AWD简介AWD(Attack With Defense,攻防兼备) 模式需要在一场比赛里要扮演攻击方和防守方,利用漏洞攻击其他队伍进行得分,修复漏洞可以避免被其他队伍攻击而失分。也就是说,攻击别人的靶机可以获取 Flag 分数时,别人会被扣分,同时也要保护自己的主机不被别人攻陷而扣分。 Patch-PWN各家 awd 平台检查机制各不相同,原则上是只针对漏洞点进行 patch 加固,也就是最小修改加固。以下总结不需要改动文件大小、针对漏洞点进行 patch 的几种漏洞类型。 Patch资料跳转指令
Patch-整数溢出Scanf 以 long int 长整形读取输入到 unsigned int 变量 v2 中,然后将 v2 强制转为 int 再与int 48 比较。 但从 scanf 读入一个负数时,最高位为 1 ,从 unsigned int 强制转换为 int 结果是负数,必定比 48 小,在后面 read 读入会造成栈溢出。 Patch方法将第 9 行的 if 跳转汇编指令 patch 为无符号的跳转指令,具体指令参考跳转指令。 使用 keypatach 进行修改: jle --> jbe Patch-栈溢出
x64Patch方法100 是第三个参数,存储寄存器是 rdx ,找到给 rdx 传参的汇编指令进行 patch 使用 ida 默认修改插件修改(Edit-Patch Program-Change word),也可以用 keypatach :
0x64 --> 0x20 x86不需要对齐找到压栈的指令,修改压入的数值
需要对齐找到压栈的指令,修改压入的数值 直接修改 0x20 后,size 长度不对齐,会引起栈空间变化,需要用 更方便快捷方法是勾选 Patch-格式化字符串修改函数将 printf 改为 puts ,将 call 的地址改为 puts plt 地址: 这个方法局限性在于:puts 会在原字符串多加 修改printf参数将 修改 printf 前面的传参指令: mov edi, offset 0x400c01; Patch-UAF修改逻辑是劫持 call 指令跳转到 .eh_frame 段上写入的自定义汇编程序。 先在 .eh_frame 段上写入代码,首先是 call 0x900; #调用free函数(plt地址) Patch-if范围假设需要将图上第二个 if 放到 if 结构内,修改跳转的地址即可: 原始跳转代码: js 0x40081C --> js 0x400845 Patch-更换危险函数类似与 uaf 一样写汇编实现功能调用,将危险函数替换为其他函数,如果程序中没有目标函数,就通过系统调用方式调用。 将 gets 替换为 read 输入 .eh_frame 写入汇编,将 rdi 的写入地址移动到 rsi ,把其他寄存器也传参之后进行系统调用:
|
|