美文网首页
noxctf-2018-wp

noxctf-2018-wp

作者: fantasy_learner | 来源:发表于2019-01-06 09:04 被阅读0次

pwn1-believeMe

  • x86 elf | nx , stack canary
  • 漏洞点:
    • 40个字符内的格式化字符串
      • 使用 pwntools 的 fmtstr_payload 生成payload (设置 write_size="short" 缩短payload长度)
    • ASLR 保护机制没有开启
      • 系统层面的保护机制
      • ASLR是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度
      • 这一点没有了解导致看了很久 , 留一个坑总结所有的保护机制。。
  • 利用过程:
      1. 格式化字符串 泄露远程的 ebp 地址 , 加上相对偏移得到 ret 地址
      1. 再次利用格式化字符串修改 ret 地址为后门函数
        exp

TheNameCalculator

  • x86 elf | nx , stack canary
  • 流程分析:
    • main函数中有 一个检测 , 通过检测之后 进入secret 函数
    • secret 中 有一个name的输入 , 加密后直接作为格式化字符串 进行printf
  • 漏洞点:
    • secret 中的格式化字符串漏洞
  • 利用过程:
    • 注意点 :
      • 格式化字符串 修改 exit@got 的 低位 为 后门函数的地址 (27个字符的有限输入仅足以修改 4 个字节)
      • 注意 格式化字符串的 修改大小为 每次 修改 2个字节
    • 操作 :将 修改 exit@got值的格式化字符串加密后 输入即可

exp


Grocery List

  • x64 elf | full relro , nx , pie , stack canary
  • 功能分析 :
    • 1 . 新建 item
      • 1.1 新建有内容的
      • 1.2 新建无内容的
      • 1.3 新建样例 | 样例的传值有问题,传入的是main函数内栈上一个字符串的地址 , 可以通过此处获得 main_ret 地址
    • 2 . 编辑 item | 使用gets读入,有堆溢出
    • 3 . 删除 item
    • 4 . print all , 列出 所有 item的内容
  • 漏洞利用:
      1. 泄露栈地址 , 得到 main_ret 地址 (地址上的值是 __libc_start_main + 240 )
      1. 利用 堆溢出 和 栈地址上的 0x21 覆盖 释放的堆块 的 fd ,将堆块 释放到 栈上( alloc to stack) , 从而泄露 __libc_start_main 的值
      1. 利用 LibcSearcher 查找对应的libc
      1. 找到 对应libc 后 计算 libc的 基址 ,从而得到 __malloc_hook 地址 和 one_gadget 地址
      1. 利用 2的思路 覆盖 fd 使得 malloc_hook 可控 | 因为 直接覆盖 __malloc_hook 为 one_gadget 在当前环境下不可用,所以使用 __realloc_hook 劫持来构造满足条件的环境
  • 知识点:
    • __realloc_hook 劫持 :
      • 将realloc_hook设置为选择好的one_gadget,将malloc_hook设置为realloc函数开头某一push寄存器处。push和pop的次数是一致的,若push次数减少则会压低堆栈,改变栈环境。这时one_gadget就会可以使用。具体要压低栈多少要根据环境决定,这里我们可以进行小于48字节内或72字节的堆栈调整。
      • 参考链接 : https://bbs.pediy.com/thread-246786.htm
        exp

相关文章

  • noxctf-2018-wp

    pwn1-believeMe x86 elf | nx , stack canary 漏洞点:40个字符内的格式化...

网友评论

      本文标题:noxctf-2018-wp

      本文链接:https://www.haomeiwen.com/subject/qdwjrqtx.html