Ret2Shellcode

-

[!] Mình khuyên bạn nên đọc phần 1 trước khi qua phần 2 mặc dù nó không liên kết với nhau nhưng bạn sẽ hiểu cách tôi exploit nó.

I. Overview

    Code c:  

        
    Buffer cấp phát 300 bytes thì tha hồ mà buffer overflow :)). Đùa thôi nếu bạn đọc bài trước thì nó cx cấp phát 1 lượng byte khá lớn hình như là 178 bytes :)). Chắc đây là đặc điểm của mấy bài shellcode thì phải nhể ?

    Checksec: 

      



                                                                                               
(bạn sử dụng vmmap với peda thì sẽ xem đc ảnh ở trên)

    Thì trên stack nơi mà ta ghi vào có quyền execute ==> Đây là lỗi shellcode.
    Như bài trước nếu bạn thử lỗi stack OverFlow thì chắc chắn nó sẽ bị lỗi. Mình cũng chưa rõ rằng tại sao nó lại xảy ra lỗi đó. Input quá dài ? Nhưng ở bài này thì lại không vấn đề gì. Lý do tại sao thì bạn tự tìm hiểu nhé 🙃

II. Analysis

    Check argument của hàm gets() ta nhận được địa chỉ: 0xffffcf44 
    addr hàm unsafe: 0x08049172
      
==> Qua 1 hồi lú lẫn thì mình xin định nghĩa lại dạng bài là ret2shellcod, nó ko phải là shellcode :))
    Vì trong phần hàm unsafe có ret nên dạng bài này được apply
    
Thì ý tưởng của bài này là ret về đoạn mã shellcode mà mình đã viết và ngắt nó bằng byte null "\x00" sau đó chèn đủ 312 kí tự và overflow địa chỉ trả về.
Ở đây mình sẽ return đến đoạn mình bắt đầu chèn shellcode.
"/bin//sh"[::-1].encode("utf-8").hex()

III. Exploit

    Mình ko rõ là source bài lỗi chỗ nào mà không ra được. Sorry bạn đọc. Mình để lại file exploit ở đây để mọi người tham khảo.




write by Kinabler

Comments

Post a Comment

Popular posts from this blog

LACTF2023 - MISC

-
Image
misc/CATS!      Đọc đề, chúng ta thấy đề yêu cầu "Figure out the name of this cat heaven" có nghĩa là đi tìm tên của thiên đường mèo này, thêm nữa, phần chữ nhỏ có nói: "câu trả lời là miền của website và flag sẽ có form lactf{domain}".      Vì vậy, chúng ta sẽ dùng google image để tìm ra thiên đường mèo. Nhưng không thể tìm ra khung cảnh giống ảnh 100%, chúng ta sẽ sử dụng thiên đường có hỉnh ảnh giống 98%. Từ đó, thấy được thiên đường là Lanai Cat Sanctuary".     Flag: lactf{ lanaicatsanctuary.org} misc/EBE      Đề bài đã gợi ý rằng, "tôi" đã chỉ gửi 1 kí tự/ 1 lần truyền thông tin. Thì có nghĩa là khi chúng ta xem thông tin của một lần bắt thì chỉ có 1 ký tự, thật dễ dàng để nhận ra đó là kí tự cuối cùng của chuỗi ACSII:      Bạn có thể nhìn thấy khi ấn vào dòng Data, nó sẽ là dữ liệu được truyền đi. Và dữ liệu đó là "X". Vậy thì rất có thể flag của chúng ta sẽ được gửi bằng cách gửi từng kí tự một.  Bên ...
Read more »

NOP (No Operation)

-
 Kiến thức NOP (\x90). Khi máy tính gặp câu lệnh này trong chương trình thì nó sẽ thực hiệp câu lệnh tiếp theo và bỏ qua nó. Nếu 1 payload được padding "\x90" vào bên trái bằng NOP và phía bên phải trỏ vào EIP. Thì nó sẽ không thực hiện bất cứ instruction nào cho đến khi gặp được shellcode của tôi. Phần padding với NOP này thường được gọi là NOP slide or sled. Vì cơ bản EIP là để sliding down chúng. In x86 assembly, NOP instruction is "\x90". Lệnh NOP thực ra là thay thế cho câu lệnh XCHG EAX, EAX. Câu lệnh này là vô nghĩa. Exploit * Tôi sẽ thêm 1 lượng lớn \x90 phía bên trái * Control return pointer to point the middle of the NOPs thay vì bắt buffer from pwn import * context . binary = ELF ( './vuln' ) p = process () payload = b'\x90' * 240 # The NOPs payload += asm ( shellcraft . sh ()) # The shellcode payload = payload . ljust ( 312 , b'A' ) # Padding payload += p32 ( 0xffffcfb4 + 120 ) ...
Read more »