Netcat問題 - Linux

※ 引述《luxylu ( 露西露 )》之銘言：
: 不好意思不知道該發在哪個版
: 想請教netcat的相關問題
: 最近在解一個CTF的題目
: 題目是nc xxx.xxx.xxx.xxx xxxx 之後會出現一個扔硬幣程式
: 只要連續猜對50次 就可以得到flag
: 目前我有扔硬幣的原始碼(xxx.c)跟另一個沒有副檔名的檔案(應該是shell之類）
: 我修改了xxx.c 並在我的電腦直行後 可以讓他cat flag(但我電腦沒flag)
: 我該如何利用nc 或其他的command
: 想辦法讓對方server去執行我修改過後的.c
: 或是有其它方法可以利用呢？？
: 感謝各位大大給點提示
: 先謝過了

你好

剛好看到回一下

看完原始碼可以很快地發現漏洞在 printf(name) 這一行

這個漏洞叫做 format string exploit

簡單介紹一下

你可以想想看

正常 printf 的時候 stack 會長什麼樣子


printf("%x%x%x",a,b,c);

high

-------- -------------
| arg4 | | c |
-------- -------------
| arg3 | | b |
-------- -------------
| arg2 | | a |
-------- -------------
| arg1 | | "%x%x%x" |
-------- -------------

low

現在 printf 裡面沒有參數會造成什麼問題

printf(name);

假設你輸入的 name = "%x%x%x%x%x%x%x%x%x%x%x%x";

high

-------- ------------------------------
| xxxx | | local variable1(name[128]) |
-------- ------------------------------
| xxxx | | local variable2(buf[2]) |
-------- ------------------------------
| xxxx | | local variable3(seed) |
-------- ------------------------------
| xxxx | | ..... |
-------- ------------------------------
| name | | "%x%x%x%x%x%x%x%x%x%x%x%x" |
-------- ------------------------------

low

註: stack 我畫的很簡陋中間有一些 alignment 和 function call 預留的位置

要看 server 的那隻程式是怎麼編譯的

這時候 printf 會把在 stack 上的值當作參數印出來

就可以 leak 在 stack 上的值

這之中就包含 seed 的值

要是拿到 seed 的值

就可以預測出接下來 50 次的硬幣正反面

exploit 撰寫部分

可以用 pwntools 和 ctypes

pwntools 是專門用來寫 exploit 的工具
ctypes 讓你可以模擬 srand(seed) 的行為

以下是範例

from ctypes import *
cdll.LoadLibrary("libc.so.6")
libc = CDLL("libc.so.6")
libc.srand(seed)
for i in range(50):
print(libc.rand()%2)

自己動手樂趣多XD

加油!!!

seed 的位置可以用 objdump 看

或是用 gdb debug

如果還有疑問歡迎來信



--