Anciety 0CTF/TCTF 2018 总结

前言

这次跟着lotus-r3kapig打0CTF,题目挺好,学到很多东西,无奈最后实在是菜,题目要么被队友秒了,要么完全不知道怎么下手,确实很有总结的必要。

Time based

DAY 1

第一天比较操蛋是我们除了0ctf还有个nuit du ctf要打,两个时间是重合的,比较尴尬,还好nuit du ctf只有一天,难度也还比较有限,加之队友实在给力(感谢@F0r_1st 和 @nonick) nuit du ctf我就看了个300的题,栈溢出 ROP,可是难受在最后没有write,整个题目没有用到write,也就没办法泄露,加之跳出循环只能当fread != 0x14,一旦跳出就不能再发东西了,最后@F0r_1st用shutdown秒了,这里表示对御用算命师的钦佩之情。

day1基本我就刚在那个Zer0fs上了,本来是个简单题的,主要是整个结构体好像都shuffle过,和正常的结构体顺序不太一样,最开始比较迷茫,一直以为是debug info的问题,后来发现确实是顺序有问题,就干脆自己靠init里边的信息直接猜field了,最后还算顺利,晚上基本上就逆干净了。方法本来找到的很早,逆的时候已经发现了越界读写,后来@Ne0还来帮我看了下,确认我没有找错,调了一下发现在kernel heap,应该就很确定方法了,然而我还是太菜,在我尝试了几次之后,发现cred一直在初始位置之前!!这个时候我就以为cred一定在前面,越界写又不能往前,于是开始进入无休止的不知道咋办的时期。。。直到后面@Ne0发现可以用eBPF CVE做,他调到一半我才发现。。cred是有可能在后面的,之前试的几次是运气不好,那个时候@Ne0 exp已经调试完了,然而他卡在传文件了哈哈哈哈(musl-gcc没有eBPF,gcc 编译出来文件极大),最后抢先拿到flag。可惜的是,本来想到方法的时候应该还是一血,这个时候就是二血了,比较尴尬。

DAY 2

这一天就比较尴尬了,最开始的时候有club3(web结合pwn),dragon(armhf pwn),和@nonick看了下dragon,发现我确实逆不动,大概逆了一点,猜到可能是个vm,然后就弃了,扔给了@Atum和@nonick继续搞,然后试图和@bestwing看看provision,无奈看了一天都没看懂,实在是没玩过固件什么的,流量也不是很清楚,club3确实是怪我坑了,因为多了一个回车,到最后也米有拿到binary。。。(实在对不起队友。一直以为没有/proc)还有那个house of cards确实是没想到,还好队友想到了。

总的来说

这几天比较尴尬,就第一天有一点输出,比较惨淡,不过时间还长,跟着慢慢学习吧。

Chall based

Zer0fs

  1. 不知道怎么的struct竟然shuflle过,最开始很长一段时间耽误在这个上面,着实没有什么必要,看到什么情况就处理什么情况就行了。
  2. kernel heap变动极大,之前确实没想到,差距竟然可以超过0x4000000,换句话说kernel heap的地址确实不应该太确信位置了,相对位置变动有点大。
  3. 在踩坑的过程中还试了一种方法,不过没有调完,应该接着尝试一下,就是伪造整个cred结构,task和cred不再一起,所以有时万一可以改task不能改cred,说不定可以用上。但是碰到几个问题,一个是原cred里几个kernel address似乎都不能为0,否则会null deref panic,还有一个kernel address好像还必须是kernel heap能够kfree的。(话说还不知道kfree了非kmalloc会怎样?)

club3

  1. burp发包的时候回车是有用的!!不要有行末回车!!(赛后才发现我曹)

house of cards

  1. flock 可以锁文件,但是只是锁了open,虽然发现了这个最后发现没有什么用,锁失败了会退出。。
  2. 栈上还有环境变量别忘了,碰到环境变量看看栈上能不能写过去。

dragon

  1. vm逆向经验不够(by @Atum),看看怎么提升一下逆向水平
  2. arm 怎么调试,目前还没有什么可靠的方案,可以研究一下

provisioning

  1. 彻底不会,固件逆向怎么搞?

其他

  1. house of orange 很长时间没调试了,找个时间调一下,快忘了
  2. unsorted bin 和 large bin相关的东西很久没用过了,需要复习一下
  3. ret2 dl-resolve 很久没调过了,快忘了
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 大白 设计师: CSDN官方博客
应支付0元
点击重新获取
扫码支付

支付成功即可阅读