请问nxctf是什么ctf文件怎么打开?

来源:蜘蛛抓取(WebSpider) 时间:2019-07-30 21:41 标签: ctf文件

程序地址: 密码:j32w

拿到程序我们先file static分析一下程序:
关注点为 32位ELF,动态链接

接着我们要用checksec来检测elf运行于哪个平台开启了什么安全措施,如果用gcc的编译后默认会开启所有嘚安全措施。

我们输入checksec static来看程序开启了哪些保护措施

这里简单介绍一下各字段的含义:

Arch:只ctf文件怎么打开运行的平台为:32位的i386小端字节序列

Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过

NX: (No-eXecute) 不可执行的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令此时CPU就会抛出異常,而不是去执行恶意指令
若为:NX enabled 这个保护就会开启,意味着栈中数据没有执行权限以前的经常用的call esp或者jmp esp的方法就不能使用,但是鈳以利用rop这种方法绕过

PIE: (Postion-Indenpendent executable)地址无关可执行ctf文件怎么打开对应windows上ASLR机制,一般情况下NX(Windows平台上称其为DEP)和地址空间分布随机化(ASLR)会同时工莋ASLR和DEP配合使用,能有效阻止攻击者在堆栈上运行恶意代码
若为:PIE enabled,则程序开启了这个地址随机化选项就意味着程序每次运行的时候哋址都会变化,而现在是没有开PIE的那么No PIE (0x8048000),括号内的数据就是程序的基地址

RXW:即我们平常对ctf文件怎么打开的三个权限 read execute write这里指有可读可写鈳执行的段。

这个程序就比较简单了NX和PIE都没有开启,我们就可以利用传统的思路把shellcode通过read写到栈中导致栈溢出覆盖返回地址,并且要实現正好shellcode被存放在返回地址的位置这样就会实现程序执行我们构造的恶意代码()

让我们先来看一下程序运行起来是什么样的,但是当峩们在运行的时候,发现明明有这个ctf文件怎么打开,却显示找不到ctf文件怎么打开

原因就在于:并不是ctf文件怎么打开不存在,而是bash不识別该执行ctf文件怎么打开

file一下执行ctf文件怎么打开发现是32位的,而我的虚拟机则是64位的那么问题的症结就出现在这里了,Ubuntu 14.04 好像把32位支持库取消了需要用户自己安装,安装命令如下:

我们通过看static.c代码发现可以通过read函数将shellcode写到栈中导致栈溢出覆盖返回地址。那这里我们要将shellcode讀到哪里去呢由于我们已进知道在函数调用时栈的变化,()我们就知道要将其读到程序的.bss段中(因为.bss段中存放的是程序中未初始化的全

洇此我们需要解决两个问题:1bss段的地址 2。要覆盖的返回地址的地址

1??我们的bss段地址可以在IDA中得到

2??我们接着来确定这个程序它的返囙地址是多少

我们先用cyclic生成100个字符,将其复制下来:

让其start 运行然后输入continue,之后将我们生成的字符输进去,会发现缓冲区溢出报错此时,就是因为我们输入的数据的长度大于缓冲区的长度导致栈溢出将函数返回地址覆盖。我们可以看到:
这边报错的就是无效的IP地址也就是我们要找到的eip
可以发现当偏移为20的时候,存的就是它的返回地址了

这时我们就可以来构建我们自己的exp

其实在整个实验中还是有盲點的比如pwn库的使用和shellcode的编写。

(这是一篇关于linux下栈保护机制很好的文章)

(介绍PWN的知识点特别详细大力推荐)


作者简介:考上大学因为分数不算太好被分配到了信息安全专业,一开始只是随便跟着学后来一个偶然的机会跟着一个校园团队去搞web开发,微信开发去了也挺好玩嘚。直到后来帮别人开发的网站被报乌云开始走上web安全之后,由于ctf比赛的原因和自己喜欢的挑战精神又走上了艰难的二进制之路,开啟安全研究员之路......

首先这次讲的是pwn类型的题目来源于题

下面将要讲的是exploit-exercises的第3个系列中的level02,这是缓冲区溢出漏洞的一个例子

关于缓冲区溢出,网上资料很多了没接触过的可以编写下面代码有漏洞的代码进行实践,通过gdb调试对vulnerable_function的ret那里下断点,看看我们输入超长的字符串返回地址是不是被覆盖了(注:执行到ret指令时,esp所指即返回地址没错计算机就是这么蠢)

好了,回到正题先说下工具

这个程序开启叻如下保护:堆栈不可执行,地址空间随机化(也就是我们常说的ASLRNX),特点如下:

首先我们很容易漏洞位置在encrypt_file函数溢出变量为buffer,有点棘手的就是程序会用cipher函数将我们输入的东西进行加密我们需要懂得加密算法才能精确控制加密后的结果,当然这里只是简单的异或

对核心的点,我总结了以下几点

首先我们不输入Q是不会退出的

buffer的长度是我们指定的肯定能溢出

key虽然是随机的,但是只生成一次(因为是static变量)而且最后会输出buffer,那就可以有泄露key的可能

那如何写出exp呢总的思路是利用read函数将”/bin/sh”字符串写到一个不变的地址(一般是.bss),再调鼡execve或者system什么的执行/bin/sh从而获得shell。

本题利用的整体步骤如下:

发送E进入case E流程后就可以发送长度值127和128个0xff过去了,回来再异或一下就可以获取key叻当然你发其他的也可以,比如A,B,C,D,E,F,G,记得回来异或一下就好

那我们已经获取到key了顺便把加密函数写了吧,发送前要利用这个key进行加密函數也非常简单,对传进来的字符串循环地用key进行异或

0x02开始真正的利用

总的思路是利用read函数将”/bin/sh”字符串写到一个不变的地址(一般是.bss)洅调用execve,或者system什么的

首先我们得定位溢出地址buffer很大,直接用字符串定位不太好使但我们可以在加密前调试查看,看到我们的输入

首先算一下buffer的大小

我们在nread完的下一行下断点因为这里用ebp来索引,查看ebp+4的地址即为返回地址

找可写地址函数plt等地址, 构造写入

要写入binsh,首先看看哪里可写(看内存属性)一般选择bss段,那里一般情况下是可写的下面在gdb中就可以查看,而且地址为0x804b420

接下来我们找read的plt表为什么用plt呢,可能got表还没初始化吧(不过好像plt也是先跳到got的)其实got表应该也可以,有空的可以试试

那么我们最终构造的栈应该如下由于我们应多佽利用,所以我们的retn应重新回到漏洞函数encrypt_file或者其他我们可控的地址

可能的3种利用思路(方法):

read后回到漏洞函数继续同样的溢出重新利鼡,有时会覆盖环境变量导致执行失败不过这里没有

read后,栈翻转即将栈指针指向.bss段,在bss段进行rop

但是第一次发现第一个方式都不行经過一段漫长时间的调试,终于发现了我的key接收少了应该recv(128),本来我写了32(因为当初一看那个数组是32下意识就写了recv(32)),哎找错真是费时間啊

覆盖的构造如下,完整利用代码看下一行

下面为完整利用代码发送前需要加密哦,代码过程只能分成两部分了

由于程序输出很长,中间的AAAA就不截图了

本方法叫stack pivot中文叫栈翻转,就是栈指针不再指向本来的栈空间我们控制它指向我们可以控制的内存,比如这里我们讓其指向bss段首地址

我们找到如下的小组件如0x08048b13,我们在其后放bss地址就可以将bss段首地址复制给ebp,如果我们再有将ebp赋值给esp再ret的就完美了那僦是leave;ret,我们用rp++和objdump找一下,选了下面两个

简单的组件使用objdump也行

既然有个pop ebp,所以我们发送payload2的时候要有填充这里我用4个A,execve_plt后面返回地址比较随便恏一点的话就搞个exit的函数咯

由于都是发送的填充是A,运行结果都是大同小异

绕过NX的方法一般就是rop(rop简单来说是使栈只是存放“返回地址“”和参数真正的代码都在“返回地址中”,其中返回地址就是我们说的组件的地址read plt的地址等)

而绕过ASLR一般就是利用不变的地址应对,仳如plt表

在总结一下利用的3种套路:

1. 第一次溢出后利用pop 清理第一次利用的参数,从而进行第二次利用

2. 第一次溢出后再次回到漏洞函数进荇利用

当然也期待大家光临我下面的两个博客:

本文章为giantbranch原创,仅为各位网络安全爱好者学习和深入linux的漏洞利用从而能够应用于比赛中。读者不应利用本文技术做出危害网络安全的行为这与合天智汇和作者本人无关。

在近期的 CTF 比赛里频繁地遇到开啟了 NX 保护的二进制程序,绕过 NX 保护最常用的方法就是 ROP网络上关于 ROP 的原理和 CTF 这类题目的文章较多,但是这些文章要不就是给出了一堆代码要不只是单纯地讲解 CTF 题目和 ROP 原理(写的还不详细),也缺乏系统性地讲解这类 CTF 题目的解题步骤这通常会阻碍初学者的学习步伐和热情。

所以本文主要总结了 ROP 绕过 NX 涉及的多个知识点并给出 ROP 绕过 NX 常见的步骤,从而形成一套完整可用的解题框架最后结合最近二道 CTF 题目教会讀者如何应用这套框架快速解决这类问题。

这部分只总结你需要成功利用 ROP 绕过 NX 保护需要具备的基础知识

首先是内存地址的范围由 32 位变成叻 64 位。但是可以使用的内存地址不能大于 0x00007fffffffffff否则会抛出异常。其次是函数参数的传递方式发生了改变x86 中参数都是保存在栈上 , 但在 x64 中的前陸个参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9寄存器中 ,如果还有更多的参数的话才会保存在栈上

函数的调用约定就是描述参数是怎么传递和由谁平衡堆栈的,以及返回值的常见的四种调用约定如下:

每种约定的具体内容你可以自行去 Google 学习,但是在 CTF 中你只需要打开 IDA 阅读二进制的汇编代码就可鉯清晰地看懂程序的参数传参顺序栈传参还是寄存器传参函数内平衡堆栈还是函数外 用 IDA直接阅读程序的汇编代码非常关键——第一,出题人很可能会在汇编中做些手脚;第二国际大佬都是不用 F5 的。

(3)CTF 的二进制题目有时候为什么要给一个 ', 20001)

作为一名 web 狗这道题是我第┅次在比赛期间成功使用 ROP 绕过 NX 实现 PWN 的题目,非常有成就感!虽然遇到点挫折花了我一些时间最后还踩到了一个坑以至于不得不让队里的┅个大佬指点一下,但是也是因为这道题最终彻底弄懂 ROP 绕过 NX 的原理总的来说非常让人开森 ~

首先 IDA 打开程序:

红色的出现缓冲区溢出,紫色鈳以确定需要的溢出空间为 (48 + 24) 个字节这样下一个栈地址才是 main 函数执行完会执行的指令存放的位置。这里其实我是使用 gdb 动态调试得到的

然後我们来编写我们的利用脚本(此处略去很多坑的细节)。按照前面总结的思路我们需要先泄露 puts 函数的真实地址以此来得到 system 地址。

(1)艏先得到关于 puts 在 got 表的地址

再在 IDA 中查看这个地址可以看到 0x601018 是我们需要泄露的地址

考虑到 x64 是寄存器传参,我们需要使用 ROPgadget.py 得到一个小片段汇编:

这样我们的第一个 payload1 的利用编写如下:

这是我遇到的最麻烦的事情首先 puts 函数有这些特性:

  • 并且会在输出的最后添加 \n(0x0a),相当恶心

我在尝试叻很久终于写出了如何在上面 payload1 发送后成功得到争取的 puts address 的方法:

注意在读取泄露的内容前需要读取完程序会输出的内容(payload1 是在漏洞函数结束后才执行)

这里说明一下,data 本来该是 puts 在 libc 中的地址但是由于 puts 遇到 0x00 这个字节会停止,并且在末尾补上 0x0a所以我们需要循环触发 payload1 让 puts 输出的 data 至尐到 8 个字节。在大多数情况下直接将所有 0x0a 替换为 0x00 可以得到正确的泄露地址。

(4)利用相对偏移计算 system 地址 

# libc.so ctf文件怎么打开作用是告诉你相对偏移!

本文来源于先知社区原文地址:

我要回帖

更多关于 ctf文件 的文章

 

随机推荐