xman 2018 冬季入营 pwn wp

pwn store

x64 elf | FULL RELRO , NX , STACK CANARY , PIE
功能分析:
- add order
  - 创建的 chunk 和指定size的 chunk (0<size<1024) , 并作出输入 (无溢出)
  - 输入 Good's name (指定 size 的 chunk) 时使用read且未强制加上\x00 结尾 | 可以使用 unsorted bin leak
- edit | 修改指定
  - 判断 order_num && index <= 0x10 && name_list[3 * index]
  - 输入new name | 此处使用 strcpy 将输入在栈上的 new name 存入 name_list 中对应的地址 , 但是栈上输入的 new_name 的位置和 add 中 size 的存储位置相连,造成了一个 off_by_one 的溢出
  - 输入 new goods
- show | 未实现
- pay
  - 判断 order_num && order_list[3 * index]
  - free(name_list[3 * index])
  - free(order_list[3 * index])
  - memset( &order_id_list[3*index] , 0 , 0x18 ) # 将对应选项置为空
- 利用过程:
  - 1. 使用 add 的 unsorted bin leak 得到 main_arena + 0x60 的地址 , 计算得出 libc 加载地址以及下面需要劫持的符号的地址 (__free_hook)
    - 1.1 注意此题 libc 版本时 libc 2.27 | 开启了 tcache
    - 1.2 利用的时候注意 , 每个 idx tcache 存储的chunk数量是 7 , LIFO , 满后存入 unsorted bin 或 fastbin
      - 1.2.1 调用时优先调用 tcache 存储的 chunk
      - 1.2.2 使用 tcache 时靠近 top chunk 的 chunk 在 free 时不会并入 top chunk
  - 1. free chunk 进入 tcache
  - 1. 使用 edit 的 offbyone 覆盖对应chunk的size位 , 然后造成堆溢出 , 从而能覆盖进入 tcache 的 chunk的 next 指针 | alloc to arbitrarily
  - 1. 连续两次分配出对应大小的 chunk , 设置其中一个 order 的 name 为 "/bin/sh\x00" , 控制 __free_hook 指向system
  - free(name) | system(/bin/sh\x00)

exp

pwn_base

x86 elf | nx
流程分析:
- 输入一段0x30长度的字符串 , base64 后执行
考察点:
- ascll shellcode
- alpha3
- 因为长度限制,不能直接使用 msf 或者 alpha3 生成的shellcode
- shellcode 要求
  - 1. read(0 , &sc , N) ( &sc 为第一段 shellcode 的地址 , 存储在调用后的 eax 中，目的是读入第二段 shellcode | N > len(shellcode1 + shellcode2))
    - 1.1 这段shellcode 要求全部由 base64的可用字符组成
    - 1.2 pop ebx | inc eax .. 等指令不可使用
    - 1.3 查找 https://nets.ec/Ascii_shellcode
    - 1.4 int 0x80 , 需要用两个可见字符和寄存器中的值异或或者做出其他的处理得出,考虑到长度限制，异或会是一个比较好的选择
  - 1. 输入第二段shellcode即可
    - 2.1 需要填充前 0x32 个字符

exp

arm pwn

arm pwn | stack canary , nx
流程分析:
- 输入1:
  - 1.输入name
  - 2.然后使用 snprintf 组合成一个字符串输入 &s, 返回值为长度n (组合后的字符串长度而非最后写入的长度)
  - 1. write(1 , &s , n) | canary ，的位置是 &s+0x14 （所以输入大于 9字节即可leak canary）
- 输入2:
- 1. 输入地址 &s [ebp - 0x1c] 输入长度 0x100 | 栈溢出
- 1. | 栈分布 | [input start(padding * 0x18) , canary , ebp , ret]
利用过程:
- 1. leak canary
- 1. 栈溢出执行 system("/bin/sh")
  - rop gadget | 设置 r0 为 &“/bin/sh” ，r3 为 system 地址 | 因为没有直接的 pop r0
    - pop {r4, r5, r6, r7, r8, sb, sl, pc};
    - pop {r3, pc};
    - mov r0 , r7 ; bx r3 ;
- 坑点:
  - arm 推荐动态调试 , ida 分析的栈分布和动态调试时实际的栈分布不太相同。。。。

exp

最后编辑于：2019.01.21 17:46:41

xman 2018 冬季 入营 pwn wp

pwn store

pwn_base

arm pwn

xman 2018 冬季入营 pwn wp