※ 引述《luxylu ( 露西露 )》之銘言： : 不好意思不知道該發在哪個版 : 想請教netcat的相關問題 : 最近在解一個CTF的題目 : 題目是nc xxx.xxx.xxx.xxx xxxx 之後會出現一個扔硬幣程式 : 只要連續猜對50次 就可以得到flag : 目前我有扔硬幣的原始碼(xxx.c)跟另一個沒有副檔名的檔案(應該是shell之類） : 我修改了xxx.c 並在我的電腦直行後 可以讓他cat flag(但我電腦沒flag) : 我該如何利用nc 或其他的command : 想辦法讓對方server去執行我修改過後的.c : 或是有其它方法可以利用呢？？ : 感謝各位大大給點提示 : 先謝過了 你好 剛好看到回一下 看完原始碼可以很快地發現漏洞在 printf(name) 這一行 這個漏洞叫做 format string exploit 簡單介紹一下 你可以想想看 正常 printf 的時候 stack 會長什麼樣子 printf("%x%x%x",a,b,c); high -------- ------------- | arg4 | | c | -------- ------------- | arg3 | | b | -------- ------------- | arg2 | | a | -------- ------------- | arg1 | | "%x%x%x" | -------- ------------- low 現在 printf 裡面沒有參數會造成什麼問題 printf(name); 假設你輸入的 name = "%x%x%x%x%x%x%x%x%x%x%x%x"; high -------- ------------------------------ | xxxx | | local variable1(name[128]) | -------- ------------------------------ | xxxx | | local variable2(buf[2]) | -------- ------------------------------ | xxxx | | local variable3(seed) | -------- ------------------------------ | xxxx | | ..... | -------- ------------------------------ | name | | "%x%x%x%x%x%x%x%x%x%x%x%x" | -------- ------------------------------ low 註: stack 我畫的很簡陋中間有一些 alignment 和 function call 預留的位置 要看 server 的那隻程式是怎麼編譯的 這時候 printf 會把在 stack 上的值當作參數印出來 就可以 leak 在 stack 上的值 這之中就包含 seed 的值 要是拿到 seed 的值 就可以預測出接下來 50 次的硬幣正反面 exploit 撰寫部分 可以用 pwntools 和 ctypes pwntools 是專門用來寫 exploit 的工具 ctypes 讓你可以模擬 srand(seed) 的行為 以下是範例 from ctypes import * cdll.LoadLibrary("libc.so.6") libc = CDLL("libc.so.6") libc.srand(seed) for i in range(50): print(libc.rand()%2) 自己動手樂趣多XD 加油!!! seed 的位置可以用 objdump 看 或是用 gdb debug 如果還有疑問歡迎來信 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.113.65.210 ※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1465793487.A.023.html ※ 編輯: apple50189 (140.113.65.210), 06/14/2016 02:01:58