本文详细介绍了如何解决一个CTF挑战,涉及的主要技术包括alarm函数、格式化字符串漏洞和shellcode执行。通过理解程序流程,利用main函数中的内存泄露和sub_400BB9()的格式化字符串漏洞,找到并修改内存中的值,最终通过shellcode获取flag。解题过程中还提到了64位程序中%n的使用和偏移量计算,并给出了两种不同的解决方案。
攻防世界string应该是新手区数一数二的难题,难点在理解程序流程。
先观察主函数:
alarm函数
什么是alarm函数?
如上图所示,在做一些pwn题的时候,我们有时会遇到alarm(0x3Cu)函数。alarm函数中的参数0x3Cu是十六进制无符号数,即十进制对应60,所以该函数的作用是在程序运行60秒后,给进程发送SIGALRM信号,如果不另编写程序接受处理此信号,则默认结束此程序。
为什么要使用alarm函数?
一是比赛中常要远程连接服务器解题,官方不希望有队伍长时间解不出来题浪费服务器资源
二是能对动态调试产生一定影响,干扰选手解题
关闭alarm函数的方法
在命令行里:
# 将程序名为ProgrammName中的alarm替换为isnan
> sed -i s/alarm/isnan/g ./ProgrammName
不过这道题alarm函数对于程序影响不大,可以不用关闭。
程序流程
如图,系统分配内存给v4,v4数组里的内容分别是68和85。
main函数中重点关注
程序把v4和v4+1的地址给泄露出来了。
程序继续进入sub_400D72(),提示输入name后进入sub_400A7D(),这里不再赘述,不选择east和1就会被干掉。
选择east和1后我们进入sub_400BB9()
这里发现格式化字符串漏洞。
最后进入sub_400CA6()
发现若a1[0]等于a1[1],就可将v1变成可执行函数
(mmap是一种内存映射文件的方法),可通过read函数读入一串机器码,然后运行,这相当于是把shellcode送你脸上来了。
#综合分析
shellcode
我们的目的是拿到flag,此题中没有system函数,因此需要通过shellcode得到flag,而在sub_400CA6()中可以执行shellcode。
shellcode =asm(shellcraft.sh())
r.send(shellcode)
但是这几句有些时候会出错,在from pwn import *后加入如下语句则不会出错。
context(arch='amd64', os='linux', log_level='debug')
shellcode的条件
在程序流程中我们分析到了,必须满足a1[0]=a1[1]才能进行shellcode,因此我们接下来的目标就是让这两个值相等。sub_400CA6()中传入了a指针参数,因此a1[0],a1[1]其实就是v4[0]和v4[1],传递过程是通过sub_400D72传入到sub_400CA6()。
那么我们接下来的任务就是让v4[0]=v4[1]。
在分析程序流程时我们提到过,程序在main函数里泄露过v4的地址,而程序又在sub_400BB9()中存在格式化字符漏洞,那我们就可以得到v4地址后将v4[0]的值通过格式化字符串漏洞改为和v4[1]相等
1.得到v4的地址
r.recvuntil("secret[0] is ")
addr = int(r.recvuntil('\n')[
最低0.47元/天 解锁文章
扫一扫
430
到【灌水乐园】发言
