第二届网鼎杯半决赛easypwn题目复盘从0到1

1. 题目分析

只给了一个ELF文件。

运行：

静态分析：

输入数据需要经过check(),check()的作用的检查输入的数据是否包含“(”, “)”, “{”, “}”, “]”, “[”,包含如上字符则返回0。

如果输入的数据中没有包含以上字符串，则调用write_f()。write_f()会将输入的数据写入“/pwn/ammm.c”

写入后，start_exec()会调用gcc编译“/pwn/amm.c”并执行“/tmp/lizi”。

2.  思路1

gcc编译一个后门，第一思路当然是直接调用“system(“/bin/sh”)”，显然有“（”，这是过不了check()的。

3.  思路2

所以直接调用C函数是不行的，那就继续测试编译汇编。但通过测试”gcc /pwn/amm.c -o/tmp/lizi”编译汇编也是不行的。

以下面代码为例

void main(){       System(“/bin/sh”)；}

gcc编译以上代码是肯定能编译通过的。

使用“gcc -S a.c”，将生成的汇编文件a.s的文件名修改a.c。然后“gcc a.c”会报如下错误。

所以gcc是会判断文件后缀的。

4.  思路3

在C语言中定义一个全局变量const long main=……编译后的程序就会运行这段机器码。但实现起来需要“亿”点细节。

首先long型只有8个字节，而我们想要执行的x64的shellcode有如下48个字节

"x6ax68x48xb8x2fx62x69x6ex2fx2fx2fx73x50x48x89xe7x68x72x69x01x01x81x34x24x01x01x01x01x31xf6x56x6ax08x5ex48x01xe6x56x48x89xe6x31xd2x6ax3bx58x0fx05"

这段shellcode来源于python：

from pwn import *context(os='linux',arch='amd64')shellcode = asm(shellcraft.sh())print shellcode.encode(“hex”)

再测试以指针的方式赋值，main处获得的是一个指针，运行时会发生Segmentation fault。char *型改成long型也是得到的结果一样。

这里我们通过在main()函数内嵌汇编的方式找想要的机器指令，如下图：

在IDA的子窗口“Hex Vie-1”，看到“E9 89 00 00 00”就是机器码

然后写成下面这样。貌似还没成功，从gdb上看到执行的指令是”jmp 0x40062e”

但是我们想要的指令是”jmp 0x400568”，我们可以根据“jmp”指令的运算逻辑用“jmp 0x40062e”计算”jmp 0x400568”。已知”jmp 0x400568”的机器码是“E9 89 00 00 00”。然后计算0x40062e-5-0x89等于0x4005a0。0x4005a0正是”jmp 0x40062e”的指针。

所以得到一个算式：0x40062e（想要转跳的指针）-0x4005a0（执行指令的指针）-5=0x89。

然后算0x400568-0x4005a0-5得到-61，-61再转成补码是0xffffffc3。最后得到”jmp 0x400568”的机器码应该是“E9 c3 ff ff ff”，编译的C文件内容如下：

最终得到的exp脚本如下：

后来又试了下，也可以在IDA中直接修改指令，得到的机器码。在main()，0x4005a0处将原来的指令修改为“jmp     400568h;”

得到机器指令”EB C6”

修改exp，运行效果如下

5.  修复漏洞

check()函数中“)”修改为“h”，可以检测输入数据中是否包含“/bin/sh”。

6.  总结

按照这个思路来，一点也不easy。该思路灵感来源于某一位知乎。这里主要描述了这个思路实现细节。

听说有人通过#include“/flag”，能够打印出flag。但明显这是非预期解。检测字符“h”能防守成功，说明预期解就是要执行shellcode的。

本文始发于微信公众号（山石网科安全技术研究院）：第二届网鼎杯半决赛easypwn题目复盘从0到1