Format String (part1)

-

1. Knowledge

 printf("%s", input) => in ra chuỗi input (tham số đầu tiên sau format string)

printf("%s") => in ra 1 giá trị chuỗi nào đó tại tham số đầu tiên - địa chỉ thứ 1(tính từ 0) trên stack (32bit)

Còn đối với kiến trúc 64 bit, tham số đầu tiên sẽ không nằm trên stack mà nó sẽ năm hết trên thanh ghi sau đó mới ghi đến stack.

printf("%30$s") => in ra địa chỉ chuỗi tại tham số thứ 30

- địa chỉ thứ 30 (tính từ 0) trên stack (32bit)

printf("%6$p") => in ra giá trị tại tham số thứ 6

(địa chỉ or giá trị) dưới dạng 0x? thập lục phân

printf("%6$x") => in ra giá trị tại tham số thứ 6

(địa chỉ or giá trị) dưới dạng thập lục phân (không có 0x)

2. Hướng exploit

- Có thể tự do in ra 1 địa chỉ nào đó trong vùng nhớ (stack) của chương trình ("%6$x", "%22$p")

- Có thể tự do in ra 1 giá trị chuỗi kí tự nào đó tại một địa chỉ trong vùng nhớ của chương trình ("%30$s")

- Có thể thay đổi giá trị tại 1 địa chỉ nào đó đã biết trong chương trình ("%8$n", "%15$hn", "%16$hhn")

I. Overview


=> No Shellcode, no insert onto stack, address fixed.

Dòng 32 nói rõ hướng khai thác của chương trình. 
Trước tiên thì mình sẽ đi tạo 1 file flag.txt
Và chúng ta có thêm 3 hàm sau đây trong chương trình



II. Analysis

Nhìn vào chương trình kia thì các bạn cũng sẽ biết lỗi nó nằm ở hàm nào. Sau đó disassembly hàm đó và đặt breakpoint tại hàm print()
   

Sau đó thực hiện leak địa chỉ như ở phần knowledge. Đầu tiên mình thử với %x để leak:

Và kết quả mình nhận được:

Sau đó mình thử tiếp với nhiều %x hơn:
    
Và kết quả mình nhận được: 
    

Giá trị leak được này gần như trùng với giá trị mà bạn thấy trên stack ở đây
Bạn đã thử tách giá trị mà mình leak được kia ra chưa ? Đó là | a | 4 |  565556f9 |
Vậy là bạn có thể leak được giá trị stack từ đầu đến cuối :))
Kiểm tra stack với stack 50
thì phát hiện nội dung mà tôi đã nhập nó vào file flag.txt ở trên stack. Nên tôi sẽ thực hiện đếm và leak đến kí tự đó

III. Exploit


Và kết quả nhận được:

So easy because it has 32bit architecture :)))

write by Kinabler









Comments

Post a Comment

Popular posts from this blog

LACTF2023 - MISC

-
Image
misc/CATS!      Đọc đề, chúng ta thấy đề yêu cầu "Figure out the name of this cat heaven" có nghĩa là đi tìm tên của thiên đường mèo này, thêm nữa, phần chữ nhỏ có nói: "câu trả lời là miền của website và flag sẽ có form lactf{domain}".      Vì vậy, chúng ta sẽ dùng google image để tìm ra thiên đường mèo. Nhưng không thể tìm ra khung cảnh giống ảnh 100%, chúng ta sẽ sử dụng thiên đường có hỉnh ảnh giống 98%. Từ đó, thấy được thiên đường là Lanai Cat Sanctuary".     Flag: lactf{ lanaicatsanctuary.org} misc/EBE      Đề bài đã gợi ý rằng, "tôi" đã chỉ gửi 1 kí tự/ 1 lần truyền thông tin. Thì có nghĩa là khi chúng ta xem thông tin của một lần bắt thì chỉ có 1 ký tự, thật dễ dàng để nhận ra đó là kí tự cuối cùng của chuỗi ACSII:      Bạn có thể nhìn thấy khi ấn vào dòng Data, nó sẽ là dữ liệu được truyền đi. Và dữ liệu đó là "X". Vậy thì rất có thể flag của chúng ta sẽ được gửi bằng cách gửi từng kí tự một.  Bên ...
Read more »

NOP (No Operation)

-
 Kiến thức NOP (\x90). Khi máy tính gặp câu lệnh này trong chương trình thì nó sẽ thực hiệp câu lệnh tiếp theo và bỏ qua nó. Nếu 1 payload được padding "\x90" vào bên trái bằng NOP và phía bên phải trỏ vào EIP. Thì nó sẽ không thực hiện bất cứ instruction nào cho đến khi gặp được shellcode của tôi. Phần padding với NOP này thường được gọi là NOP slide or sled. Vì cơ bản EIP là để sliding down chúng. In x86 assembly, NOP instruction is "\x90". Lệnh NOP thực ra là thay thế cho câu lệnh XCHG EAX, EAX. Câu lệnh này là vô nghĩa. Exploit * Tôi sẽ thêm 1 lượng lớn \x90 phía bên trái * Control return pointer to point the middle of the NOPs thay vì bắt buffer from pwn import * context . binary = ELF ( './vuln' ) p = process () payload = b'\x90' * 240 # The NOPs payload += asm ( shellcraft . sh ()) # The shellcode payload = payload . ljust ( 312 , b'A' ) # Padding payload += p32 ( 0xffffcfb4 + 120 ) ...
Read more »