Start - pwnalbe.tw


Như đã nói thì đây sẽ là bài đầu tiên trong seri pwnable của tôi.

Trước tiên vào bài tôimuốn các bạn đọc qua một chút về shellcode và dưới đây là link bài viết của anh Thái (vnhacker) viết về shellcode, dù nó không được chi tiết nhưng mình nghĩ nó đủ để mọi người có hứng thú với những gì mà chúng ta sắp đề cập tới.
Ngoài ra tôi nghĩ mọi người có thể tìm đọc nhiều hơn nữa ở trên google, sau đó quay lại đây và cùng làm bài này với tôi.

Start - File - nc chall.pwnable.tw 10000

Theo tôi nghĩ thì đây là một bài khá cơ bản, nhưng cái khó ở đây là nó được viết bằng assembly nên với ai không hiểu về assembly thì có lẽ sẽ không làm được bài này.
Nhìn vào đoạn code trên ta thấy bài này cơ bản in ra màn hình một xâu được push vào stack và cho phép chúng ta nhập vào stack 60 byte sau đó sẽ return.
Trên kia là chương trình đã được chạy.
Với bài này ban đầu tôi nảy ra ngay một ý tưởng khi nhìn thấy dòng sau: 
add esp, 14h
retn
Ý tưởng của mình đó là đưa shellcode vào chương trình và đưa địa chỉ của shellcode vào vị trí được trỏ bởi esp sau lệnh "add ebp, 14h"
Nhưng một vấn đề khác được đặt ra là chúng ta không hề biết địa chỉ của stack như thế nào thì sao có thể biết được địa chỉ của shellcode.
Lúc này tôi lại nhìn thấy dòng code "push ebp" tức là địa chỉ của ebp đã được đưa vào trong stack tại địa chỉ cao hơn địa chỉ "exit" là địa chỉ kết thúc của hàm.
Vậy làm thế nào để in ra địa chỉ của ebp, tôi nghĩ ngay đến việc cho chương trình chạy đến địa chỉ 0x08048073 để in ra địa chỉ của ebp và để quay lại một lần nữa để đưa shellcode và địa chỉ của nó vào chương trình tôi đã call đến đầu chương trình một lần nữa tại địa chỉ 0x08048060.
Sau đó thật đơn giản để đưa được shellcode và địa chỉ của nó vào stack.
Dưới đây là lời giải của mình, mình chỉ up ảnh ko up code vì không muốn mọi người copy pase.

























Hãy thử nó và chúc mọi người thành công!
__________________________________________________
Nếu hay hãy share để ủng hộ mình nhé còn nếu thấy chỗ nào đó chưa ổn mọi người cmt cho mình nhận xét để mình rút kinh nghiệm, chúc mọi người học tập vui vẻ.
Hẹn gặp lại trong bài tiếp theo nhé!!
-Chung-

Comments

Post a Comment

Popular posts from this blog

Exploit deaslr through _dl_runtime_resolve

Image
Chào tất cả mọi người, cuối cùng thì tôi cũng đã quay lại sau bao ngày im hơi lặng tiếng :)) Abstract: Hôm nay nhân một ngày đẹp trời, để đánh dấu sự trở lại của mình tôi có một bài viết để phân tích về một kỹ thuật exploit khi mà bạn không thể leak được bất kì thông tin gì và ASLR (Address space layout randomization) đang được bật và cũng không có bất kỳ thông tin về phiên bản libc được sử dụng trên server.  Explain: Đã bao giờ bạn đặt ra một câu hỏi "WTF? Tại sao chương trình nó chạy lại có thể run đến một cái hàm ở trong thư viện libc?" Để tìm hiểu thì bây giờ hãy thử compiler một file dơn giản sử dụng một hàm của thư viện nhé! File: test.c Hãy thử debug và next từng dòng lệnh assembly để khám phá!! Debug nào :)) Hãy chú ý đến từng lệnh vì tất cả nó đề có ý nghĩa rất quan trọng. Nhìn qua flow của chương trình thì thấy chương trình call đến hàm _dl_runtime_resolve_avx với 2 tham số được push vào stack. Trong trường hợp nà
Read more

WriteUp PWN 500pts - PwC Hackaday

Image
Map - PWN 500pts - PwC Hackaday Thực sự mà nói hôm thi thì cũng chưa có ngó đến được bài này thì phải. Nhưng tình cờ được "thần tượng" yêu cầu làm lại bài này. Sau một thời gian vật lộn với nó thì cũng đã xong (khá vất vả nhưng rất bổ ích). Sau đây mình sẽ trình bày write up về bài này để cho những ai quan tâm có thể tham khảo. Ở bài này mình chỉ thực hiện exploit ở local. Trước tiên đây là file cho những ai quan tâm: Map  (Mình đã patch bỏ qua phần alarm để cho dễ debug) Như thường lệ mình đưa file vào IDA pro để đọc code ( Mình đã rename một vài hàm cũng như biến để cho tiện theo dõi ). __int64 sub_555555554B95() {   puts("---------- Menu ------------");   puts("0. Select Map.");   puts("1. Add Map.");   puts("2. Edit Map.");   puts("3. View Map.");   puts("4. Delete Map.");   puts("5. Exit.");   putchar('>');   return (unsigned int)read_int(); }
Read more

[Night St0rm CTF] - WRITE UP PWN

Image
Ban đầu cũng không có ý định viết write up bởi cũng rất lười viết :v . Nhưng nghe phong phanh được tin là có thưởng cho write up hay và thú vị :) thế là lại phải viết rồi :) Cũng mong BTC đọc được dòng này rồi trao giải cho mình :)) vì để viết được chỗ write up này mình phải ngồi download lại file cũng như ngồi debug lại để chụp ảnh rồi balabala :)) ( Nói chung là kể khổ :v ) * PWN 1 - 50 pts nc motacoin.nightst0rm.net 1337 FILE Bước đầu tiên khi mình làm pwn là luôn kéo file binary vào IDA để hex-rays đọc code c :)) Ở bài này thì mình có được đoạn code sau :)) Thoạt nhìn qua thì mình đã copy nguyên xâu "KhongGiongTrenServer" để send lên server vì thấy là hàm memcmp chứ cũng chẳng quan tâm xâu đấy ý nghĩa là gì :v Nhưng sau khi gửi lên thì thấy không thành công mới đọc kĩ lại @@ "KhongGiongTrenServer" bây giờ thì mới hiểu ý nghĩa của nó :v mình cũng nghĩ ngay ra cách khác để nhập vào bài này, tuy nhiên để cho mọi người hiểu rõ hơn mình sẽ phân t
Read more