章

200万优质内容无限畅学
BUUCTF [V&N2020 公开赛]babybabypwn
BengDouLove的博客
04-10 1149
先看一下,,所有保护机制都开启了 进入main的第二个函数,里面是这一堆东西 查了一下这个是沙盒机制,seccomp ,,这个seccomp_rule_add函数是给这个沙盒添加规则,意思是这个函数不能调用 这个函数的第三个参数,是代表函数的number,,别的不太清楚,网上也没有查到。。但是 59号代表的是execve函数 所以这个函数不能被调用,,也就是说无法得到系统权限了(吧) 所以这样...
NewStarCTF 2023 公开赛道 orw&rop
最新发布
qq_60209620的博客
04-12 511
程序mmap了一段地址,权限是7,也就是可读可写可执行,我们把orw布置到这里就行啦,然后控制程序执行流(也就是rip指针)到这里就行啦。第一次输入,有格式化字符串漏洞,利用他来泄露libc基址(通过libc_start_main),和canary,方便后面利用栈溢出漏洞。第二次输入存在栈溢出漏洞,我们需要把orw的shellcode写进mmap的地址,那么我们就需要一个read函数,所以栈溢出就是去执行我们写的read函数,把读orw写进target addr。
[V&N2020 公开赛]babybabypwn[srop]
、moddemod
07-21 315
存在沙盒机制,禁用了execve,只能调用orw直接读flag了… #! /usr/bin/python3 from pwn import * ...
[BUUCTF]PWN——[V&N2020 公开赛]babybabypwn
wuyvle的博客
03-13 725
沙盒规则,具体来说就是限制了了execve(系统调用),那么就只能用 open,read,write来获得flag。 第一个参数是15的时候代表调用的是sigreturn,这关系到Unix内核 相关内核具体知识在这 如下图所示,当内核向某个进程发起(deliver)一个signal,该进程会被暂时挂起(suspend),进入内核(1),然后内核为该进程保存相应的上下文,跳转到之前注册好的signal handler中处理相应signal(2),当signal handler返回之后(3),内核为该进程恢.
[V&N2020 公开赛]babybabypwn (SROP和orw)
carol2358的博客
05-30 1213
本题使用了SROP和orw来获得flag 第一个函数是缓冲区,第二个函数是沙盒,第三个函数是漏洞所在 沙盒把59禁了,那就是exceve不能用了 这里syscall的参数是15,那就是SigreturnFrame,那我们就用SROP SROP可以使用pwntool自带的工具 SROP的使用条件: 需要注意的是,我们在构造ROP攻击的时候,需要满足下面的条件 可以通过栈溢出来控制栈的内容 需要知道相应的地址 “/bin/sh” Signal Frame syscal sigreturn 需要有够大的
buuctf--pwn-warmup
weixin_45427676的博客
09-19 580
下载文件后首先查看保护机制,checksec发现没有开什么保护,64位程序,在IDA中打开查看程序流程 gets()函数很明显会有栈溢出漏洞,然后发现有后门函数,也就是sub_40060D函数,而且会发现你执行此程序的时候可以直接输出后门函数的地址,就不需要再找他的地址了 sprintf(&s, "%p\n", sub_40060D) 这个函数的意思就是将sub_40060D的地址放在s缓冲区中输出地址,所以执行的时候就可以直接看到后门函数地址。 所以现在的漏洞利用思路就是将v5缓冲区覆盖
pwn——沙箱机制
djhtdjdywgjc的博客
11-20 2387
pwn沙箱
buuctf pwn warmup_csaw_2016
xieyichensss的博客
03-16 273
buuctf pwn warmup_csaw_2016 1.用checksec查看一下保护,保护都在关闭状态。 2.将文件拖入IDA64版本(在linux下用file命令查看是64位文件) 3.按fn+F5反汇编出现c的代码,发现return gets(v5),其是栈溢出的题目。 并且发现一个可疑函数sub_40060D 4.双击进去看发现flag文件。 5.去查看sub_40060D的地址是0x40060D。 6.由于char v5时有rbp-40h,则payload=b’a’*72+p64(0x400
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 455
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
[BUUCTF-PWN] warmup_csaw_2016
m0_46098032的博客
01-03 424
下载文件,checksec看一下,保护都没开,64位文件。 用IDA64打开文件,查看一下main函数。可以看到明显的栈溢出漏洞(gets)。 看一下v5,v5大小是 0x40, 返回地址是8 字节, 溢出大小就是0x48。 sub_40060D有点可疑,双击看一下。发现这里就是system函数,我们在构造pyaload的时候加上sub_40060D。 exp为: from pwn import * p = remote('node4.buuoj.cn', 2574...
[BUUCTF]ciscn_2019_es_7(SROP)
zyxx_wjc的博客
07-12 438
[BUUCTF]ciscn_2019_es_7
BUUCTF pwn ciscn_2019_s_3(SROP)
菜的只能随便写写博客
02-13 1695
0x01 文件分析   0x02 运行  有一个回显,并且还有多余的字符显示,接着看代码分析一下。   0x03 IDA源码  由后面的函数可以看出,这个程序使用的系统调用,并且vuln里面存在栈溢出。  在程序之中的gadgets存在着两个为rax赋值的gadget,15的系统号是rt_sigreturn,3b的系统调用是execve利用这两个可以执行系统调用得到shell。  ex...
初学pwn-BUUCTF(warmup_csaw_2016)
天柱的博客
08-31 403
初学pwn-writeUp BUUCTF的第三道题,warmup_csaw_2016。 首先链接远端, 发现这里输出了一个十六进制的数字,就没有了后续。我们下载文件,持用ida打开查看。 可以看到主函数这里上边全部都是输出,只有最后return的时候,有一个get命令,给v5这个数组进行赋值。从这里可以发信啊,刚刚输出的一个地址,是sub40060D这个函数的地址。点进去看一下。 哦吼,cat flag.txt,那没毛病了,只需要在主函数的get这产生栈溢出,覆盖掉返回的值,就可以执行这个函数,获取f
BUUCTF之ciscn_2019_s_3简单实践SROP和通用gadget+execve系统调用
Probeginner的博客
11-27 787
from os import system from pwn import* from LibcSearcher import* #context.log_level='debug' p=remote('node4.buuoj.cn',27422) elf= ELF('./pwn') write_plt = elf.plt['write'] write_got = elf.got['write'] payload1 = '\x00' + '\xff'*7 p.sendline(payload1) p.rec
buuctf warmup
doudoudedi
01-28 618
函数很少我们需要控制寄存器的值来执行内核调用(int 80) 思路 先将字符串/bin/sh写入程序32位的程序用栈传递参数所以我们有充足的空间进行ROP然后跳回程序开始然后将再次读入/bin/sh然后控制好寄存器的值即打开execve的系统调用(这里函数最后的ret会使栈向上提了4个byte所以寄存器控制好了)~~ exp: #!/usr/bin/python2 from pwn import ...
2016_0CTF_warmup
Morphy_Amo的博客
03-22 631
考点:stackoverflow,orw,alarm 1.安全策略 [*] '/root/ctf/buuctf/pwn/warmup' Arch: i386-32-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 开启了NX,不能写入shellcode。 2. 分析 本题的题目反编译后发现其中调用的方法都是
攻防世界 -pwn1
TedLau的博客
04-22 1015
0x00 前言 首次做到跟canary绕过有关的知识,就准备写点东西记录下。 64位,保护几乎全开了。不慌,慌也没用。 0x10 分析 运行可以发现几个功能,就是说:1选项是保存你将要输入的内容,2就是打印你之前输入的内容,3就是退出。 0x11 ida分析 main函数 在main函数中发现了canary, canary的值在程序每一次运行都是会改...
Linux进程调用execve,实验:从整理上理解进程创建、可执行文件的加载和进程执行进程切换,重点理解分析fork、execve和...
weixin_30111277的博客
04-28 571
学号375转载请注明出处 https://github.com/mengning/linuxkernel/阅读理解task_struct数据结构task_struct实际上就是进程PCB以下是pcb的重要参数:volatile long state;//表示进程的当前状态:unsigned long flags; //进程标志:long priority; //进程优先级。long count...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值