pwn store

• x64 elf | FULL RELRO , NX , STACK CANARY , PIE
• 功能分析:
  • add order
    • 创建 的 chunk 和 指定size的 chunk (0<size<1024) , 并作出输入 (无溢出)
    • 输入 Good's name (指定 size 的 chunk) 时使用read且未强制加上\x00 结尾 | 可以使用 unsorted bin leak
  • edit | 修改指定
    • 判断 order_num && index <= 0x10 && name_list[3 * index]
    • 输入new name | 此处使用 strcpy 将输入在栈上的 new name 存入 name_list 中对应的地址 , 但是栈上输入的 new_name 的位置 和 add 中 size 的存储位置相连,造成了一个 off_by_one 的溢出
    • 输入 new goods
  • show | 未实现
  • pay
    • 判断 order_num && order_list[3 * index]
    • free(name_list[3 * index])
    • free(order_list[3 * index])
    • memset( &order_id_list[3*index] , 0 , 0x18 ) # 将对应选项置为空
  • 利用过程:
    • 1. 使用 add 的 unsorted bin leak 得到 main_arena + 0x60 的 地址 , 计算得出 libc 加载地址 以及下面需要劫持的符号的地址 (__free_hook)
      • 1.1 注意此题 libc 版本时 libc 2.27 | 开启了 tcache
      • 1.2 利用的时候 注意 , 每个 idx tcache 存储的chunk数量是 7 , LIFO , 满后存入 unsorted bin 或 fastbin
        • 1.2.1 调用时 优先调用 tcache 存储的 chunk
        • 1.2.2 使用 tcache 时 靠近 top chunk 的 chunk 在 free 时 不会并入 top chunk
    • 2. free chunk 进入 tcache
    • 3. 使用 edit 的 offbyone 覆盖 对应chunk的size位 , 然后 造成堆溢出 , 从而能覆盖 进入 tcache 的 chunk的 next 指针 | alloc to arbitrarily
    • 4. 连续两次分配出对应大小的 chunk , 设置其中一个 order 的 name 为 "/bin/sh\x00" , 控制 __free_hook 指向system
    • free(name) | system(/bin/sh\x00)

exp

pwn_base

• x86 elf | nx
• 流程分析:
  • 输入一段0x30长度的字符串 , base64 后执行
• 考察点:
  • ascll shellcode
  • alpha3
  • 因为长度限制,不能直接使用 msf 或者 alpha3 生成的shellcode
  • shellcode 要求
    • 1. read(0 , &sc , N) ( &sc 为 第一段 shellcode 的 地址 , 存储在调用后的 eax 中 ， 目的是读入 第二段 shellcode | N > len(shellcode1 + shellcode2))
      • 1.1 这段shellcode 要求全部由 base64的可用字符组成
      • 1.2 pop ebx | inc eax .. 等指令不可使用
      • 1.3 查找 https://nets.ec/Ascii_shellcode
      • 1.4 int 0x80 , 需要用 两个可见字符和寄存器中的值 异或或者做出其他的处理得出,考虑到长度限制，异或会是一个比较好的选择
    • 2. 输入第二段shellcode即可
      • 2.1 需要填充 前 0x32 个字符

exp

arm pwn

• arm pwn | stack canary , nx
• 流程分析:
  • 输入1:
    • 1.输入name
    • 2.然后使用 snprintf 组合成一个字符串 输入 &s, 返回值为长度n (组合后的字符串长度 而非 最后写入的长度)
    • 3. write(1 , &s , n) | canary ，的位置是 &s+0x14 （所以 输入 大于 9字节即可leak canary）
  • 输入2:
  • 1. 输入地址 &s [ebp - 0x1c] 输入长度 0x100 | 栈溢出
  • 2. | 栈分布 | [input start(padding * 0x18) , canary , ebp , ret]
• 利用过程:
  • 1. leak canary
  • 2. 栈溢出 执行 system("/bin/sh")
    • rop gadget | 设置 r0 为 &“/bin/sh” ，r3 为 system 地址 | 因为没有直接的 pop r0
      • pop {r4, r5, r6, r7, r8, sb, sl, pc};
      • pop {r3, pc};
      • mov r0 , r7 ; bx r3 ;
  • 坑点:
    • arm 推荐动态调试 , ida 分析的栈分布和动态调试时实际的栈分布不太相同。。。。

exp