axb_2019_fmt32 wp
临近期末考试了,终于可以光明正大地水博客了。
最近刚写上格式化字符串的漏洞,这不,他来了。这个题目我做过之后感觉难度还是有的,做出这一题至少对格式化字符串漏洞的利用是有一个较深的理解了的。它综合考察了ret2libc和格式化字符串的任意写,以及对got表的理解。
axb_2019_fmt32
下载文件,反汇编打开,再反编译main()函数得到如下代码
1234567891011121314151617181920212223242526272829int __cdecl __noreturn main(int argc, const char **argv, const char **envp){ char s[257]; // [esp+Fh] [ebp-239h] BYREF char format[300]; // [esp+110h] [ebp-138h] BYREF unsigned int v5; // [esp+23Ch] [ebp-Ch] v5 = __readgsdword(0x14u); setbuf(stdout, 0); set ...
格式化字符串漏洞利用
格式化字符串漏洞是printf函数比较常见的漏洞,常见的漏洞形式就是printf(s);如果s字符是我们可控的话,那就会导致任意位置读和写等严重的后果。
首先如下代码段
123char s[100];gets(s);printf(s);
逻辑看上去十分简单,就是输入什么就输出什么。避免这类漏洞的方式也很简单,固定第一个参数就可以了,但是现在第一个参数我们可控的话就要介绍一些平时用不到的格式化字符串的标识符了。
%d %f %x %s这些烂大街的相信都不用讲也会,讲讲其它的标识符
%p:输出第n个参数的十六进制值,目前测试与%x不一样的地方就是输出会带0x,并且%后面带的整型参数表示第几个参数而非参数长度。
%n:将已打印字符串长度输入到下一个参数所表示的地址去,%后面带的整型参数表示要输出的第几个参数。
注:以上结论皆是在Ubuntu18.0.4环境下使用gcc编译器得到的
那么通过以上两个较生僻格式化的标识符就可以达到任意读和任意写了。
%p达到任意读的目的
现在有以下测试程序
12345678910#include<stdio.h>int ma ...
cachelab实验报告:模拟cache的功能
lab从这里开始变得难了起来了,这次要模拟计算机里的一个硬件-cache的工作,关于cache,百度百科介绍的比我好,这边请--------->
然后咱们就先拿到实验用的文件以及他的writeup,看完一会之后(long long after)就知道了此次实验的目的。然后文件也知道的一清二楚了。
csim.c:用来做part A的主要文件。
trans.c:用来做part B的主要文件。
Part A
writeup里面已经提到了,cache.h头文件里面有所需的函数并且要在csim.c里面完成cache的模拟过程,那么首先我们看看cache.h头文件提供了哪些东西
12345678910111213141516171819202122232425262728293031323334353637/* * cachelab.h - Prototypes for Cache Lab helper functions */#ifndef CACHELAB_TOOLS_H#define CACHELAB_TOOLS_H#define MAX_TRANS_FUNCS 10 ...
系统调用
today新的知识又增长了,发现了getshell的另一种方式:syscall和srop。故事还要源于…(此处省略万字输出)
(note:本作者这次有点懒,没有写AT&T汇编,而是一律用了intel汇编,请悉知)
可能是之前汇编基础不太好吧,竟没有发现syscall这么好用的指令,只要再把/bin/sh传参就能直接打开一个shell,真是妙蛙。但是在系统调用之前要做很多的事情,诸如各类参数传递,以64位的来说,我们要先知道我们要执行的函数系统调用号为59。我也是翻过libc库的,发现system函数实现里面有一段竟然是直接执行execve("/bin/sh")
实属意外了,这是在我有次反汇编libc库的时候发现的,我原来一直是只用system函数getshell的,没想到system内部是通过这样的系统调用来打开shell的。
那这得学啊,这是基础的基础啊。
这边给出一下64位Linux的各个系统调用号,这个在Linux的/usr/include/asm/unistd.h下有,我这里截取部分。
12345678910111213141516171819202 ...
动态调试工具的使用
做了这么久的pwn之后又得兼顾一下re了哈哈哈。废话不多说,这周学了动态调试器的使用,并且轻松解出了那几道题目。
linux下的动态调试器都知道,gdb永远的神,windows的动态调试器就比较各色了,ollydbg,x32dbg,x64dbg。这里我用的是后两个调试器,ollydbg听师傅们说是不更新了还是咋地也不知道,所以就用了x32和x64dbg,其实看了一下界面都差不多的。
动态调试注意的就是下断点,改值这一系列操作,让程序按照你想的执行。比如有一个函数就是直接输出flag,但是它直接又没有完全直接给你,那怎么办?我直接改eip去执行那个函数不就ok了?与pwn不一样,pwn我要通过漏洞去执行,这个的话文件控制权限和这台计算机的权限全部在我手上,它怎么运行我说的算,对不对?那么接下来看几道例题,这个不是说只有动调能做,但是会动调一定比不会的占优势,这是真的。
xctf-game
下载文件并且根据它的描述可以看到是一个32位PE文件且是一个类似游戏的程序,逻辑很简单,输入序列然后通过它函数的判断就可以让程序输出flag。但是
这个函数不仅复杂,直接从这里破解可以 ...
ret2libc实战
ret2libc是一个pwner必备的基础知识。
ret2libc为return to libc的缩写,我们需要执行libc函数里面的system("/bin/sh")
下面为32位程序并且带.so文件的题目:buuctfOGeek2019]babyrop
[OGeek2019]babyrop
下载两个文件先丢进IDA里面
首先是pwn.elf
shift+F12查看字符串,看到比较有用的就是那个Correct\n但是这个不是逆向题,不用从结果分析,所以这个也是没什么用的,只能等会分析没有看到这个的时候再去整这个。然后也没有看到/bin/sh字符串,那么我们就先放弃字符串入手了。
查看main的伪C代码,得到
1234567891011121314int __cdecl main(){ int buf; // [esp+4h] [ebp-14h] BYREF char v2; // [esp+Bh] [ebp-Dh] int fd; // [esp+Ch] [ebp-Ch] sub_80486BB(); fd = open("/dev/ ...
archlab实验报告:y86命令使用
下载文件之后:
脑瓜子嗡嗡的,writeup看不懂,只能先去看看已有的实验报告,然后先做个总结——
先把里面的sim.tar解压了,然后进入目录之后make clean,make会在里面的所有文件该生成的文件生成了。
part A
这个部分的文件全在misc文件夹。
意思大概是用y86指令集实现example.c文件里面的三个函数,那也太棒了呀,我最擅长手写汇编了,汇编它虽然码起来效率低,但是能直接对底层进行操作,想想都激动awa
要用到的指令:
12./yis xxx.ys ./yas xxx.yo
第一条可以理解为汇编,第二条可以理解为链接且运行。
sum_list
12345678910/* sum_list - Sum the elements of a linked list */long sum_list(list_ptr ls){ long val = 0; while (ls) { val += ls->val; ls = ls->next; } re ...
RSA解密
RSA解密简介:RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的
。(from 百度百科)
非对称加密
我们平时学习的加密多是对称加密,非对称加密相比于对称加密的区别就是:加密和解密用的不是同一个密钥。假如Alice和Bob想在一个不安全的线路上通信,他们在用这个信息交流之前没有任何py的信息(即:他们一开始不存在有且仅有他们两个人知道的信息),而在这条线路上通信的所有信息都会被第三方窃听者Eve所获得。问:如何不让窃听者Eve监听到Alice和Bob的对话?
当然我们必须对发送的信息进行加密,而对称加密必须两人提前获取密钥和加密方式,这些信息都是他们一开始所不知道的,因此需要在这条线路上告知密钥和加密方式,如果在这条线路上告知,那么Eve也能对加密的数据解密从而监听他们的通话内容,那么我们采取非对称加密是最保险的。我只告诉你怎么加密,解密的密钥我自己留着,由于Eve不清楚解密方式自然就 ...
红帽杯2019 easyRe
pwn题做完re题当然也不能少,buu上除了那些水题,开始做一些带点技术含量的题目了。
红帽杯2019的easyRE上来就是800KB的elf文件,看起来就很有技术含量的样子。其实看到大文件不用怕,函数多也不用怕,因为需要分析的函数一定只有几个,如果你点进去调用了大部分你没见过的函数,还有十分复杂的goto关系,那么这个函数你可以直接当他不存在,这是我自己得到的一个结论,不一定对,但是可以应付大部分的题目。废话不多说进入正题:buuctf
2019红帽杯easyRE
所有二进制安全相关的题目字符串一定是切入点,因为它可读。做pwn题你就找flag,bin/sh,当然这是签到-难度的题目才会有的字符串。做逆向题的话,看到很长的64位或者65位大小写字母和数字和一些其它字符组成的表,那么直接考虑base64,然后就是一些带flag的字符串或者是什么right,correct,congratulate之类判断正误的话,那么多半也是以调用这个字符串的函数为中心去分析。好的,打开先看一下,看到有很多很多的函数,先不慌(实则慌的一批),冷静地先摁一个shift+F12查看字符串。
...
ret2libc学习报告
在做pwn题的时候,我们会想尽一切办法执行函数system("/bin/sh"),那么执行这个需要两点:
1.找到system()函数。
2.找到"/bin/sh"字符串。
level0:have everything
这个情况在简单比赛的签到题估计都出不了了,在溢出点写上system()的地址,若是32位则隔四字节往后填充"/bin/sh"字符串就行了。如果是64位的那么找到pop %rdi ret的gadgets在返回地址填上,并且后面堆上"/bin/sh"的地址和system()的地址即可成功
level1:without “bin/sh”
在一个地方写上"bin/sh"然后溢出的时候传参就行了。如果没开启ASLR那么可以直接往栈上写,如果开了那你只能往.bss段去写,其实写好后跟level0差不多,也不多赘述。
level9999:have nothing
哇,这个难度我觉得真的是上升了不少档次,所以给个9999级我觉得不过分。
啥都没有的情况就要往libc里面去找system()函数了,libc的所有函数之间的偏移都是固定的,确定了一个函数相当于确定了l ...