2019 tctf | pwn wp（未完成）

zerotask

• 保护 : full relro | canary | nx | pie
• libc : libc-2.27 , libcrypto.so.1.0.0
• 程序功能:
  • add task
    • 添加 task ,
      • malloc(0x70) | controller
      • 生成加密结构体 | ctx | EVP_CIPHER_CTX_new()
        • malloc(0xa8) | 包含 iv
          • crypto_malloc(0xb7) | chunk_size 0x110 | key
      • malloc(size) | data_ptr | size 自定义 | 0 < size < 0x1000
  • delete task
    • EVP_CIPHER_CTX_free(ctx)
      • free(key)
      • free(ctx)
    • free(data_ptr)
    • free(controller)
  • go
    • 根据 task id 执行指定task的任务 | 加密 or 解密
• 利用:
  • 漏洞点：
  • go 函数处理前 sleep(2) , 这个时间段内可以执行其他指令，造成竞争
  • 利用过程:
    • 利用竞争 leak heap , libc , 然后配合堆块分布的调整 控制 ctx 结构体的内容执行one_gadget
    • leak 关键点:
      • leak heap 的过程：
        • add , add , go , delete , add(delay = 2)
        • 多个add 是为了让目标chunk 远离top chunk ，避免在delete后data_ptr 被 top_chunk 合并
      • leak libc 的过程:
        • libc 是 2.27 的 , 所以按照 leak heap的逻辑 leak libc 前需要绕过 tcache
          • 填充 tcache , 7个
          • 此处的数量与后面getshell处有关系，因为 getshell 需要对指定已知地址做写入，来构造ctx结构题的一部分并跳转。
        • get shell
        • 利用的目标是 ctx 结构体中的函数执行
          • 

            image.png
          • 所在函数 EVP_CipherUpdate - > EVP_EncryptUpdate ，在 go 中调用
          • 根据ctx 结构体 (a1) 中 a1[0] 的内容做了 判断和 函数执行
        • 对在堆中构造一个 ctx 结构体 | 只需要特定的 *ctx , 和 *ctx 内容即可
          • 实现 : *ctx = ctx + 8 | 然后在 *ctx 后面继续构造特定内容 , 前 0x18 对照 内存中其他的ctx照抄即可，0x18 - 0x20 为 libcrypto 中的一个地址，会变化，设定为任意值，0x20 - 0x28 放置 one_gadget

exp