babyaeg——自动化之途探析

访客4年前黑客资讯1127

babyaeg是强网杯的一道pwn。本题的情景不太普遍,一般的pwn一般出示binary,随后在远侧运行服务项目,由做题人将binary剖析清晰后,产生exp进攻远侧;本题则随机生成二进制文件,base64编号后发给做题人,在五秒以内,做题人务必出示Payload,立即开展进攻,假如五秒時间内做题人沒有取得成功随意代码执行,则联接关掉,一切重新来过。这就代表着,大家务必自动化地对binary开展剖析。

IO解决

做为本题的之一个流程,大家更先要看一下怎样与远侧开展互动:

Welcome to QWB BABYAEG-

I will send you a newly compiled binary (probably exploitable) in base64 formatafter you get the binary, I will be waiting for your input as a plain textwhen your input is given, I will execute the binary with your input as argv[1]you have 5 seconds to build exploit payloadhint: base64 -d 1.bin | gunzip > 1.elfwait…H52Qf4owMSIgQAAACBMmFADAB4CDCSGFMKAQiMKEsIJBvIjQIg4ACgBY3ABAAwCKCAkktMjRIsuVIi/CYCiTpkIEHAEMSKgSIRybCX 9ClgKAAOOZFy3Khw…

here, get this binary and give me some crafted argv[1]for explotationremember you only have 5 seconds… hurry up!time expired! bye!

大家获得的是一个base64编号后的字符串数组。为了更好地防止大段大段的编码数据,我将它省去了。即然是自动化剖析,大家务必获得充足多的样版,再从这当中寻找相同点。一个一个地拷贝编解码太dirty,我们要将自动化的观念应用究竟,挑选一个雅致的 *** ~~

from pwn import *

from ipdb import set_trace

import os

from exp import *

def getbinary():

p=remote('***.**.**.***', 40005)

tmp=p.recvuntil('wait...n')

res=p.recvuntil('n')[:-1]

print res

i=0

while True:

if os.path.exists('binaries/binary' str(i)):

i =1

continue

open('tmpbinary' str(i), 'w').write(res)

break

os.system('base64 -d tmpbinary' str(i) ' | gunzip > binaries/binary' str(i))

os.system('rm tmpbinary' str(i))

getbinary()

不断运作这一脚本 *** ,或是填加循环系统,大家就能在binaries文件夹下获得一堆binary。以供下面进一步剖析。

静态数据剖析

首先看程序流程基本资料:

本题沒有Stack Canary,沒有开PIE,这针对自动化剖析是十分友善的。不完美的地区取决于打开了NX,这代表着大家有可能必须自动生成ROP,可是后边大家将有简易的方式处理这个问题。

大家随意挑一个binary用ida开启,先观查一下到底是个哪些的步骤。依照国际惯例,首先看主函数:

__int64 __fastcall main(int a1, char **a2, char **a3)

{

__int64 result; // rax

unsigned int v4; // eax

int v5; // eax

int v6; // eax

int v7; // eax

char v8; //[rsp 15h][rbp-1Bh]

char v9; //[rsp 16h][rbp-1Ah]

char v10; //[rsp 17h][rbp-19h]

int i; //[rsp 18h][rbp-18h]

int v12; //[rsp 1Ch][rbp-14h]

int v13; //[rsp 20h][rbp-10h]

int v14; //[rsp 24小时][rbp-Ch]

int v15; //[rsp 28h][rbp-8h]

int v16; //[rsp 2Ch][rbp-4h]

if ( a1==2 )

{

v4=sub_26095B9(1LL, 2LL, 3LL, 4LL, 5LL, 6LL);

srand(v4);

dword_280BC5C=strlen(a2[1]) >> 1;

if ( dword_280BC5C 1000 )

{

v16=0;

v15=0;

while ( v16 2 * dword_280BC5C )

{

v8=a2[1][v16];

v9=a2[1][v16 1];

v10=0;

v5=v15 ;

__isoc99_sscanf(&v8, "hhx", &byte_280BF80[v5]);

v16 =2;

}

for ( i=0; i if ( (_BYTE)v14==29 && (_BYTE)v13==-6 && 61 * (_BYTE)v13 98 * (_BYTE)v14 - (_BYTE)v12==48 )

{

v6=v14 ;

v13=v6;

}

if ( (_BYTE)v14==-14 && (_BYTE)v13==12 && 17 * (_BYTE)v14 65 * (_BYTE)v13 - (_BYTE)v12==78 )

{

v7=v12 ;

相关文章

最高检发布第二十五批栗在山指导性案例 聚焦生产安全

  中新网1月27日电 据最高人民检察院微信公众号消息,1月27日,最高人民检察院召开以“筑牢生产安全底线 守护生命财产平安”为主题的新闻发布会,发布最高人民检察院第二十五批指导性案例。   以下是...

老婆出轨怎么查她开了几次房间_黑客改一门成绩多少钱

赢咖3平台登录【主管99229】在计划香港旅行的时候,大多数游客会被一个问题困扰:换多少港币合适?本篇攻略将提供港币兑换指南,并给出其他支付方式建议。 香港素来有“购物天堂”的美称,因此不少游客除了吃...

儿童如何自学编程(儿童自学编程从哪学起)

儿童如何自学编程(儿童自学编程从哪学起)

本文目录一览: 1、10岁孩子怎么学习少儿编程? 2、三年级的小孩子怎么学编程会比较合适? 3、想让孩子学习编程,该如何孩子学习呢? 10岁孩子怎么学习少儿编程? 1、可以从Scratch入...

电脑版微信聊天记录删除了怎么恢复查看?

操作方式 01 起首要将电脑版微信设置保留聊天记实,如许才会在电脑大将微信聊天记实保留下来。不然聊天记实是没有保留下来的。进入电脑版微信设置,通用设置,将“保留聊天记实”选项勾选上。...

挖洞经验 | Microsoft Forms未授权获取他人邮箱信息漏洞

挖洞经验 | Microsoft Forms未授权获取他人邮箱信息漏洞

本文讲述了关于微软在线调查创建应用Microsoft forms的一个漏洞,通过其中的数据分享机制,作者可以藉机获取到参与调查用户的邮箱信息,漏洞最终收获了$2k的奖励。微软的Office365有很多...

淘宝流量提升有效方法(网店流量推广)

淘宝流量提升有效方法(网店流量推广)

现在平台越来越大,流量的来源也是多种多样,但不管你用什么方式引流,都要确保最终这店铺的流量结构是免费流量占据主导地位。 总能在评论区看到类似这样的提问,“店铺现在的流量一直靠付费流量在支撑,免费流量...