Buffer OverFlow

-

 Buffer OverFlow (Lỗi tràn bộ đệm)

Trong bài này mình xin phép lấy source của DownUnderCTF 2021 từ 1 anh trên mạng 😁

Các bạn lưu ý là chúng ta có Stack OverFlow(Bộ nhớ tĩnh) và Heap OverFlow (Bộ nhớ động)

I. Overview

Thứ mà bạn nhận được:

Mình sẽ dùng ida64 để view pseudo code: 
    

Đọc qua 1 lượt thấy mảng v4 cấp phát 24 phần tử dạng character và 1 variable v5. Nhưng điều bất thường ở đây bạn có thể thấy đó là chương trình yêu cầu nhập vào v4 nhưng mà lại lấy v5 mang đi so sánh 🙂. Bạn chưa phải biết gì vội hãy check xem hàm gets có chức năng gì ?
        
Khi bạn đọc xong dòng trên bạn nghĩ điều gì sẽ xảy ra nếu mình viết 25 phần tử + "\x00" or NULL byte?

Follow tiếp phần checksec của trình gỡ lỗi gdb-peda của nó: 
    
 
Thì bạn có thể thấy chế độ CANARY đã bị disable thì ta có thể kết luận chắc chắn rằng đây là lỗi Buffer OverFlow 

2. Analysis

    Thì từ ảnh ida64 ở trên bạn có thể thấy điều mình cần làm là gì:
    Đó là: 
            
    
    Debugging nó:
        

    Hy vọng bạn hiểu chúng có chức năng gì. Nếu không hiểu bạn có thể tham khảo về ngôn ngữ lắp ráp assembly. Sau đó quay lại đọc.
    Đại loại là phần này nó sẽ nhập vào gets và đến khi conditions thỏa mãn và câu lệnh system được gọi.
    Đặt breakpoint tại hàm gets b* <address> và lúc nó nó bắt đầu so sánh. Có thể thấy v5 == ... ở ảnh trên nó tương đương với cmp QWORD.... ở ảnh bên dưới như vậy có thể đoán v5 được lưu trữ tại [rbp-0x8] có địa chỉ: 0x7fffffffdf58 (bạn có thể dùng câu lệnh bên dưới để xem)


    Khi run chương trình với r thì bạn có thể thấy được địa chỉ của argument[0]: 0x7fffffffdf40

Nhấn n để chạy đến câu lệnh tiếp theo và tại đây nó yêu cầu nhập input. Bạn có thể tính được khoảng cách từ v4 ==> v5 bằng cách lấy địa chỉ của v5 trừ đi địa chỉ của v4 sau đó overflow bytes đến v5
Vậy mình sẽ bắt tay vào viết payload cho chương trình này luôn.
    

3. Payload Here


    Thì đây là thứ các bạn sẽ nhận được khi gửi payload thành công. 


Comments

Post a Comment

Popular posts from this blog

LACTF2023 - MISC

-
Image
misc/CATS!      Đọc đề, chúng ta thấy đề yêu cầu "Figure out the name of this cat heaven" có nghĩa là đi tìm tên của thiên đường mèo này, thêm nữa, phần chữ nhỏ có nói: "câu trả lời là miền của website và flag sẽ có form lactf{domain}".      Vì vậy, chúng ta sẽ dùng google image để tìm ra thiên đường mèo. Nhưng không thể tìm ra khung cảnh giống ảnh 100%, chúng ta sẽ sử dụng thiên đường có hỉnh ảnh giống 98%. Từ đó, thấy được thiên đường là Lanai Cat Sanctuary".     Flag: lactf{ lanaicatsanctuary.org} misc/EBE      Đề bài đã gợi ý rằng, "tôi" đã chỉ gửi 1 kí tự/ 1 lần truyền thông tin. Thì có nghĩa là khi chúng ta xem thông tin của một lần bắt thì chỉ có 1 ký tự, thật dễ dàng để nhận ra đó là kí tự cuối cùng của chuỗi ACSII:      Bạn có thể nhìn thấy khi ấn vào dòng Data, nó sẽ là dữ liệu được truyền đi. Và dữ liệu đó là "X". Vậy thì rất có thể flag của chúng ta sẽ được gửi bằng cách gửi từng kí tự một.  Bên ...
Read more »

NOP (No Operation)

-
 Kiến thức NOP (\x90). Khi máy tính gặp câu lệnh này trong chương trình thì nó sẽ thực hiệp câu lệnh tiếp theo và bỏ qua nó. Nếu 1 payload được padding "\x90" vào bên trái bằng NOP và phía bên phải trỏ vào EIP. Thì nó sẽ không thực hiện bất cứ instruction nào cho đến khi gặp được shellcode của tôi. Phần padding với NOP này thường được gọi là NOP slide or sled. Vì cơ bản EIP là để sliding down chúng. In x86 assembly, NOP instruction is "\x90". Lệnh NOP thực ra là thay thế cho câu lệnh XCHG EAX, EAX. Câu lệnh này là vô nghĩa. Exploit * Tôi sẽ thêm 1 lượng lớn \x90 phía bên trái * Control return pointer to point the middle of the NOPs thay vì bắt buffer from pwn import * context . binary = ELF ( './vuln' ) p = process () payload = b'\x90' * 240 # The NOPs payload += asm ( shellcraft . sh ()) # The shellcode payload = payload . ljust ( 312 , b'A' ) # Padding payload += p32 ( 0xffffcfb4 + 120 ) ...
Read more »