这是我打的第一次比赛,主打的pwn方向,纪念我的成长
需求:一定的linux系统的命令指令知识,基础的汇编代码,配置好了的虚拟机(打pwn建议是ubuntu),pwntools的使用,python的使用,ROPgadget的使用
每次把文件拖入IDA前记得用Exeinfope进行检查一下,看是x86还是x64
网络猫咪
首先打开题例,可以发现提示里就有个nc,就是个普通的nc题
格式:nc IP 端口
最后输入ls列出当先文件中所包含的其它文件,找到flag,使用cat flag指令获取flag里的内容,显示出的内容就是本题的flag
看看你的shell
打开题例,下载附件,使用IDA查看代码
乍一看下,main函数里似乎没有什么漏洞,那么就在子函数里寻找有没有别的漏洞
当我们点开sub_1C86的时候,发现了有意思的东西,"sh"和"flag"都被过滤掉了,说明我们很有可能要从这里下手
先nc一下试试
发现IDA里未识别的函数名在这里都有了名称,且第五个是command,恰好与sub_1C86对应,我们有理由怀疑这就是类似终端的命令
虽然它过滤了"sh",但是我们还有另一个"$0"可以利用,其作用等效于"sh""/bin/sh",将其输入即可获得shell
最后ls和cat即可
不过佬在这种漏洞上还有其它两种不同解法:
1.过滤掉了"flag",可以用"cat /*"来查看当前目录下的所有文内容
2.过滤掉了"flag",可以用"/???/??? ????"来进行匹配(这是个什么原理我还不知道)
当然这都只是其中一个方法,属于逻辑漏洞,佬们还有另一个解法,我还没理解,就先不写这个了
stack_is_so_easy
题例,下载!
拖进IDA看看呢,一眼看到backdoor函数呢,可以狠狠对它进行栈溢出呢
脚本构造如下~
轻松拿下flag~
easy_shellcode
依然是打开题例,下载附件
使用checksec查看保护机制,发现开了NX保护和部分地址随机化
使用IDA查看代码,然后会看见几个很明显的有漏洞的函数,read,my_read,这两个就是本次的关键
因为addr并不在栈上,所以NX无法保护到它,并且read读取的字节数够长,我们可以考虑在read中插入shellcode传入addr中,而在my_read中进行栈溢出跳转到addr中获取到shell。
但是在my_read后有个刺头strlen不让我们输入超过9字节长度的数据,和栈溢出相冲突,那么此时,我们可以考虑绕过它。只要在输入的字节中开头使用'/x00'字符后,strlen便不会再检测后边的数据,就可以进行绕过了,那么,脚本如下
运行脚本后就可以获得flag啦!
messageborad
开头就不赘叙了,大家都懂,确实有个后门函数,也可以进行栈溢出
但是我们进入backdoor后发现,调用的system函数里的参数并不是我们想要的,那么我们就要想办法向里边传参
在汇编代码里找到了一串很长的稀奇古怪的"bin/sh"字符串,将它的字节数展开(按"A"),会变成一个个字符,我们需要的只是"sh"(sh作用等效bin/sh),获取sh中s的地址即可
那么我们此时的思路就是,进行栈溢出后,设法将获取到的sh地址传入system中即可,但是没有return该怎么办呢?这里就要介绍到我们强大的ROPgadget了!能够在二进制文件里寻找我们需要的汇编代码及其相关地址,是pwn的必备工具之一!
哦对,别忘了在进行ROPgadget之前查看是x86还是x64
在这里我已经查看了是x64,参数不会直接寄存于栈上,而是会在寄存器中,依次存在Rdi,Rsi,Rdx,Rcx,R8,R9中,当参数大于6的时候,才会将参数保存在栈中。
此时使用ROPgadget搜索Rdi,恰好这就是我们需要的,在保存一个参数之后可以直接进行return指令
此时我们的思路已然明了:栈溢出——跳转到rdi——将"sh"的地址数据传输到rdi中——ret回backdoor函数中调用system函数——运行脚本——获取权限和flag
