题目链接:http://pan.baidu.com/s/1jH9ILoU 密码:iann
题目分析:这是一个多进程运行,使用ptrace函数进行进程间通信的程序。函数识别参数个数,来设置进程走向,利用scanf来接收flag。默认是允许输入%48s,刷新了缓存区,使得不会出现pwn的情况。函数主体流程经历了一次RC4加密,使用ptace进行了程序内存的更换。
解决方案:
函数参数由argc与argv表示,例如:执行 ./edit edit.txt 时,argc 的值为 2, argv[0] 为 ./edit,argv[1] 为 edit.txt .在没有带参数进入的时候,fork出一个子进程,子进程使用execve执行本程序,函数参数添加上了parent_pid。
父进程fork子进程重创程序
父进程进入debugloop
其中使用ptrace函数进行调试交互,获取进程的寄存器,判断是否可写,进而控制内存,使用一行代码来设置终端,其中的0xcc就是Int 3的对应汇编码:ptrace(PTRACE_POKEDATA,pid,brk_addr,0xcccccccccccccccc);需要提出来的是,在一些文章中谈到ptrace函数的时候,函数每一次进行POKEDATA请求的时候只写入一个字节,这道题的编程语言表示为一个long数据,或者说,这个写入的大小可以控制。
新进程进行交互
其中的is_trace函数是自己定制的,通过读取/proc/self/status进程状态来控制进程是否循环loop等待交互。
在debugloop中,先设置一个中断
跳转到很长的一段字符串处,在IDA中转变成代码如下:其中有一处为decrpt_data函数,主要功能是将rc6的加密区域使用rc4进行加密,再数据段中的表示如下:
在恢复进程运行之后,设置新的起点,将跳转到leijun字符串处,也就是下面对应的代码,在jnz处函数跳转到上图的函数处(此时已经解密过了):
最后利用网上RC6算法进行解析,得到结果。
参考官方WP
网友评论