2017-NSCTF-PWN

写在最前

这次比赛值得吐槽的地方很多,但是我要忍住,先讲正经的。 这次总结比赛的两道pwn,都是栈溢出类型的,比较简单。先放上题目链接:http://pan.baidu.com/s/1miT1kPM 密码:hwt3

正式写wp之前我需要默认你们都会IDA和gdb+peda的一些调试技巧以及脚本的编写,我主要讲题目思路,不然这篇文章就变成了工具教学。

PWN1

查看程序信息,32位,动态链接,只开了NX保护,RELORO是Partial。

那么做法就很多了。思路后面讲,继续看程序。

程序接受一次输入,然后不管你输入是什么,都给你输出一大串东西,至于这是为什么,看下面代码就知道了。

程序的main,非常简单,只是有个定时一秒的时钟比较坑,可以选择性地nop掉。

这就是程序的主要函数了,实在是非常简单。

看了这里的代码也可以解释为什么会数出一大串字符了。

再结合汇编页面查看,溢出非常明显。

程序漏洞分析完毕,我们来讲讲思路。

思路:

  1. 由于程序只有一次输入的机会,所以我们必须在第一次输入劫持程序流程。
  2. 由于栈上保留了函数got表的首地址(不同的机器上可能相差一个栈单元的位置),所以可以在第一步劫持控制流的同时进行libc地址的泄露。(至于这个地址保存在何处,需要你们自己去查看。)
  3. 这时候我们劫持了控制流,也有了libc地址。那么我们就再进行一次输入,ret2libc完成攻击。

EXP:

exp我准备用图片展示出来,原因不需要多说,我希望我的exp主要起个参考作用。

题目做法很多,比如你也可以不泄露栈上的libc,去泄漏got表,或者ret2resolve,有不同的想法欢迎在评论区留言。

PWN2

和上一题不一样,这里多了canary,但我们总会有办法绕过的。

这就是程序的功能展示了,只要我们每次都输入'Y',那我们就有无数次的输入机会。

程序main函数,程序有fork,看到这里,那么程序的canary就已经问题不大了。 我们主要分析的函数在下面的input_name() 中。

可以看到这里还是有个明显的格式化字符串。 我们进行的输入是在 input() 函数中。

由于没有验证字符串长度,我们可以在这里进行溢出。

思路:

  1. 由于canary的存在我们需要首先通过格式化字符串泄露canary的值。因为这个程序的栈上依然存在函数got表首地址,我们可以同时泄露libc地址。 (那么有了canary和libc地址,我们就可以在第二次输入轻轻松松拿shell了吗?nonono...,这是这道题我没搞懂的地方,我在第二次输入的时候死活写不进'/bin/sh'的地址,但是system却能正常写入。而我经过调试发现system函数参数的位置正好是函数got表首地址,也就是我们第一步泄露出的地址,所以我们第二步的思路如下)
  2. 往我们泄露出的got表地址写入'/bin/sh\x00'
  3. 写好了'/bin/sh\x00',那么我们直接写入system地址就大功告成了,但是事情还是没这么简单。 由于函数中memcpy()函数的存在,在我们劫持控制流之后它可能会将got表地址作为dest参数(具体原因我没去深究),然后把我们的输入复制过去,所以我们在这次输入开头也必须带上'/bin/sh\x00'

EXP:

总结:

这两道pwn题用来练习栈溢出漏洞还是不错的,我主要是利用ret2libc进行的攻击,你们也可以尝试其他方式,比如ret2resolve,虽然比较麻烦。

本文分享自微信公众号 - 信安之路(xazlsec),作者:7o8v

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-07-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • CTF初识与深入

    这段时间一直在忙活CTF相关的东西,从参赛者到出题人,刷过一些题,也初步了解了出题人的逻辑;这篇文章就简单地讲一下CTF如何入门以及如何深入的学习、利用CTF这...

    信安之路
  • 二进制漏洞学习笔记

    这个程序非常简单,甚至不需要你写脚本,直接运行就能获得shell。 写这个程序的目的主要是为了使第一次接触漏洞的同学更好地理解栈溢出的原理。

    信安之路
  • 【作者投稿】奇葩webshell技巧

    前段时间看XDCTF的一道web题,发现了一种很奇特的构造webshell的方法。

    信安之路
  • android 6.0下webview的定位权限设置方法

    以上这篇android 6.0下webview的定位权限设置方法就是小编分享给大家的全部内容了,希望能给大家一个参考。

    砸漏
  • Landing Page着陆页的分析与优化思路

    因为有时候跳出率会失灵,如长页面/H5的时候,重要的是传递给用户的信息和用户在页面的交互,跳出率就没那么重要了。

    GA小站
  • Java SE | 基础语法day11

    提高程序的扩展性。定义方法时候,使用父类型作为参数,在使用的时候,使用具体的子类型参与操作。

    剑走天涯
  • 23种设计模式之单例模式

    单例模式是设计模式中使用最为普遍的模式之一。它是一种对象创建模式,用于产生一个对象的具体实例,它可以确保系统中一个类只产生一个实例。

    用户2146693
  • 由浅入深的域渗透系列一(上)

    二、漏洞利用 3.漏洞搜索与利用 4.后台Getshell上传技巧 5.系统信息收集 6.主机密码收集

    重生信息安全
  • 接口(interface)和抽象类(abstract class)的区别是什么

    happyJared
  • ElasticSearch 第三弹,核心概念介绍

    松哥原创的 Spring Boot 视频教程已经杀青,感兴趣的小伙伴戳这里-->Spring Boot+Vue+微人事视频教程

    江南一点雨

扫码关注云+社区

领取腾讯云代金券