Incognito 4.0 CTF (Pwn/babyFlow)

-

I. Overview




=> Nghĩ ngay lỗi ret2win mà tôi đã phân tích trong các blog trước bạn có thể xem lại nó trước khi xem tôi làm bài này 🙂

    II. Analysis

hàm vulnerable_function:
   

argument_address(src) khi hàm gets được gọi: 0xffffd070
argument_address(dest) khi hàm ctrcpy được gọi: 0xffffd044
ret_address khi hàm ret được gọi: 0xffffd05c

Khoảng cách từ src => dest: 44 bytes
Khoảng cách từ src => ret_addr: 20 bytes
Khoảng cách từ dest_addr => ret_addr: 24 bytes

=> STACK:     dest_addr     ==>     ret_addr     ==>     src
Script để khai thác: Nhập 24 bytes + địa chỉ của hàm get_shell(0x080491fc)

III. Payload


Success: 


Comments

Post a Comment

Popular posts from this blog

Ret2Win (phần 2)

-
Image
 RET TO WIN Mình nhặt được challenge này trên mạng: View source code c của đề:  Thoạt nhìn qua thì ta có thấy hàm void flag() không hề được nhắc đến or gọi ở hàm void main() ==> Như ở phần 1 thì chắc hẳn là các bạn nghĩ ngay phải ret nó vào hàm main để nó  puts ( " Exploited!!!!! " ); . Ngoài ra thì chúng ta vẫn còn 1 lỗi nữa là Stack Overflow. Nếu bạn nào đã xem được phần 1 thì bạn có thể dừng ở đây và tập thực hành với bài này.  Cú pháp để compiler nó gcc source.c -o vuln -no-pie -fno-stack-protector -z execstack -m32   I. Start     1. Checksec               2. Analysis          Set breakpoint at  0x0804919d of gets function  and  0x080491aa of ret instruction          Run this program with debugger gdb-peda:                We will have an arguments to use for gets function. It at  0xffffd078....
Read more »

Ret2Shellcode

-
Image
[!] Mình khuyên bạn nên đọc phần 1 trước khi qua phần 2 mặc dù nó không liên kết với nhau nhưng bạn sẽ hiểu cách tôi exploit nó. I. Overview     Code c:                 Buffer cấp phát 300 bytes thì tha hồ mà buffer overflow :)). Đùa thôi nếu bạn đọc bài trước thì nó cx cấp phát 1 lượng byte khá lớn hình như là 178 bytes :)). Chắc đây là đặc điểm của mấy bài shellcode thì phải nhể ?     Checksec:                                                                                                           (bạn sử dụng vmmap với peda thì sẽ xem đc ảnh ở trên)      Thì trên stack nơi mà ta ghi vào có quyền execute ==> Đây là lỗi shellcode. ...
Read more »

LACTF2023 - MISC

-
Image
misc/CATS!      Đọc đề, chúng ta thấy đề yêu cầu "Figure out the name of this cat heaven" có nghĩa là đi tìm tên của thiên đường mèo này, thêm nữa, phần chữ nhỏ có nói: "câu trả lời là miền của website và flag sẽ có form lactf{domain}".      Vì vậy, chúng ta sẽ dùng google image để tìm ra thiên đường mèo. Nhưng không thể tìm ra khung cảnh giống ảnh 100%, chúng ta sẽ sử dụng thiên đường có hỉnh ảnh giống 98%. Từ đó, thấy được thiên đường là Lanai Cat Sanctuary".     Flag: lactf{ lanaicatsanctuary.org} misc/EBE      Đề bài đã gợi ý rằng, "tôi" đã chỉ gửi 1 kí tự/ 1 lần truyền thông tin. Thì có nghĩa là khi chúng ta xem thông tin của một lần bắt thì chỉ có 1 ký tự, thật dễ dàng để nhận ra đó là kí tự cuối cùng của chuỗi ACSII:      Bạn có thể nhìn thấy khi ấn vào dòng Data, nó sẽ là dữ liệu được truyền đi. Và dữ liệu đó là "X". Vậy thì rất có thể flag của chúng ta sẽ được gửi bằng cách gửi từng kí tự một.  Bên ...
Read more »