troia_server [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列27(未完待续)

最新推荐文章于 2022-06-28 20:30:00 发布
最新推荐文章于 2022-06-28 20:30:00 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: XCTF-PWN CTF 文章标签: 攻防世界 xctf ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103761125
版权
CTF 同时被 2 个专栏收录
46 篇文章 4 订阅
订阅专栏
XCTF-PWN
28 篇文章 10 订阅
订阅专栏

题目地址:troia_server

这个题目是攻防世界PWN题目的倒数第二题,不好意思,我并没有完成,这里只是先把我的阶段性的实验总结了一下,看看对大家是否有帮助。

如果需要ida的反编译的文件,可以留下您的邮箱,我们可以共同探讨,一起解决!

先看看题目:

照例检查一下保护机制:

[*] '/ctf/work/python/troia_server/a751aa63945b4edcb6a7bb47986e960d'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

保护机制全开,非常真实的一道题目。

我先把反编译的c语言的代码中的重要部分给大家分析一下。

main 函数:

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  init_and_srand();
  init_ascii_table();
  ergodic_all_dir(1u);
  create_tty_5();
  alarm(0xF0u);
  init_connect(0, 1u);
  check_version(0, 1u);
  main_loop(0, 1u);
  return 0LL;
}

我先简单介绍一下主要函数的意义:

1、init_and_srand函数

初始化环境,并利用time设置随机数种子

2、init_ascii_table函数

初始化两个密码表(一个上行,一个下行),密码表使用的是256个ascii值对应的映射,这里只是做了初始化

3、ergodic_all_dir函数

遍历所有服务器上的目录及文件,写入内存中的一个数据结构

4、create_tty_5函数

创建5个tty连接池

5、init_connect函数

这个函数非常重要,这里会把两个密码表进行具体的数据填充,并做随机化

6、check_version函数

检查客户端发上来的版本号是否正确

7、main_loop函数

主循环函数,接收各种命令并进行相应的处理和返回

下面我分析一下具体的函数:

init_connect函数

unsigned __int64 __fastcall init_connect(unsigned int fd_read_command_line, unsigned int fd_command_line)
{
  char szRandBuf16; // [rsp+10h] [rbp-270h]
  char szRandBuf16_2; // [rsp+20h] [rbp-260h]
  char s; // [rsp+30h] [rbp-250h]
  char szRandAsciiTable; // [rsp+70h] [rbp-210h]
  char szInputAsciiTable; // [rsp+170h] [rbp-110h]
  unsigned __int64 v8; // [rsp+278h] [rbp-8h]

  v8 = __readfsqword(0x28u);
  rand_ascii_table((__int64)&szRandAsciiTable);
  write_encode_buf(fd_command_line, (__int64)&szRandAsciiTable, 0x100u);
  get_input(fd_read_command_line, &szInputAsciiTable, 256);
  modify_ascii_table((__int64)&szRandAsciiTable, (__int64)&szInputAsciiTable);
  rand_buf((__int64)&szRandBuf16, 16);
  write_encode_buf(fd_command_line, (__int64)&szRandBuf16, 0x10u);
  get_input(fd_read_command_line, &szRandBuf16_2, 16);
  encode_string((__int64)&szRandBuf16, 16, (__int64)ascii_table1);
  encode_string2((__int64)&szRandBuf16_2, 16, (__int64)ascii_table2);
  memset(&s, 0, 0x40uLL);
  write_encode_buf_wrap(fd_command_line, "welcome to cyberpeace system");
  get_input(fd_read_command_line, &s, 64);
  if ( strcmp("I'm coming", &s) )
    write_buf("hello packet bad");
  return __readfsqword(0x28u) ^ v8;
}

我们注意到里面有两个密码表ascii_table1和ascii_table2,ascii_table1是服务器发送给客户端的时候使用的密码表,ascii_table2是客户端发送给服务器的密码表。

先说一下ascii_table2的处理流程:

1、客户端发送256个字节的数据给到服务器

2、客户端发送16个字节的附加数据给服务器

3、服务器对这两个数据进行二次加密处理之后保存到ascii_table2中

4、以后所有get_input函数中接收到的数据都会用ascii_table2做逆向处理

signed __int64 __fastcall get_input(unsigned int fd_read_command_line, void *buf, int nSize)
{
  __int16 v3; // ST1A_2
  int nSize2; // [rsp+8h] [rbp-28h]
  int nInputSize; // [rsp+1Ch] [rbp-14h]
  void *ptr; // [rsp+20h] [rbp-10h]
  unsigned __int64 v8; // [rsp+28h] [rbp-8h]

  nSize2 = nSize;
  v8 = __readfsqword(0x28u);
  read_input(fd_read_command_line, (__int64)&nInputSize, 4);
  if ( nInputSize < 0 || nInputSize > nSize2 )
    write_buf("size error");
  ptr = malloc(nInputSize + 2);
  if ( !ptr )
    write_buf("malloc error");
  read_input(fd_read_command_line, (__int64)ptr, nInputSize + 2);
  v3 = *(_WORD *)((char *)ptr + nInputSize);
  if ( (unsigned __int16)sum_buf_byte((__int64)ptr, nInputSize) != v3 )
    write_buf("data bad");
  memset(buf, 0, nSize2);
  copy_encode_byte((__int64)buf, (__int64)ptr, nInputSize);
  free(ptr);
  return 1LL;
}

然后是get_input函数处理流程:

1、接收4个字节的长度nLen

2、检查数字合法性

3、接收nLen+2字节的数据

4、对接收的前面nLen个字节,轮询所有字节进行sum

5、将sum值和接收的后面两个字节进行比对

6、比对成功,对前面的nLen个字节利用ascii_table2做逆向处理

 

这部分的利用代码我已经编写好了,能够完成客户端对服务器的数据发送。

#coding:utf8
#!/usr/bin/env python
 
from pwn import *
 
context.log_level = 'debug'
process_name = './a751aa63945b4edcb6a7bb47986e960d'
p = process([process_name], env={'LD_LIBRARY_PATH':'./'})
# p = remote('111.198.29.45', 59861)
# elf = ELF(process_name)

def make_ascii_table(reverse):
	ascii_table = ''
	for x in range(256):
		if reverse==1:
			v = 0xFF-x
			if v%0x10 == 0:
				v = (v+0xf0)%0x100
			ascii_table += chr(v)
		else:
			ascii_table += chr(x)
	return ascii_table

def calc_sum_byte(payload):
	sum_byte = 0
	for x in range(len(payload)):
		sum_byte += ord(payload[x])
	print('sum_byte=0x%#x', sum_byte)
	return sum_byte

def send_payload(payload):
	p.send(p32(len(payload)))
	# pause()
	p.send(payload+p16(calc_sum_byte(payload)))

def encode(payload):
	payload2 = ''
	for x in range(len(payload)):
		payload2 += ascii_table_reverse[(0xFF - ord(payload[x]))]
	log.info('payload=>%s', payload)
	log.info('payload2=>%s', payload2)
	return payload2

# print(0x63+0x9c)

p.recv()
a = make_ascii_table(0)
ascii_table_reverse = make_ascii_table(1)
send_payload(a)
# pause()

# p.send('\x00'*4)
# p.send('\x00'*2)
p.recv()
p.send('\x00'*4)
p.send('\x00'*2)

p.recv()
payload = 'I\'m coming'
# payload = 'abc'
'''
0x306d2749	0x696d6f63	0x0000676e
0x306d2749	0x696d6f63	0x0000676e
0x206d2749	0x696d6f63	0x0000676e
'''
send_payload(encode(payload))


# p.send('\x0a'+'\x00'*3)
# p.send(p32(len(payload2)))
# pause()
# p.send(payload2+p16(calc_sum_byte(payload2)))
# p.send(payload+'\x08\x90')

payload = 'version v4.10'
send_payload(encode(payload))
p.recv()
send_payload(encode('\x00'))
# p.recv()

def sh_cmd(cmd):
	send_payload(encode(p32(len(cmd))))
	send_payload(encode(cmd))
	p.recv()


# sh_cmd('ls')
sh_cmd('cat flag')

'''
第二阶段工作

rand table:
x0 x1 x2 x3  x4 x5 x6 x7  x8 x9 xA xB  xC xD xE xF

x0=0x0A

y0=rand_table[x0]

根据开始进入的时候发过来的编码过的密码表和附加数据,逆推出密码表
'''


p.interactive()

所有函数和变量我都已经重新命名:

第二阶段的工作就是根据开始进入的时候发过来的编码过的密码表数据和附加数据,逆推出ascii_table1密码表

这个题目更偏向于crypto和reverse的题目,主要还是利用gdb和密码学的知识进行二进制调试。

3riC5r
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界PWN(warmup)
BurYiA的博客
02-03 1495
warmup 这是一个没有附件的题,看起来题目是要求我们fuzz了 nc连接上后可以发现有个输入点,并且还给了我们一个十六制数,看起来是个地址 那首先根据这些我们可以先将fuzz函数写出来,分三种情况(不用他给的地址,用p32发送,用p64送) def fuzz(r, num, flag): payload = 'a' * num if flag==1: pa...
01--AFCTF-re3(MD5)
Eira_H的博客
07-08 698
解题过程 先脱壳,然后拖64位IDA,定位到主函数F5查看伪C代码,代码如下: __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 result; // rax unsigned __int64 v4; // kr08_8 char *v5; // ST18_8 char *v6; // ...
2018.7.26学习笔记
weixin_42297538的博客
07-26 179
制逆向题目解析 1.
PWN fd [pwnable.kr]CTF writeup题解系列1
重新启程
01-01 448
题目地址:http://pwnable.kr/play.php 题目地址页面,看看还是挺有意思的,还有一些图片。 看看题目: 题目比较简单,直接把解题过程列出来 root@mypwn:/ctf/work/reverse# ssh fd@pwnable.kr -p2222 The authenticity of host '[pwnable.kr]:2222 ([128.61.24...
三个pwn题
最新发布
weixin_52640415的博客
06-28 1653
shortcut :格式化字符串漏洞写溢出 lucky_guy:alloca负值覆盖ret babynote:libc-2.31禁用exec写 ORW free_hook->sigreturnframe-> setcontex+61->orw
GDB调试堆漏洞之house of spirit
蚁景网安学院
06-25 420
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
BUUCTF逆向的一些wp(3)
qq_62188797的博客
06-15 260
目录java逆向解密[GXYCTF2019]luck_guy刮开有奖[BJDCTF2020]JustRE 简单注册器java的class文件,用jd-gui打开,是一个简单的程序 没什么可以说的,会一点java再查一查不懂的函数就行,写了个python脚本 flag{This_is_the_flag_!}查壳,64位elf无壳,放IDA先看看Strings window,发现字符串"OK, it's flag:",跟根据交叉引用入get_flag()函数 从case1了解到flag是f1
Chunk Extend and Overlapping(HITCON Trainging lab13)
九层台
08-13 601
数据结构 unsigned __int64 create_heap() { _QWORD *v0; // rbx signed int i; // [rsp+4h] [rbp-2Ch] size_t size; // [rsp+8h] [rbp-28h] char buf; // [rsp+10h] [rbp-20h] unsigned __int64 v5; // [r...
攻防世界——app漏洞第二题
qq_33356474的博客
05-28 1516
攻防世界——app漏洞第二题 拿到android题,就先在模拟器中运行一下,看看具体是怎样实现的 在模拟器中看到的是上面这样的运行效果,估计就是和我们输入的两个部分有关吧。于是直接反汇编,看看反汇编的代码。 上jeb 发现是有两个活动存在,在注册表中也 明确写过。那么我们就看看这两个活动 是怎样运行的。 mainActivity的主要内容,发现是有两个输...
ciscn 2018 部分writeup
StriveBen的博客
05-07 3880
ciscn 2018 部分writeup flag in your hand 这是一道js解密的题目: 发现checkToken函数数里返回的s===”FAKE-TOKEN”,使用这个字符串却得到wrong,而且ic后面被更改了: 跟踪bm函数: 这里charCodeAt() 方法可返回指定位置的字符的 Unicode 编码; 在ck函数里,ic的值又被更改了,所以要想...
堆溢出off-by-one(asis-ctf-2016 pwn 之 b00ks)
九层台
08-01 2306
这些天积累也知道了一些关于glibc内存的分配策略。 说pwn 是在内存里捉迷藏其实到这里才真正接触大片的内存。精确控制就能保证精确修改数据。 需要的一个很重要的能力就是跟内存的能力。 这里调试exp用gdb.attach(p)来下断点,弹出调试界面。跟踪内存。 用gdb的x命令/xg参数来查看内存以十六制8字节显示。 这个程序开启了PIE跟踪不太容易,不过可以用find命令查找输入的...
pwn 程序保护
qq_40390383的博客
09-12 594
printf("%d", a) ,参数 a 在堆栈中的是 a 的地址, printf("%d",a)堆栈的结构 结合此题的堆栈的数据顺序 格式化字符串漏洞: 正常情况下printf("%s", a) 是输出a的值,但是如果直接使用 printf(a),虽然也可以输出a的值,但如果a中含有%x等格式化字符时,变会出现泄漏内存的情况 我们便在参数输入 pwnme 的地址,利用%n 来更改其数值。 %n - 到目前为止所写的字符数 构造如下的 payload p32(pwnme_addr) +..
supermarket CISCN-2018-Quals
qq_41071646的博客
07-25 684
这个题没有想到有一点 。。。。 参考链接 https://blog.csdn.net/qq_33528164/article/details/80144580 这个题目的漏洞点就是 在 realloc 如果 当重新分配的new_size < pre_size, 返回原指针 否则 重新分配 这个就很真实了 而且他这个 还没有改变用户态指针 如果我们操作一波就可以 用另一个...
攻防世界Web高级第二题
Y4tacker的博客
07-21 8974
看题,看关键字 看到下面这个,我还以为又要构造参数了 结果一言难尽
常见的web攻击手段
diansheshi4163的博客
07-05 343
XSS:跨站脚本攻击 -典型实例为: 当用户在表达输入一段数据后,提交给服务端行持久化。如果此用户输入的是一段脚本语言,而服务端 用户输入的数据没有经过转码、校验等就存入了数据库,在其他页面需要展示此数据时,就会执行此用户输入的语言。简单来说,JS的强大不用我来解释吧 -推荐防御措施: 对用户输入的信息行转义,例如<>'等等特殊字符。当然,其实很多前端框架...
XCTF Hello CTF
YenKoc的博客
01-15 1013
一.查壳 二.拖入ida x86静态分析 shift +F12找到字符串。 发现关键字please input your serial 点击入 这是我们的主函数,F5反编译一下,看一下逻辑。 这里有几个函数,我也不懂啥意思,百度的. 1.qmemcpy(void *destin ,void *source):将source指针所指的值拷贝到destin中去 2.sprintf(char ...
Web 的攻击技术
喜欢恋着风
08-02 971
互联网上的攻击大都将 Web 站点作为目标。本章讲解具体有哪些攻击 Web 站点的手段,以及攻击会造成怎样的影响。 简单的 HTTP 协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。应用 HTTP 协议的服务器和客户端,以及运行在服务器上的 Web 应用等资源才是攻击目标。 目前,来自互联网的攻击大多是冲着 Web 站点来的,它们大多把 Web 应用作为攻击目标。本章主要针对 W
[BUUCTF-pwn] pragyan_police_academy
weixin_52640415的博客
02-06 481
直接给flag的题。 先是%s读入有溢出然后用strncmp检查,然后是检查一下串长度是36 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+8h] [rbp-48h] BYREF int v5; // [rsp+Ch] [rbp-44h] char s1[16]; // [rsp+10h] [rbp-40h] BYREF char v7[40]; // [rsp+20
常见六大Web安全攻防解析
weixin_34352449的博客
01-31 1329
前言 在互联网时代,数据安全与个人隐私受到了前所有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法。 想阅读更多优质原创文章请猛戳GitHub博客 一、XSS XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值