XCTF-level3 WP

博主： chuj
发布时间：2020 年 10 月 31 日
976 次浏览
暂无评论
945字数
分类： CTF-WP

今天花了一个下午写出来了这样一道ret2libc，题目确实只是一道简单的模板题，但是还是做了我很久，这篇write up也是记录一下

下载附件，得到一个压缩包，解压后获得一个可执行文件和一个libc。

先检查一下安全保护：

发现是32位的，且开启了栈不可执行保护。

先跑一下

就是输入一个字符串，然后打出一个hello world

放到IDA里面看一下

发现main函数里没什么东西，但是在vulnerable_function中有read函数，即溢出点，且可以看出栈基地址与buf第一个元素的地址相差0x88。

然后发现整个程序里面既没有system又没有/bin/sh，所以只能借用libc。

服务器段肯定会开地址随机化，我们无法通过获得的libc直接得到地址。然鹅虽然会有地址随机化，但是在libc中的函数相对位置是固定的。所以可以通过got表泄露的方法来获取基地址（got表中存放了函数的真实地址）。不过由于延迟绑定机制的存在（我个人认为此机制就是在执行到需要链接的函数前都不进行链接），我们需要一个已执行的函数来提供地址计算。于是我们考虑进行两次攻击，第一次攻击获得函数真实地址，第二次攻击调用。

第一次攻击

payload中<code>write_plt,main,1,libc_start_main_got,50</code>，调用write函数将__libc_start_main函数的真实地址打出并将程序再一次返回到main中。

然后我们接受地址并解包：

这样就可以算出基地址和system的地址

然后通过<code>strings -a -t x libc_32.so.6 | grep "/bin/sh"</code> 获得/bin/sh的相对地址，并算出真实地址。

最后的exp就是这样。

最后修改：2021 年 01 月 02 日

如果觉得我的文章对你有用,那听听上面我喜欢的歌吧

发表评论取消回复

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

gxh
大黑客还有女朋友羡慕死了(☆ω☆)
某人
这...我们公司今年在梦想小镇办的那场？
zzz
该评论仅登录用户及评论双方可见
wenruo
有计划真号
rantrism
您好～我是腾讯云开发者社区运营，关注了您分享的技术文章，觉得内...

BUU-ciscn_2019_es_7-WP
评论数： 0
XCTF-1000levevls-WP
评论数： 0
Kernel PWN 环境搭建
评论数： 0
RaRCTF-PWN-WP
评论数： 0
10.16汇编
评论数： 0

XCTF-level3 WP

chuj • 2020 年 10 月 31 日

今天花了一个下午写出来了这样一道ret2libc，题目确实只是一道简单的模板题，但是还是做了我很久，这篇write up也是记录一下

下载附件，得到一个压缩包，解压后获得一个可执行文件和一个libc。

先检查一下安全保护：

发现是32位的，且开启了栈不可执行保护。

先跑一下

就是输入一个字符串，然后打出一个hello world

放到IDA里面看一下

发现main函数里没什么东西，但是在vulnerable_function中有read函数，即溢出点，且可以看出栈基地址与buf第一个元素的地址相差0x88。

然后发现整个程序里面既没有system又没有/bin/sh，所以只能借用libc。

第一次攻击

payload中<code>write_plt,main,1,libc_start_main_got,50</code>，调用write函数将__libc_start_main函数的真实地址打出并将程序再一次返回到main中。

然后我们接受地址并解包：

这样就可以算出基地址和system的地址

然后通过<code>strings -a -t x libc_32.so.6 | grep "/bin/sh"</code> 获得/bin/sh的相对地址，并算出真实地址。

最后的exp就是这样。

XCTF-level3 WP

发表评论取消回复

RCTF2021-musl-WP && 5space 2021 *CTF 2022 强网杯 2022 Musl 赛题 exp

写在大一结束

HGAME2021-WEAK1-WP

XCTF/BUU-babyfengshui-WP

BUU-360chunqiu2017_smallest-WP

BUU-ciscn_2019_es_7-WP

XCTF-1000levevls-WP

Kernel PWN 环境搭建

RaRCTF-PWN-WP

10.16汇编

XCTF-level3 WP

发表评论 取消回复

XCTF-level3 WP

发表评论取消回复