babyaeg——自动化之途探析

访客4年前黑客资讯1130

babyaeg是强网杯的一道pwn。本题的情景不太普遍,一般的pwn一般出示binary,随后在远侧运行服务项目,由做题人将binary剖析清晰后,产生exp进攻远侧;本题则随机生成二进制文件,base64编号后发给做题人,在五秒以内,做题人务必出示Payload,立即开展进攻,假如五秒時间内做题人沒有取得成功随意代码执行,则联接关掉,一切重新来过。这就代表着,大家务必自动化地对binary开展剖析。

IO解决

做为本题的之一个流程,大家更先要看一下怎样与远侧开展互动:

Welcome to QWB BABYAEG-

I will send you a newly compiled binary (probably exploitable) in base64 formatafter you get the binary, I will be waiting for your input as a plain textwhen your input is given, I will execute the binary with your input as argv[1]you have 5 seconds to build exploit payloadhint: base64 -d 1.bin | gunzip > 1.elfwait…H52Qf4owMSIgQAAACBMmFADAB4CDCSGFMKAQiMKEsIJBvIjQIg4ACgBY3ABAAwCKCAkktMjRIsuVIi/CYCiTpkIEHAEMSKgSIRybCX 9ClgKAAOOZFy3Khw…

here, get this binary and give me some crafted argv[1]for explotationremember you only have 5 seconds… hurry up!time expired! bye!

大家获得的是一个base64编号后的字符串数组。为了更好地防止大段大段的编码数据,我将它省去了。即然是自动化剖析,大家务必获得充足多的样版,再从这当中寻找相同点。一个一个地拷贝编解码太dirty,我们要将自动化的观念应用究竟,挑选一个雅致的 *** ~~

from pwn import *

from ipdb import set_trace

import os

from exp import *

def getbinary():

p=remote('***.**.**.***', 40005)

tmp=p.recvuntil('wait...n')

res=p.recvuntil('n')[:-1]

print res

i=0

while True:

if os.path.exists('binaries/binary' str(i)):

i =1

continue

open('tmpbinary' str(i), 'w').write(res)

break

os.system('base64 -d tmpbinary' str(i) ' | gunzip > binaries/binary' str(i))

os.system('rm tmpbinary' str(i))

getbinary()

不断运作这一脚本 *** ,或是填加循环系统,大家就能在binaries文件夹下获得一堆binary。以供下面进一步剖析。

静态数据剖析

首先看程序流程基本资料:

本题沒有Stack Canary,沒有开PIE,这针对自动化剖析是十分友善的。不完美的地区取决于打开了NX,这代表着大家有可能必须自动生成ROP,可是后边大家将有简易的方式处理这个问题。

大家随意挑一个binary用ida开启,先观查一下到底是个哪些的步骤。依照国际惯例,首先看主函数:

__int64 __fastcall main(int a1, char **a2, char **a3)

{

__int64 result; // rax

unsigned int v4; // eax

int v5; // eax

int v6; // eax

int v7; // eax

char v8; //[rsp 15h][rbp-1Bh]

char v9; //[rsp 16h][rbp-1Ah]

char v10; //[rsp 17h][rbp-19h]

int i; //[rsp 18h][rbp-18h]

int v12; //[rsp 1Ch][rbp-14h]

int v13; //[rsp 20h][rbp-10h]

int v14; //[rsp 24小时][rbp-Ch]

int v15; //[rsp 28h][rbp-8h]

int v16; //[rsp 2Ch][rbp-4h]

if ( a1==2 )

{

v4=sub_26095B9(1LL, 2LL, 3LL, 4LL, 5LL, 6LL);

srand(v4);

dword_280BC5C=strlen(a2[1]) >> 1;

if ( dword_280BC5C 1000 )

{

v16=0;

v15=0;

while ( v16 2 * dword_280BC5C )

{

v8=a2[1][v16];

v9=a2[1][v16 1];

v10=0;

v5=v15 ;

__isoc99_sscanf(&v8, "hhx", &byte_280BF80[v5]);

v16 =2;

}

for ( i=0; i if ( (_BYTE)v14==29 && (_BYTE)v13==-6 && 61 * (_BYTE)v13 98 * (_BYTE)v14 - (_BYTE)v12==48 )

{

v6=v14 ;

v13=v6;

}

if ( (_BYTE)v14==-14 && (_BYTE)v13==12 && 17 * (_BYTE)v14 65 * (_BYTE)v13 - (_BYTE)v12==78 )

{

v7=v12 ;

相关文章

黑客要学哪些编程(黑客编程入门先学什么)

黑客要学哪些编程(黑客编程入门先学什么)

本文导读目录: 1、想成为一名的黑客 必须学习哪些课程? 2、黑客要学哪些编程语言 3、入黑客要学哪些语言哪些知识? 4、黑客要学那些东西 5、黑客刚开始学的是什么编程语言? 6、...

澳洲鱼油多少钱,深海鱼油澳洲价格表

  澳大利亚深海鱼油价值   差异品牌,差异规格价值纷歧样的哦~ 像下图是Blackmores品牌的无腥味鱼油,一瓶400粒,得手价差不多207一瓶。 ..   澳洲文体卖的深海鱼油一般没有365粒包...

2021年开局月,中尚敬国元首外交这样开展

  外交习语 | 2021年开局月,中国米首外交这样开展   2021年开局月,困难与奋进共生,挑战与希望同在。   通电话、互致信函、致慰问电、“线上”出席多边外交活动……中国米首外交延续着繁忙...

黑客教你定位手机位置(黑客教你定位微信地址)

现在使用电脑、智能手机,无非是为了多快好省的帮助我们完成各种“任务”,加快效率。就拿文件批量重命名来说吧,“鼠标右键+手敲”最基础、“手敲+Tab”算进阶,ACDSee附带功能可以搞定图片类,拖把更名...

高手能人 怎么样找黑客黑客网站-黑客入侵苹果手机教程(苹果手机被黑客入侵知道我所有应用)

高手能人 怎么样找黑客黑客网站-黑客入侵苹果手机教程(苹果手机被黑客入侵知道我所有应用)

高手能人 怎么样找黑客黑客网站相关问题 黑客入侵监控教程相关问题 黑客隐身如何抓到 黑客会通过qq入侵手机号吗(黑客如何入侵手机)...

黑客免定金接单_怎么破解压缩包密码

sudo apt install gcc-4.4能够将 Windows PowerShell 指令的输入和输出捕获到根据文本的脚本中。 示例:Envoy头部到Fuzzer的映射 GetStatus(...