※ 引述《luxylu ( 露西露 )》之銘言:
: 不好意思不知道該發在哪個版
: 想請教netcat的相關問題
: 最近在解一個CTF的題目
: 題目是nc xxx.xxx.xxx.xxx xxxx 之後會出現一個扔硬幣程式
: 只要連續猜對50次 就可以得到flag
: 目前我有扔硬幣的原始碼(xxx.c)跟另一個沒有副檔名的檔案(應該是shell之類)
: 我修改了xxx.c 並在我的電腦直行後 可以讓他cat flag(但我電腦沒flag)
: 我該如何利用nc 或其他的command
: 想辦法讓對方server去執行我修改過後的.c
: 或是有其它方法可以利用呢??
: 感謝各位大大給點提示
: 先謝過了
你好
剛好看到回一下
看完原始碼可以很快地發現漏洞在 printf(name) 這一行
這個漏洞叫做 format string exploit
簡單介紹一下
你可以想想看
正常 printf 的時候 stack 會長什麼樣子
printf("%x%x%x",a,b,c);
high
-------- -------------
| arg4 | | c |
-------- -------------
| arg3 | | b |
-------- -------------
| arg2 | | a |
-------- -------------
| arg1 | | "%x%x%x" |
-------- -------------
low
現在 printf 裡面沒有參數會造成什麼問題
printf(name);
假設你輸入的 name = "%x%x%x%x%x%x%x%x%x%x%x%x";
high
-------- ------------------------------
| xxxx | | local variable1(name[128]) |
-------- ------------------------------
| xxxx | | local variable2(buf[2]) |
-------- ------------------------------
| xxxx | | local variable3(seed) |
-------- ------------------------------
| xxxx | | ..... |
-------- ------------------------------
| name | | "%x%x%x%x%x%x%x%x%x%x%x%x" |
-------- ------------------------------
low
註: stack 我畫的很簡陋中間有一些 alignment 和 function call 預留的位置
要看 server 的那隻程式是怎麼編譯的
這時候 printf 會把在 stack 上的值當作參數印出來
就可以 leak 在 stack 上的值
這之中就包含 seed 的值
要是拿到 seed 的值
就可以預測出接下來 50 次的硬幣正反面
exploit 撰寫部分
可以用 pwntools 和 ctypes
pwntools 是專門用來寫 exploit 的工具
ctypes 讓你可以模擬 srand(seed) 的行為
以下是範例
from ctypes import *
cdll.LoadLibrary("libc.so.6")
libc = CDLL("libc.so.6")
libc.srand(seed)
for i in range(50):
print(libc.rand()%2)
自己動手樂趣多XD
加油!!!
seed 的位置可以用 objdump 看
或是用 gdb debug
如果還有疑問歡迎來信
--
: 不好意思不知道該發在哪個版
: 想請教netcat的相關問題
: 最近在解一個CTF的題目
: 題目是nc xxx.xxx.xxx.xxx xxxx 之後會出現一個扔硬幣程式
: 只要連續猜對50次 就可以得到flag
: 目前我有扔硬幣的原始碼(xxx.c)跟另一個沒有副檔名的檔案(應該是shell之類)
: 我修改了xxx.c 並在我的電腦直行後 可以讓他cat flag(但我電腦沒flag)
: 我該如何利用nc 或其他的command
: 想辦法讓對方server去執行我修改過後的.c
: 或是有其它方法可以利用呢??
: 感謝各位大大給點提示
: 先謝過了
你好
剛好看到回一下
看完原始碼可以很快地發現漏洞在 printf(name) 這一行
這個漏洞叫做 format string exploit
簡單介紹一下
你可以想想看
正常 printf 的時候 stack 會長什麼樣子
printf("%x%x%x",a,b,c);
high
-------- -------------
| arg4 | | c |
-------- -------------
| arg3 | | b |
-------- -------------
| arg2 | | a |
-------- -------------
| arg1 | | "%x%x%x" |
-------- -------------
low
現在 printf 裡面沒有參數會造成什麼問題
printf(name);
假設你輸入的 name = "%x%x%x%x%x%x%x%x%x%x%x%x";
high
-------- ------------------------------
| xxxx | | local variable1(name[128]) |
-------- ------------------------------
| xxxx | | local variable2(buf[2]) |
-------- ------------------------------
| xxxx | | local variable3(seed) |
-------- ------------------------------
| xxxx | | ..... |
-------- ------------------------------
| name | | "%x%x%x%x%x%x%x%x%x%x%x%x" |
-------- ------------------------------
low
註: stack 我畫的很簡陋中間有一些 alignment 和 function call 預留的位置
要看 server 的那隻程式是怎麼編譯的
這時候 printf 會把在 stack 上的值當作參數印出來
就可以 leak 在 stack 上的值
這之中就包含 seed 的值
要是拿到 seed 的值
就可以預測出接下來 50 次的硬幣正反面
exploit 撰寫部分
可以用 pwntools 和 ctypes
pwntools 是專門用來寫 exploit 的工具
ctypes 讓你可以模擬 srand(seed) 的行為
以下是範例
from ctypes import *
cdll.LoadLibrary("libc.so.6")
libc = CDLL("libc.so.6")
libc.srand(seed)
for i in range(50):
print(libc.rand()%2)
自己動手樂趣多XD
加油!!!
seed 的位置可以用 objdump 看
或是用 gdb debug
如果還有疑問歡迎來信
--
All Comments