PlaidCTF 2022 coregasm writeup

最新推荐文章于 2024-10-16 22:28:24 发布
最新推荐文章于 2024-10-16 22:28:24 发布
阅读量869 收藏
点赞数 1
分类专栏: reverse 文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41866334/article/details/124100130
版权

题目给了elf文件coregasm 和它crash以后的coredump文件,我们需要利用coredump文件里的信息来逆向elf文件。这一题分成四个部分:

在这里插入图片描述

flag1

这是最简单的,因为crash后的coredump文件里一定是有异或了0xa5的flag1. 所以我们直接对于整个coredump文件异或0xa5, 就找到了flag1 。

flag2

在这里插入图片描述
找到我们发现这部分的加密用到了从./otp里读取的数据,这部分数据也应该残留在了coredump文件里。 用010Editer打开人工翻翻找到了0x80长度的数据如下:
请添加图片描述

import base64
import string
flag1 = b'PCTF{banana_banana}\x00                                            '

# flag1 = [int.from_bytes(flag1[i:i+8],'little') for i in range(0,64,8)]

xrn = [0x80083ED7E794313B,0x75136EBBBF60734F,0x6C46A704AF4D8380,0xC1991AB8C1674BBF,0xDC0B819132401105,0xAF4464465D7D4DC0,0x9EAD54BD51956632,0xC4D2C981312F974]
xrn = b''.join([i.to_bytes(8,'little') for i in xrn])
def xor(a,b):
    assert(len(a)==len(b))
    return [a[i]^b[i] for i in range(len(b))]
tmp = xor(xrn,flag1)
# print(tmp)
with open("core","rb") as f:
    con = f.read()
    

num = 'G4Ay2niMDfJlxqAyl7/afx8n+/F9ZSje0YF+CIKn7AEKQBD1OBdjZ+pOuiB/EEjaQGvAiW6GJHJLDLmJgUyjOTsxlOfXPgiAT3NgyrtuE3WAgxTNRekHIv5KJYD2W9eAWDFAMpGBC9zATX1dRmRErzJmlVG9VK2edPkSE5gsTQw='
num = base64.b64decode(num)

print(bytes(xor(tmp,num[64:128]))) # b'PCTF{banana*banana$banana!banana}\x00                              '

flag3

请添加图片描述

flag3 一开始一直卡住了,因为发现后面这些赋值的信息是不够的, 它只能推出:s[1]+s[0], s[6]*s[7] 和s[12]==s[13] 这些信息,而且coredump文件里也没有额外的信息,这明显是推不出flag的。因此怀疑前面还有信息。 去找了找flag4的加密函数(截图在下文中),发现flag4最后赋值时每个u_int64都是一样的。

因此我们可以通过s[1]+s[0]的值以及,s[0]=‘PCTF’ 推出这个一样的值,最后正着推出整个flag3.

PCTF{bananabnanbnanannanbnabnnabnanbnanbnanbnabanananananba}

flag4

请添加图片描述
这个逆向是关于intel fst浮点数计算。 这个伪代码翻译的挺差的,其实看汇编指令会更加清楚一点。 事实上程序把flag每六个字节取出来放在double的后六个字节,前面补上0x3fff,然后将double转成long double
形式做连加和连乘。 由于整个程序在crash之前只有这里用到了st寄存器,因此我们可以从coredump里获得8个st寄存器的值。具体做法是命令行运行gdb coregasm coredump 然后info all-register
请添加图片描述
接下来我们调试一下这个elf文件coregasm,发现fmulp st(1), st指令中的pop 并不是直接把st(0) 删除,而是所有其他寄存器都往上pop一步,同时原来的st(0)赋值给了st(7) 。 因此留下来的8个寄存器的值分别代表什么就很清楚了. st(0)是八个数字的和,而st(1)-st(7) 分别是乘积。

因此写出solve代码,利用union可以对一块内存做出两种解释。

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

union LDC
{
   long double f;
   unsigned char s[10];
};

union DC
{
   double f;
   unsigned char s[8];
};

int main(){
    union LDC st[8];
    int i, j;
    union DC tmp;

    memcpy(st[0].s,"\x00M\x01\x1cX\xe7\x86\xfa\x02@",10);
    memcpy(st[1].s,"\xf5\xbf\x8d\x80+\xf2\xd4\xd6\x06@",10);
    memcpy(st[2].s,"\xce\x05\xb0\xb4\xef\xa3\xe3\x9d\n@",10);
    memcpy(st[3].s,"c\x9c\x83@\xaf\t_\xc1\r@",10);
    memcpy(st[4].s,"\xbeR8ro\x03p\xbd\x10@",10);
    memcpy(st[5].s,"x\xb5,\x15\xb4' \x8b\x13@",10);
    memcpy(st[6].s,"\x8f\x84\xf5\x89<\xc9\n\x88\x15@",10);
    memcpy(st[7].s,"\xb3\xc5\xf7\"qd\xa4\x85\x16@",10);

    for(i = 7; i >= 1; i--)
    {
        st[i].f /= st[i-1].f;
    }

    for(i = 0; i < 7; i++)
    {
        st[i].f -= st[i+1].f;
    }
    
    for(i = 7; i >= 0; i--)
    {
        tmp.f = st[i].f;
        for (j = 0; j <= 5; j++)
            printf("%c", tmp.s[j]);
    }
	printf("\n"); //PCTF{orange%zou&gl`d$i!dldn't^pay#bapana*aeain}
    return 0;
}
1mmorta1
关注
专栏目录
plaidctf-2016 unix_time_formatter uaf漏洞分析
小强的博客
11-15 989
源代码下载及其他writeup参考: https://github.com/ctfs/write-ups-2016/tree/master/plaidctf-2016/pwnable/unix_time_formatter-76 直接去print_time函数(自定义)查看: 在system中执行command命令,command字符串通过snprin
PlaidCTF CTF 2015 pwn160
Vccxx的博客
04-14 823
PlaidCTF CTF 2015 pwn160格式化字符串漏洞之前指针没有理解好,所以理解这题的攻击花了不少功夫,记录一下思路:程序中的sprintf第三个参数format由我们控制,存在明显的格式化字符串漏洞。这个程序给了一个全局buf,大小为1024字节,可以植入shellcode,主要的难点是如何将某个函数的返回地址(脚本中写的是make_response返回地址)改成buf中的地址。这里用
plaidctf-2016 Pwn试题小结
weixin_30721899的博客
11-21 310
回顾了一下今年plaidctf Pwn部分的题目,感觉还是蛮有意思的,值得研究一下。 1.unix_time_formatter-76 最简单的一道题,考点是UAF。说是UAF但是其实根本就不算是真正的UAF利用,无非就是对释放的内存块进行同大小的占位。因为程序中会把内存块的内容作为system函数的参数,所以只要重新占位并写入/bin/sh就可以了,这道题还是相当简单的。 2.butter...
2015 plaidctf datastore(off by one)
Maxmalloc的博客
08-04 678
1、检查 [*] '/home/yzl/Documents/off_by_one/datastore' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled FORTIFY: E...
这些CTF,不仅学技术,还有巨额奖金!
weixin_68789096的博客
06-18 980
不会吧,不会吧,不会还有安全er不知道CTF是什么吧?哈哈,跟大家开个玩笑。金庸武侠小说中,武林高手要么举办华山论剑,要么召开武林大会,通过这些盛会和比赛来切磋武力值。在程序员的世界里,也有ACM这样的编程大赛,成为各路编程高手一较高下展示能力的平台。那在网络安全的圈子里,各路黑客红客白帽子们又是如何秀出他们的狂拽炫酷吊炸天的技术的呢?这就是本文的主题:CTF。CTF(Capture The Flag)中文翻译就是夺旗比赛,这是网络安全领域技术人员之间进行技术竞技的一种比赛形式。
2022强网杯CTF---强网先锋 ASR wp
3tefanie丶zhou的博客
07-31 1844
【有些不愿开口与人说的委屈,来自得不到身边人的回应,种种期许、憧憬、愿望之心声,在心中如擂鼓,响彻自己天地间。心外却哑然,永远寂静无声,这就像一个人把嗓子喊哑了,身边还是无人听见,这个人就会越来越不喜欢说话,一直沉默下去,直到变成一个哑巴。】
*CTF 2022 | 这*CTF打了有什么效果吗?
Cyberpeace的博客
03-21 578
听说*CTF 2022定在04月16日了......这是可以说的吗?
【picoCTF2022】Web部分
Sparks_Pion的博客
03-27 1148
Includes picoCTF{1nclu51v17y_1of2_f7w_2of2_5a94a145} Inspect HTML picoCTF{1n5p3t0r_0f_h7ml_b101a689} Local Authority picoCTF{j5_15_7r4n5p4r3n7_b964a657} Search source 保存网页,直接搜 Forbidden Paths 路径穿越 Power Cookie 重载函数 Roboto Sans 扫网站 看 robots.txt b
[CTF]-PatriotCTF2022复现
Mr.木Mu
05-27 1425
PatriotCTF2022复现前言MiscApplesIt's All Greek to MeCryptoBarryBase64 Times 10No Postcode EnvyThe OrderTwoFiftyForensicsBannerBézierExfilFlexiSession SpyWebBoot_it_and_root_itChewy or CrunchyCurly FryInspectorClouseauLockedNot So SecretspongebobRock and Roll总结
[*CTF2022]web题目复现及wp
cosmoslin的博客
04-21 2438
WEB oh-my-grafana 搜一下相关漏洞,CVE-2021-43798 尝试读取文件 /public/plugins/alertlist/../../../../../../../../var/lib/grafana/grafana.db /public/plugins/alertlist/../../../../../../../../etc/grafana/grafana.ini # disable creation of admin user on first start of graf
Linux介绍及常用命令
小旺的博客
10-16 1065
1969 年,AT&T 公司的⻉尔实验室P MIT 合作开发的 Unix,í在于创建⼀个⽤于⼤型、并⾏、多⽤户的操作系统Unix 的推⼴:从学校⾛进企业Unix 的版本要两个:AT&T System V ——就是俗称的 系统 5linux是一种操作系统1991 年,芬兰赫尔⾟基⼤学的学⽣ Linus Torvals 为了能在家⾥的 PC 机上使⽤与学校⼀的操作系统,开始编写了类 UNIX.
linux逻辑卷扩容增加空间
放荡不羁爱自由
10-13 301
背景是使用vmware虚拟机安装的centos系统,在上面安装了mysql数据库为了测试千万级表模拟数据然后磁盘不够用了需要扩容。
Linux】解读信号的本质&相关函数及指令的介绍
YYDsis的博客
10-14 775
一.信号的本质与相关概念1.体现中断的例子:.系统定义的信号列表1.用kill -l命令可以察看系统定义的信号列表2.(ps&kill&raise&abort)进程指令&信号相关函数【总结】【1】ps指令【2】kill&raise函数介绍与演示【3】abort函数介绍与演示三.产生信号的四种方式1.通过终端按键产生信号(Core Dump)2.调用系统函数向进程发信号3.由软件条件产生信号4.硬件异常产生信号
Linux】ioctl分析
目标:MVP
10-14 1092
一个字符设备驱动通常会实现常规的openreleaseread和write接口,但是如果需要扩展新的功能,通常以ioctl接口的方式实现。fill:#333;user spacevfsdriverioctl()ulocked_ioctl()或compat_ioctl()user spacevfsdriver。
Linux动静态库
2301_76197086的博客
10-13 1127
详解Linux系统中的动静态库生成和使用,以及可执行程序运行时与动态库进行动态链接的原理
Linux--firewalld服务
Menimeky的专栏
10-16 950
firewalld是CentOS 7.0新推出的管理netfilter的用户空间软件工具firewalld是配置和监控防火墙规则的系统守护进程。可以实iptables,ip6tables,ebtables的功能firewalld服务由firewalld包提供firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则先根据数据包中源地址,将其纳为某个zone纳为网络接口所属zone纳入默认zone,默认为public zone,管理员可以改为其它zone。
Linux:进程状态
最新发布
2301_79171011的博客
10-16 1102
相对应地,在Windows操作系统中,当用户将一个耗时的任务,如下载大文件,最小化其窗口后,该任务便在后台运行。当CPU要调度pid为1的进程时,我们假设使用最简单的FIFO(先进先出)调度算法,那么CPU会到runqueue队列中找到第一个task_struct对象,获取该进程main函数地址和数据,放到CPU的寄存器中,并执行该进程。但是由于处于运行状态的进程太多而导致内存资源不足,而运行队列尾部的进程一段时间都不会被调度,操作系统就会将这些进程放到磁盘中的swap分区,此时进程状态叫做运行挂起状态。
Linux】了解pthread线程库,清楚并没有线程创建接口,明白Linux并不存在真正意义的线程(附带模型图详解析)
YYDsis的博客
10-16 569
一.Linux不存在真正的线程(没有实体):Linux并没有提供thread_struct结构体(TCB) 二.了解线程pthread原生线程库:不会直接提供线程创建的接口1.pthread原生线程库不提供线程创建接口2.从Linux系统模型角度看看我们创建的线程三.线程与进程相关知识点1.线程的官方概念&进程的对比2.线程准确定义&运行本质
PetaLinux工程的常用命令——petalinux-build
Tesseract_9527的博客
10-15 579
petalinux-build:编译项目或指定组件。
Linux C接口编程入门之ioctl操作
2301_76587520的博客
10-16 356
Linux C接口编程入门之ioctl操作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值