2. 程式人生 > >【pwnable.kr】 codemap

【pwnable.kr】 codemap

阿新 發佈:2017-07-13
hunk see seed heap while malloc cati 根據 ont

pwnable新的一題。

技術分享

download: http://pwnable.kr/bin/codemap.exe

ssh [email protected] -p2222 (pw:guest)

這道題雖然是在pwnable下,但是是一道逆向題。。。 //前web狗膜一發二進制大佬

根據提示,需要查看 0x403E65 運行時,寄存器 EAX,EBX 的內容。

先不考慮運行的內容,先看程序。首先這個程序沒有加殼,直接可以用ida查看內容.

然後可以看到程序的框架,在main函數中,默默按下F5...

int __cdecl main(int argc, const char **argv, const
 
 char **envp)
{
  int seed; // [email protected]
  int (***v4)(void); // [email protected]
  int (***v5)(void); // [email protected]
  int v6; // [email protected]
  int (**v7)(void); // [email protected]
  int (***random_funtion)(void); // [email protected]
  unsigned int
 
 v9; // [email protected]
  unsigned int v10; // [email protected]
  char *eax_now_str; // [email protected]
  unsigned int i; // [email protected]
  char *max_eax_str; // [sp+10h] [bp-60h]@0
  unsigned int eax_now; // [sp+14h] [bp-5Ch]@8
  unsigned int count; // [sp+18h] [bp-58h]@1
  unsigned int
 
 max_eax; // [sp+1Ch] [bp-54h]@1
  char word_str; // [sp+20h] [bp-50h]@9
  int v19; // [sp+6Ch] [bp-4h]@3

  printf("I will make 1000 heap chunks with random size\n");
  printf("each heap chunk has a random string\n");
  printf("press enter to start the memory allocation\n");
  sub_3440B1();
  max_eax = 0;
  count = 0;
  srand(0);
  while ( 1 )
  {
    seed = 10000 * rand() % 1337;
    v4 = (int (***)(void))operator new(8u);
    v5 = v4;
    v19 = 0;
    if ( v4 )
    {
      *v4 = (int (**)(void))&off_34F2EC;
      v6 = (10000 * seed >> 1) + 123;
      v7 = (int (**)(void))operator new(8u);
      if ( v7 )
      {
        v7[1] = (int (*)(void))v6;
        v5[1] = v7;
        random_funtion = v5;
      }
      else
      {
        v5[1] = 0;
        random_funtion = v5;
      }
    }
    else
    {
      random_funtion = 0;
    }
    v19 = -1;
    v9 = (**random_funtion)();
    v10 = v9 % 0x186A0;
    eax_now = v9 % 0x186A0;
    eax_now_str = (char *)malloc(v9 % 0x186A0);
    if ( v10 >= 0x10 )
    {
      qmemcpy(&word_str, "abcdefghijklmnopqrstubwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890", 0x3Fu);
      i = 0;
      do
        eax_now_str[++i - 1] = *(&word_str + rand() % 62);
      while ( i < 0xF );
      eax_now_str[15] = 0;
      if ( eax_now > max_eax )
      {
        max_eax = eax_now;
        max_eax_str = eax_now_str;
      }
    }
    if ( ++count >= 0x3E8 )                     // 0x3e8 = 1000
      break;
    srand(count);
  }
  printf("the allcated memory size of biggest chunk is %d byte\n", max_eax);
  printf("the string inside that chunk is %s\n", max_eax_str);
  printf("log in to pwnable.kr and anwer some question to get flag.\n");
  sub_3440B1();
  return 0;
}

這是把F5以後的反編譯程序,加上自己的理解改成了這個樣子。

這個是一個循環申請內存空間,並隨機填充16個a~Z0~9字符的程序,循環次數為1000次。

每次循環後,找到申請空間最大的那次,並打印出來。

上面最重要的是random_function變量,它的結果是下圖這些sub_*的函數,內容就是根據現在的執行上下文生成一個隨機數。

技術分享

由於上面代碼中用的隨機函數都是偽隨機,或者種子固定,因此,每次運行該程序,申請的大小、字符串的添加都是一樣的。

而題目中給的提示,EAX、EBX是執行的結果,其中EAX存儲的是申請內存的大小、EBX存儲一個char指針,指向填充的字符串。

做了以上分析之後,可以想出解決思路,每次在該位置下斷點,獲取EAX、EBX的內容,最後做刪選即可。

而通過服務器上所給的提示,隨後需要提交第二、第三大分配內存塊所填充的字符串內容。

由於做了1000次循環,因此人工尋找幾乎不可能。

還好ida工具有ida 腳本這樣一種工具,可以動態獲取指定內容。

可以編寫ida腳本來完成查找。我使用了IDA Python這一工具。其實和idc基本相同。

思路就是下斷點——獲取EAX\EBX的值,最終進行比較,由於沒想到好的排序算法,就直接采用最簡單粗暴的方法

腳本如下,另外每次程序加載到內存中的位置不同,使用時應修改添加斷點的內存地址。

from idaapi import *  
from idc import *  
import os

count = 0
eax_list = list()
ebx_list = list()

  
try:
    if debugger:
        print("Removing previous hook ...")
        debugger.unhook()
except:
    pass
AddBpt (0x403e65)
print "[*] set hook OK...\n"
StartDebugger("","","")  
for i in range(0,999):
    GetDebuggerEvent(WFNE_SUSP|WFNE_CONT, -1)
    print "[+]",i
    eax = GetRegValue("EAX")
    eax_list.append(eax)
    ebx = GetRegValue("EBX")
    ebx_list.append(ebx)
    if i == 998:
        print [+] eax max : ,max(eax_list)
        index = eax_list.index(max(eax_list))
        a = ebx_list[index]
        #message( "[+] ebx max : %x",%(ebx_list[eax_list.index(max(eax_list))]))
        Message("%x"%a)
        print "max",GetString(a)
        del(eax_list[index])
        del(ebx_list[index])
#        
        print [+] eax second : ,max(eax_list)
        index = eax_list.index(max(eax_list))
        a = ebx_list[index]
        #message( "[+] ebx max : %x",%(ebx_list[eax_list.index(max(eax_list))]))
        Message("%x"%a)
        print "second",GetString(a)
        del(eax_list[index])
        del(ebx_list[index])        
#        
        print [+] eax third : ,max(eax_list)
        index = eax_list.index(max(eax_list))
        a = ebx_list[index]
        #message( "[+] ebx max : %x",%(ebx_list[eax_list.index(max(eax_list))]))
        Message("%x"%a)
        print "third",GetString(a)
        del(eax_list[index])
        del(ebx_list[index])

最終,運行的結果如下:

技術分享

nc 0 9021輸入字符串之後可以獲得該題的flag:

技術分享

【pwnable.kr】 codemap

相關推薦

pwnable.kr codemap

hunk see seed heap while malloc cati 根據 ont pwnable新的一題。 download: http://pwnable.kr/bin/codemap.exe ssh [email protected]/* */ -p

pwnable.kr flag

github down 代碼 ring lag 程序 load 沒有 mob pwnable從入門到放棄 第四題 Download : http://pwnable.kr/bin/flag 下載下來的二進制文件,對著它一臉懵逼,題目中說是逆向題,這我哪會啊。。。 用i

pwnable.krleg

輸入 read %d ssh http com fcn dump only pwnable從入門到放棄第八題。 Download : http://pwnable.kr/bin/leg.cDownload : http://pwnable.kr/bin/leg.asm s

pwnable.krcmd1

strstr blog pre += 其中 函數 /tmp har cmd 最近的pwnable都是linux操作系統層面的。 ssh [email protected]/* */ -p2222 (pw:guest) 首先還是下載源代碼: #includ

pwnable.krcmd2

函數 environ 自動 memset 上一個 ima lin ret 保持 這道題是上一個cmd1的升級版 ssh [email protected]/* */ -p2222 (pw:mommy now I get what PATH environmen

pwnable.kr leg

  本關主要涉及了一些arm彙編的知識。 閱讀leg.c原始碼發現,本關呼叫scanf從標準輸入讀取key後,判斷是否和key1 key2 key3 三個函式的返回值的和相等。如果相等,則輸出flag。但是ARM彙編的函式返回值和暫存器R0有關,並且key函式中涉及到了

pwnable.kr mistake

這關很有意思,題目本意是一道原始碼中運算子優先順序導致的問題,如果直接看binary的話,看反編譯程式碼就不會被運算子優先順序迷惑。 先看一下反編譯程式碼,main函式。程式判斷/home/mis

pwnable.kr blackjack

看了一下游戲規則,玩家和AI一起玩牌,起初有500塊,首先下注,之後每次各自會收到一張隨機的牌(點數1-13),最先達到21點的人贏。每次拿到牌之後,你可以選擇hit(繼續拿牌)或者是stay(不拿)。如果繼續拿了牌之後超過21點,那麼你就輸了。如果你選擇stay

pwnable.krlotto

lotto - 2 pt [writeup] Mommy! I made a lotto program for my homework. do you want to play? ssh [email protected] -p2222 (pw:guest

pwnable.kr asm seccomp sadbox & 64位shellcode 讀 flag

題目資訊 nc之後檢視資訊如下。根據readme提示,本關是要求登陸伺服器後,nc 9026埠連線asm程式來讀flag。flag檔名很長。 看了原始碼發現程式做了如下操作。mmap了一塊記憶體讀取shellcode並執行,開啟了seccomp沙箱[1],限制只能

pwnable.krhorcruxes

本關資訊 伏地魔吧自己分裂的靈魂藏在了7哥魂器中…這個描述666。本關要求我們找到所有的魂器然後ROP似乎就可以拿flag了。本關沒有給原始碼,上IDA分析吧。本地執行前安裝32位libseccomp庫,apt-get install libseccomp-dev:i3

pwnable.tw seethefile

get 文件中 fclose 打印 .cn 建議 空間 變量 可控 一開始特別懵的一道題。 main函數中一共4個功能,openfile、readfile、writefile、closefile。 其中,在最後退出時有一個明顯的溢出,是scanf("%s",&na

reversing.kr逆向之旅ImagePrc的writeup

看到這道題有點懵  執行後只有一個Check按鈕  中間是空白的  不知道什麼鬼(最後才知道是個繪圖板) PEiD載入  發現還是沒殼  Vc++6.0編寫的程式 IDA載入進行分析    首先還是Shif

reversing.kr逆向之旅Music Player的writeup

VB寫的程式  且沒有加殼 執行看看   還真是一個音樂播放器   但是隻能播放一分鐘 下面三個按鈕據我分析  分別就是播放,暫停,重新開始播放 當滑動到1分鐘時就會停止  並彈窗1? ?????

reversing.kr逆向之旅Replace的writeup

無殼  vc++程式 載入Olydbg動態除錯分析就好 可以通過下API斷點GetWindowTextW來找到關鍵程式碼 因為它就是用來捕獲我們的輸入的    隨意輸入(這裡可以發現只可以輸入數字 長度什麼的倒是沒有限制) 就像下面一樣&nbs

reversing.kr逆向之旅Easy ELF的writeup

  這道題直接IDA Pro靜態分析就可以 shift+f12就可以找到關鍵字串   圖形檢視下也可以看清楚 反彙編main() int __cdecl main() { write(1, "Reversing.Kr Easy ELF\n\

reversing.kr逆向之旅Easy Unpack的writeup

查殼工具貌似不好使啊 不過OD和IDA都提示  還有題目名字  明顯告訴我們加了殼   下載的壓縮包解壓後可以看到ReadMe.txt  提示我們只要找到像00401000這樣的OEP即可

reversing.kr逆向之旅Easy Keygen的writeup

先看ReadMe.txt 意思是讓我們找到當序列號是5B134977135E7D13時對應的名字 查殼 無殼 vc++程式 執行發現當我們Name與Serial不對應時 程式直接退出 檢視關鍵字串 雙擊字串  再雙擊引用   F5  然後進行分析

reversing.kr逆向之旅Direct3D FPS的writeup

Direct3D FPS  看到這個名字就感覺會不會是個射擊遊戲  然後執行果然是 玩了一會兒  看到有個幾個小胖人  打不死  走過去就Game Over了 PEiD看到使用C++寫的 直接載入IDA 分析字串 很明顯與Game Clear!就是與失敗相對

reversing.kr逆向之旅Ransomware的writeup

Exeinfope查到有UPX殼 使用脫殼機進行脫殼 載入IDA   發現直接顯示太大無法展示 空格轉為文字檢視  可以很明顯知道  下面紅框中的就是一段段花指令 檢視最後結束的位置   就在0x0044A775 直接IDC指令碼將他們都NOP掉