2019|2019 tctf | pwn wp(未完成)

zerotask

  • 保护 : full relro | canary | nx | pie
  • libc : libc-2.27 , libcrypto.so.1.0.0
  • 程序功能:
    • add task
      • 添加 task ,
        • malloc(0x70) | controller
        • 生成加密结构体 | ctx | EVP_CIPHER_CTX_new()
          • malloc(0xa8) | 包含 iv
            • crypto_malloc(0xb7) | chunk_size 0x110 | key
        • malloc(size) | data_ptr | size 自定义 | 0 < size < 0x1000
    • delete task
      • EVP_CIPHER_CTX_free(ctx)
        • free(key)
        • free(ctx)
      • free(data_ptr)
      • free(controller)
    • go
      • 根据 task id 执行指定task的任务 | 加密 or 解密
  • 利用:
    • 漏洞点:
    • go 函数处理前 sleep(2) , 这个时间段内可以执行其他指令,造成竞争
    • 利用过程:
      • 利用竞争 leak heap , libc , 然后配合堆块分布的调整 控制 ctx 结构体的内容执行one_gadget
      • leak 关键点:
        • leak heap 的过程:
          • add , add , go , delete , add(delay = 2)
          • 多个add 是为了让目标chunk 远离top chunk ,避免在delete后data_ptr 被 top_chunk 合并
        • leak libc 的过程:
          • libc 是 2.27 的 , 所以按照 leak heap的逻辑 leak libc 前需要绕过 tcache
            • 填充 tcache , 7个
            • 此处的数量与后面getshell处有关系,因为 getshell 需要对指定已知地址做写入,来构造ctx结构题的一部分并跳转。
          • get shell
          • 利用的目标是 ctx 结构体中的函数执行
            • 2019|2019 tctf | pwn wp(未完成)
              文章图片
              image.png
            • 所在函数 EVP_CipherUpdate - > EVP_EncryptUpdate ,在 go 中调用
            • 根据ctx 结构体 (a1) 中 a1[0] 的内容做了 判断和 函数执行
          • 对在堆中构造一个 ctx 结构体 | 只需要特定的 *ctx , 和 *ctx 内容即可
            • 实现 : *ctx = ctx + 8 | 然后在 *ctx 后面继续构造特定内容 , 前 0x18 对照 内存中其他的ctx照抄即可,0x18 - 0x20 为 libcrypto 中的一个地址,会变化,设定为任意值,0x20 - 0x28 放置 one_gadget
exp

    推荐阅读