Ret và Ret2Win

-

 Sơ lược về lệnh RET và lỗi Ret2Win

1. Analysis

Để mọi người hiểu rõ hơn. Mình xin lấy bài easybin ở GrapCON CTF 2021. 

Analysis main function: 

Main function không hề đề cập đến hàm vuln ở chương trình của nó. Chúng ta cần phải can thiệp vào chương trình để hàm trả về của nó sẽ là hàm vuln.

Khai thác tiếp theo thì mình thấy được ở chương trình này còn 1 lỗi nữa ở đây: 

Đó chính là Stack OverFlow. Hàm gets thể kiểm soát được được số lượng input được nhập vào. Chính vì vậy ta có thể ghi đè lên stack địa chỉ của hàm vuln. 
Chế độ bảo vệ stack CANARY ,NX, PIE, FORTIFY đều đã bị disable. Trong đó FORTIFY dùng cho lỗi GOT overwrite mình sẽ cố tìm hiểu nó ở những bài viết sau. 
Vì vậy kịch bản khai thác chương trình của chúng ta sẽ là:
    1. Tìm được địa chỉ của hàm vuln
    2. Tính địa chỉ từ lúc nó được nhập đến câu lệnh ret
    3. Overwrite địa chỉ đó lên stack
    4. RET nó và lấy shell.

2. Exploit.

A. Check vuln address

    Đây là địa chỉ đầu tiên của hàm vuln ---> [vuln] = 0x0000000000401146 

B. Calc byte to overwrite [ret - get]

    Đầu tiên set breakpoint tại hàm gets và ret bằng b* <address> sau đó continue c để tìm argument của nó:
    

    Địa chỉ argument của nó chính là 0x7fffffffdf50 
    Và địa chỉ trên đỉnh stack để hàm ret gọi nó là RSP = 0x7fffffffdf88
   
    +----------------------------------------------------------------------------+
    |  0x7fffffffdf50 |         ...        |         ...       | 0x7fffffffdf88   |
    +----------------------------------------------------------------------------+
                ^                                                                ^
        argument                                                        stack

    Hiểu đơn giản thì bạn có thể nhìn sơ đồ trên --> số byte cần overwrite : 
        
                stack - argument = 56 bytes

    C. Overwrite byte onto stack

    Check thử bằng gdb-peda
    Khi mà bạn muốn overwrite nó lên stack thì bạn cần 1 payload đủ 56 byte + 8 byte trên             đỉnh stack tức là đỉnh đó sẽ chứa 8 byte đằng sau kia.
    Thì ret instruction sẽ lấy 8 byte đó để chạy chương trình

3. Payload here


        Thì đây là những gì mà bạn nhận được 🙂

Comments

Post a Comment

Popular posts from this blog

Ret2Win (phần 2)

-
Image
 RET TO WIN Mình nhặt được challenge này trên mạng: View source code c của đề:  Thoạt nhìn qua thì ta có thấy hàm void flag() không hề được nhắc đến or gọi ở hàm void main() ==> Như ở phần 1 thì chắc hẳn là các bạn nghĩ ngay phải ret nó vào hàm main để nó  puts ( " Exploited!!!!! " ); . Ngoài ra thì chúng ta vẫn còn 1 lỗi nữa là Stack Overflow. Nếu bạn nào đã xem được phần 1 thì bạn có thể dừng ở đây và tập thực hành với bài này.  Cú pháp để compiler nó gcc source.c -o vuln -no-pie -fno-stack-protector -z execstack -m32   I. Start     1. Checksec               2. Analysis          Set breakpoint at  0x0804919d of gets function  and  0x080491aa of ret instruction          Run this program with debugger gdb-peda:                We will have an arguments to use for gets function. It at  0xffffd078....
Read more »

Ret2Shellcode

-
Image
[!] Mình khuyên bạn nên đọc phần 1 trước khi qua phần 2 mặc dù nó không liên kết với nhau nhưng bạn sẽ hiểu cách tôi exploit nó. I. Overview     Code c:                 Buffer cấp phát 300 bytes thì tha hồ mà buffer overflow :)). Đùa thôi nếu bạn đọc bài trước thì nó cx cấp phát 1 lượng byte khá lớn hình như là 178 bytes :)). Chắc đây là đặc điểm của mấy bài shellcode thì phải nhể ?     Checksec:                                                                                                           (bạn sử dụng vmmap với peda thì sẽ xem đc ảnh ở trên)      Thì trên stack nơi mà ta ghi vào có quyền execute ==> Đây là lỗi shellcode. ...
Read more »

LACTF2023 - MISC

-
Image
misc/CATS!      Đọc đề, chúng ta thấy đề yêu cầu "Figure out the name of this cat heaven" có nghĩa là đi tìm tên của thiên đường mèo này, thêm nữa, phần chữ nhỏ có nói: "câu trả lời là miền của website và flag sẽ có form lactf{domain}".      Vì vậy, chúng ta sẽ dùng google image để tìm ra thiên đường mèo. Nhưng không thể tìm ra khung cảnh giống ảnh 100%, chúng ta sẽ sử dụng thiên đường có hỉnh ảnh giống 98%. Từ đó, thấy được thiên đường là Lanai Cat Sanctuary".     Flag: lactf{ lanaicatsanctuary.org} misc/EBE      Đề bài đã gợi ý rằng, "tôi" đã chỉ gửi 1 kí tự/ 1 lần truyền thông tin. Thì có nghĩa là khi chúng ta xem thông tin của một lần bắt thì chỉ có 1 ký tự, thật dễ dàng để nhận ra đó là kí tự cuối cùng của chuỗi ACSII:      Bạn có thể nhìn thấy khi ấn vào dòng Data, nó sẽ là dữ liệu được truyền đi. Và dữ liệu đó là "X". Vậy thì rất có thể flag của chúng ta sẽ được gửi bằng cách gửi từng kí tự một.  Bên ...
Read more »