HCTF2017的三个WriteUp

于 2022-04-02 18:57:53 发布
阅读量244 收藏
点赞数
分类专栏: 信安之路 文章标签: 网络安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247485415&idx=1&sn=a0dc2b53d746b6c1365c05adf01bd029&chksm=ec1e37cfdb69bed9e29fd8126d310c3f2a5ebbe35eb7a5a815269d00537fd642992cf0dcc04b&token=318602495&lang=zh_CN#rd
版权

0x00 题目

感觉自己还是太菜了,比赛结束前只做出来了三道题。

Evr_Q (level - 1)

guestbook (level - 2)

babystack (level - 3)

0x01 Evr_Q

程序会先要求输入 User

载入到 IDA 进行分析

但是在进行 F5 反编译的时候发生了一个错误

Decompilation failure:

413238: positive sp value has been found

解决方法就是先 undefine 掉函数,再右键选择 Code,最后 Create function 就可以正常反编译了。

可以看到 User 的输入时保存在全局数组 Str 里的,然后下面的 sub_411316() 函数进行 User 的 check

这就是这个函数的主要部分了,我先爆破出第一个循环加密后的字符串,又因为第一个循环本身只用了异或,所以爆破出来之后再循环一次就是正确的 User 了,脚本如下:

User 验证成功以后,程序又要求输入 Start Code ,其实就是 flag 。

以上就是第二次输入 flag 的进行加密和验证的地方,最后的解密我也是通过爆破完成的,不算太难,脚本如下:

其实这个程序还加了一个检测调试器和一些工具进程的回调函数,如果需要动态调试的话,可以把这个函数对应跳表位置的jmp改为ret。:P

0x02 guestbook

Arch:     i386-32-little

RELRO:    Full RELRO

Stack:    Canary found

NX:       NX enabled

PIE:      PIE enabled

程序主要有三个主要的功能

add() : 添加 guest

see() : 打印 guest 信息 - name 和 phone

del() : 删除 guest

add() 主要代码如下:

这里进行两次输入,输入 name 和 phone ,name 会保存在 bss 上,phone 会额外 malloc 一块内存进行保存。而且两个输入都有长度限制,而且 phone 还会通过 \_ctype\_b\_loc() 对字符类型进行检测,无法输入英文字母。

del():

流程比较简单:guest 标志位置 0 -> name 字段置 0 -> free 掉 phone 的内存 -> phone 的指针置 null

see():

这里通过 snprintf() 和 puts() 对 guest 的信息进行打印,snprintf() 通过格式控制先将信息打印到栈上,puts() 再将这些信息统一进行输出。

那这里就有一个问题,snprintf() 和 printf() 一样存在格式化字符串漏洞。

那我们就已经 get 到了一个格式化字符串的漏洞了。

思路:

程序保护全开,通过写 GOT 表肯定不可能了,于是我决定写 __free_hook,但是刚开始想写一个 one_gadget 完事,结果发现三个 one_gadget 都没法用,于是我在程序段找了一个栈溢出的地方,写到那里去,之后通过泄漏 text 段地址和 canary 来通过栈溢出完成攻击。

EXP:

0x03 babystack

Arch:     amd64-64-little

RELRO:    Partial RELRO

Stack:    No canary found

NX:       NX enabled

PIE:      No PIE (0x400000)

很巧的是 pwnable.tw 上也有一道题叫 babystack ,而且对于这两道题我最后的解题思想也是基本一致的。

程序功能很简单,直接看 main 的代码

程序可以接受两次输入,第一次可以接受一个指针的值,之后会有一个 printf 函数将指针指向的内容以 %lld 格式打印出来。

再之后会进入一个我重命名的叫 load_filter 的函数,这个函数的作用就是创建一个系统调用白名单,这份白名单里有:

read()

open()

exit()

其他系统调用被调用时,内核会向进程发送 SIGSYS 信号并终止进程。

这个函数完成之后会进入下一个函数(也是我重命名过的),这个函数就可以进行栈溢出。

但是这里有一个问题就是,由于系统调用被禁用了,我们没有办法正常启 shell。

思路:

这时候有两个思路:

使过滤失效或者将 execve 加入到白名单中

利用仅有的三个系统调用获取 flag

刚开始我选择将重点放在过滤上,选择了第一种思路,走了很多弯路。因为我后来调试发现用来将过滤规则载入内核的 load 函数也是被禁用的状态。

于是后来我选择了第二种思路。

先通过 open() 打开 flag 文件,再通过 read() 将内容读入内存,再找一个同时带有 cmp 和跳转到一个被禁用的系统调用前的 je 或 jnz 的这么一个 gadget(有点难懂么? XD )。

由于跳到其他系统调用时进程接收到的信号时 SIGSYS ,而程序因为无效返回地址终止时接收到的信号是 SIGSEGV

这样我们就能对内存中的 flag 内容进行爆破了。

EXP:

由于题目特殊性,exp 看看思路就好。

个人作品展

2017-NSCTF-PWN

二进制漏洞学习笔记

栈溢出利用之Return to dl-resolve

how2heap总结-上

个人简介

笔者是一名就读于成都信息工程大学的大二狗,Syclover 混吃等死只知后退不思进取二进制选手,主要学习二进制漏洞的分析和利用。

我是从大一进校之后才开始学习信安的,说实话进校之前我都不知道信息安全是干嘛的。

刚开始学习的是 php、sql 注入之类的东西,后来不知道怎么回事学到了二进制上面去 XD,觉得挺有意思,之后就一路坚持了下来。

实话就说这么多,求二进制大佬带一波 Orz。

myh0st@信安之路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCTF 2017 bin Level1 Evr_Q Writeup
atmysy的博客
11-13 751
HCTF 2017 bin Level1 Evr_Q Writeup
HCTF2017-Web-Writeup
dengzhasong7076的博客
11-14 2096
boring website 先通过扫描得到: http://106.15.53.124:38324/www.zip <?php echo "Bob received a mission to write a login system on someone else's server, and he he only finished half of the work<br /...
PWN学习笔记--HCTF2017 pwn200
I have a dream
04-25 424
参考链接:https://bbs.pediy.com/thread-224645.htm 考点:格式化字符串、GOT覆盖 思路:首先利用格式化字符串泄露出puts函数的实际地址,然后根据libc计算出system的地址。接着用得到的system的地址覆盖atoi的got地址,最后传入/bin/sh参数即可。 漏洞程序: 2017湖湘杯pwn200 漏洞利用程序: from pwn import ...
2017HCTF第一题WP
_KaQqi的博客
11-12 605
0x0 初探 先用PEID查看一下CM的信息 从图中可以发现,程序使用Debug的编译方式编译且有一个TLS回调函数。 因为程序有ASLR,不方便分析,因此我用FFI去掉后再继续分析。 1x0 分析TLS回调函数 OD载入,断在TLS入口处。 一共有四个函数,其中前两个我们需要关注一下。因为这两个函数是反调试的函数。 1x1 分析函数 0041141A CM先创建一个
HCTF writeup(web)
weixin_34261739的博客
03-08 441
蓝冰 · 2014/11/29 16:47丘比龙的最爱 10pt传说,丘比龙是丘比特的弟弟,丘比龙是一只小爱神,虽然有两只翅膀,但因为吃多了,导致身体太胖,所以飞不起来~那么问题来了?!丘比龙吃什么食物吃多了变胖了很明显了,百度一下答案是甜甜圈nvshen 100pt猫流大大发现一个女神,你能告诉我女神的名字么(名字即是flag) 下载zip后是一个疑似base64的密文,用base64解密后发现...
Writeup.rar
12-01
标题 "Writeup.rar" 暗示这可能是一个关于技术分析或解决问题的文档集合,可能是某项编程竞赛、课程作业或者编程挑战的解决方案。描述中同样提到 "Writeup.rar",意味着这个压缩包可能包含了对某个问题或项目的详细...
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。...
2023 强网杯 Writeup
最新发布
01-29
2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析和知识点总结...
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
ida报错:positive sp value has been found
for_mat_的博客
10-25 940
wmain是可以进去的,但是无法f5反编译 jmp到出错的地址处: 这里堆栈出现了问题 在427485的位置按下alt+k,对sp进行编辑 然后继续在427487的位置按下alt+k,编辑sp 此时就可以对wmain进行反汇编了 ...
IDA出现不能进行F5,”F1EC:positive sp value has been found!!!!!“的解决方法
雪一梦的博客
12-24 6573
IDA出现不能进行F5,”F1EC:positive sp value has been found!!!!!“的解决方法 一、在用IDA分析So文件,F5的时候经常会出现以上这种情况,这个时候可能是以下导致的: 1.栈sp不平衡: 比如360加固中的libjiagu.so中的虚拟机解释函数。 首先打开栈指针选项,在options---------&gt;General--------...
IDA decompilation failure - positive sp value has been found
ATree的博客
10-31 2673
最近在使用IDA分析恶意程序时,该程序使用了大量对抗静态分析的方法,使得我在分析时总是使用OD看汇编,但它里面由于call太多,跟了很多以后我都不知道这个call返回到哪里了,于是觉得还是想办法看能否F5下,转成伪代码,看着速度会快很多,于是就有了这篇文章,直接进入主题。 拿这一段代码举例说明如何处理,首先这里红色的0FF98A7B1就是对抗静态分析的一种方法,我们需要先U一下转换为未定义的...
18/09/24-2-IDA反编译失败positive sp value has been found及sp-analysis failed问题的解决
qq_39539312的博客
09-25 1555
0x00 程序链接:https://pan.baidu.com/s/1p6d4ZiBnM3bI-EnGWThtkQ 密码:21w4 0x01 问题:在使用IDA对程序进行费分析发现sp-analysis failed,以及f5反编译时出现warning。 0x02 原因:堆栈不平衡。 一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误。比如用push + n条指令 + retn来实际...
浅谈安卓逆向月报(1)- 抖音 - ida - native层F5伪代码堆栈平衡修复
wq57885的博客
11-23 2842
这章主要聊聊如何修复可以F5伪代码 以最新的抖音840的so为例,这边仅仅说下如何修复F5,解决“positive sp value has been found”错误提示。 后续的我也没深入跟进,写这篇文章仅为方便自己日后查阅。 首先inline_hook确定RegisterNatives函数地址 leviathan地址为0x4e1c1 IDA 按F5会提示“4E24E p...
解决IDA因为(Decompilation failure: positive sp value has been found)堆栈不平衡导致不可以F5的问题
iqiqiya的博客
08-22 9347
报错信息: 解决方法: 0x01:Options --&gt;General---&gt;把Stack pointer勾选上 0x02:鼠标点击上面的call   快捷键Alt+K   输入相应的值   使得下面的retn前面为0  就可以F5了   [推荐]IDA sp-analysis failed 不能F5的 解决方案之(二)-『软件逆向』-看雪安全论坛https:...
IDA为什么产生 sp-analysis failed 错误?
Jingle的专栏
03-21 9629
问:用IDA静态分析,函数结尾出现 endp ; sp-analysis failed 用F5调不出伪代码,不知道是什么原因,请问有什么解决办法没有? 答:endp ; sp-analysis failed. 一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误。比如用push + n条指令 + retn来实际跳转,而IDA会以为retn是函数要结束,结果它分析后发现调用栈不平衡,因此就
IDA反编译失败总结
寻梦&之璐
05-24 7232
文章目录call analysis failedtoo big functionpositive sp valuecannot convert to microcodelocal variable allocation failedstack frame is too big call analysis failed call analysis failed 查看函数参数 压入两个参数,但实际分析时它却只有一个 对该函数按'y'键,将其参数修改为两个,去掉三个即可 然后成功 too big fu
【jarvisoj刷题之旅】逆向题目软件密码破解-1的writeup
iqiqiya的博客
09-10 1206
刚开始PEiD查到 百度了一下说是一个壳 把我吓坏了  没见过这玩意 找了几个脱壳机发现都没用    于是直接载入IDA  但好多函数  看不懂   又载入OD 中文搜索引擎发现“你赢了” 于是在段首下断 下图是正读取输入123456789     下面是重要的一个地方 将与我们的input对比的数据抠出来 004377F1             ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值