PWN/bot write-up LACTF2023

-

[DANGEROUS]: Cảnh báo bài này là 1 bài rất chi là "bịp" không được hỏi người viết tại sao 🙂 

PWN/BOT

I. Overview

Firstly, Overview code c: 
        
Bạn có thể thấy ở dòng 11 có 1 lỗi Stack Overflow. Và việc của bạn cần là by pass để gọi được system ra?
No, no, no. Bạn không sai ==> Chúng ta sai

Như bạn đã biết thì 1 chương trình c có điều kiện if-else cơ bản sẽ như sau:
        

thì khi mà conditions thỏa mãn thì nó sẽ dừng vòng lặp if-else và câu lệnh return 0 sẽ được gọi right ??
1 vấn đề nữa trước khi chúng ta bắt đầu vào phân tích đó là nếu bạn ko return 0 thì chương trình mặc định vẫn sẽ làm điều đó thay bạn.
       
    Oke, let's go. Bạn đã thử nhìn vào chương trình trên và thấy điều bất thường chưa :>?.
    Câu lệnh exit(1) mà tôi thấy ở dòng thứ 31 nó được định nghĩa trên manual page:
        

    Hơi, đi ngược logic 1 tí, nhưng mà khi bạn nhìn nó trong ghidra bạn sẽ hiểu tại sao chúng ta cần làm những điều trên.

II. Analysis       

    Sau khi nhìn pseudo code của nó trên ghidra bạn cũng hiểu bài này nên đi theo hướng nào rồi.
    Đó là Ret2Libc. Nếu bạn còn chưa rõ về lỗi này hãy tham khảo 2 bài blog khác của tôi: ret2win (part2) và ret2win (part 1)
    Thì việc đầu tiên cần làm đó là phân tích hàm main của nó. Tôi cũng không hiểu tại sao khi tôi dùng debugger gdb-peda thì nó lại có hàm system trong đó, còn khi dùng ghidra thì nó lại bị ẩn đi.
    Thì theo như ghidra chúng ta cần lấy được địa chỉ của hàm system:

            system_call_address = 0x000000000040129a 

    Xác định số byte từ argument đến stack(rsp):

            arg_addr = 0x7fffffffde20

            


    Thì khi mà bạn thỏa mãn condition thứ nhất của nó, nó sẽ đưa bạn đến ret instruction. Tại đây nó sẽ lấy địa chỉ ở đỉnh stack ra để gọi ==> rsp_addr = 0x7fffffffde68
        ==> Như vậy ta cần overwrite 72 byte (bao gồm cả text thỏa mãn điều kiện thứ nhất và 1 byte để strcmp kết thúc) trước khi muốn chèn địa chỉ lệnh cần thực thi vào đó.

Check again: 

    Done: 


Việc cuối cùng của chúng ta đó chính là exploit.

III.Exploit

Payload: 


Và đây chính là kết quả.....


            Goodluck, mong mn không gặp lỗi như mình nữa.

            

write by Kinabler

Comments

Post a Comment

Popular posts from this blog

LACTF2023 - MISC

-
Image
misc/CATS!      Đọc đề, chúng ta thấy đề yêu cầu "Figure out the name of this cat heaven" có nghĩa là đi tìm tên của thiên đường mèo này, thêm nữa, phần chữ nhỏ có nói: "câu trả lời là miền của website và flag sẽ có form lactf{domain}".      Vì vậy, chúng ta sẽ dùng google image để tìm ra thiên đường mèo. Nhưng không thể tìm ra khung cảnh giống ảnh 100%, chúng ta sẽ sử dụng thiên đường có hỉnh ảnh giống 98%. Từ đó, thấy được thiên đường là Lanai Cat Sanctuary".     Flag: lactf{ lanaicatsanctuary.org} misc/EBE      Đề bài đã gợi ý rằng, "tôi" đã chỉ gửi 1 kí tự/ 1 lần truyền thông tin. Thì có nghĩa là khi chúng ta xem thông tin của một lần bắt thì chỉ có 1 ký tự, thật dễ dàng để nhận ra đó là kí tự cuối cùng của chuỗi ACSII:      Bạn có thể nhìn thấy khi ấn vào dòng Data, nó sẽ là dữ liệu được truyền đi. Và dữ liệu đó là "X". Vậy thì rất có thể flag của chúng ta sẽ được gửi bằng cách gửi từng kí tự một.  Bên ...
Read more »

NOP (No Operation)

-
 Kiến thức NOP (\x90). Khi máy tính gặp câu lệnh này trong chương trình thì nó sẽ thực hiệp câu lệnh tiếp theo và bỏ qua nó. Nếu 1 payload được padding "\x90" vào bên trái bằng NOP và phía bên phải trỏ vào EIP. Thì nó sẽ không thực hiện bất cứ instruction nào cho đến khi gặp được shellcode của tôi. Phần padding với NOP này thường được gọi là NOP slide or sled. Vì cơ bản EIP là để sliding down chúng. In x86 assembly, NOP instruction is "\x90". Lệnh NOP thực ra là thay thế cho câu lệnh XCHG EAX, EAX. Câu lệnh này là vô nghĩa. Exploit * Tôi sẽ thêm 1 lượng lớn \x90 phía bên trái * Control return pointer to point the middle of the NOPs thay vì bắt buffer from pwn import * context . binary = ELF ( './vuln' ) p = process () payload = b'\x90' * 240 # The NOPs payload += asm ( shellcraft . sh ()) # The shellcode payload = payload . ljust ( 312 , b'A' ) # Padding payload += p32 ( 0xffffcfb4 + 120 ) ...
Read more »