LACTF 2025 mmapro 知识点深入解析与利用<\/h1>

1. 题目概述<\/h2>

这是一个关于 mmap<\/code> 系统调用利用的 CTF 题目，主要考察对 mmap<\/code> 函数参数控制和内存映射机制的理解。题目提供了以下关键信息：<\/p>


程序一开始就泄露了 mmap<\/code> 的地址和 libc 地址<\/li>
允许用户完全控制 mmap<\/code> 的六个参数<\/li>
需要通过 mmap<\/code> 参数控制实现程序执行流劫持<\/li>
<\/ol>
2. mmap 函数深入解析<\/h2>
2.1 函数原型<\/h3>
void<\/span> *<\/span>mmap<\/span>(void<\/span> *<\/span>start, size_t length, int<\/span> prot, int<\/span> flags, int<\/span> fd, off_t offset);
<\/span><\/span><\/code><\/pre>2.2 关键 flags 参数详解<\/h3>



宏定义<\/th>
十六进制值<\/th>
说明<\/th>
<\/tr>
<\/thead>


MAP_SHARED<\/td>
0x01<\/td>
映射区域与其他进程共享，对内存的修改会同步到文件<\/td>
<\/tr>

MAP_PRIVATE<\/td>
0x02<\/td>
映射区域为私有，写入时触发"写时复制"(Copy-on-Write)，不修改文件<\/td>
<\/tr>

MAP_FIXED<\/td>
0x10<\/td>
强制使用指定的起始地址 start，若冲突则失败<\/td>
<\/tr>

MAP_ANONYMOUS<\/td>
0x20<\/td>
匿名映射(不关联文件)，通常与 MAP_ANON 等价<\/td>
<\/tr>

MAP_DENYWRITE<\/td>
0x0800<\/td>
禁止对映射文件的其他直接写入操作<\/td>
<\/tr>

MAP_LOCKED<\/td>
0x2000<\/td>
锁定映射区域，防止被交换到磁盘(Swap)<\/td>
<\/tr>
<\/tbody>
<\/table>
2.3 关键组合 flags<\/h3>

MAP_ANONYMOUS | MAP_FIXED<\/code> = 0x30<\/li>
MAP_ANONYMOUS | MAP_FIXED | MAP_PRIVATE<\/code> = 0x32<\/li>
<\/ul>
3. 利用原理<\/h2>
3.1 核心思路<\/h3>

使用 MAP_FIXED<\/code> 强制指定映射地址<\/li>
结合 MAP_ANONYMOUS<\/code> 进行匿名映射<\/li>
添加 MAP_PRIVATE<\/code> 实现写时复制，允许覆盖现有映射<\/li>
<\/ol>
3.2 具体步骤<\/h3>


覆盖 libc 代码段<\/strong>：<\/p>

通过 mmap<\/code> 将 libc 的某页映射为全零<\/li>
这会导致该页的代码变为 00 00 00...<\/code>，对应 x86 的 add [eax], al<\/code> 指令<\/li>
<\/ul>
<\/li>

创建滑板指令<\/strong>：<\/p>

被覆盖的页会形成一系列 add [eax], al<\/code> 指令<\/li>
这些指令会作为"滑板"执行，直到遇到未被覆盖的有效指令<\/li>
<\/ul>
<\/li>

寻找可用 gadget<\/strong>：<\/p>

在 libc 中寻找以 0x32<\/code> 结尾的地址（对应 ret<\/code> 指令）<\/li>
这些地址可以作为有效的返回地址使用<\/li>
<\/ul>
<\/li>

构造 ROP 链<\/strong>：<\/p>

利用 mmap<\/code> 参数控制寄存器：

rdi<\/code> = start 地址<\/li>
fd<\/code> = gets 函数地址<\/li>
offset<\/code> = start 地址<\/li>
<\/ul>
<\/li>
实现 gets 写入 shellcode 并跳转执行<\/li>
<\/ul>
<\/li>
<\/ol>
4. 利用细节<\/h2>
4.1 关键 gadget 寻找<\/h3>


需要找到满足以下条件的地址：<\/p>

位于 libc 中<\/li>
地址以 0x32<\/code> 结尾<\/li>
对应指令为 ret<\/code><\/li>
<\/ul>
<\/li>

示例 gadget：<\/p>

0x16c000<\/code> (0x115000 + 0x57000)<\/li>
这是 ptsname_r<\/code> 函数的开头位置<\/li>
<\/ul>
<\/li>
<\/ol>
4.2 寄存器控制<\/h3>

mmap<\/code> 调用后：

rax<\/code> 保存返回值（即 start 地址）<\/li>
其他寄存器可能保留调用前的值<\/li>
<\/ul>
<\/li>
可以利用这些寄存器状态构造后续利用<\/li>
<\/ul>
4.3 执行流程<\/h3>

覆盖 mmap<\/code> 函数所在页<\/li>
执行滑板指令<\/li>
跳转到可用 gadget<\/li>
通过 gets 写入 shellcode<\/li>
跳转到 shellcode 执行<\/li>
<\/ol>
5. 完整利用代码<\/h2>
from<\/span> pwn import<\/span> *<\/span>
<\/span><\/span>
<\/span><\/span>context.<\/span>arch =<\/span> 'amd64'<\/span>
<\/span><\/span>context.<\/span>log_level =<\/span> 'debug'<\/span>
<\/span><\/span>
<\/span><\/span># 假设的地址，实际需要根据题目调整<\/span>
<\/span><\/span>libc_base =<\/span> 0x7ffff7a00000<\/span>
<\/span><\/span>mmap_addr =<\/span> libc_base +<\/span> 0x115000<\/span>
<\/span><\/span>target_gadget =<\/span> libc_base +<\/span> 0x16c000<\/span>  # ptsname_r 开头<\/span>
<\/span><\/span>
<\/span><\/span># 构造 mmap 参数<\/span>
<\/span><\/span>start =<\/span> mmap_addr
<\/span><\/span>length =<\/span> 0x1000<\/span>
<\/span><\/span>prot =<\/span> 7<\/span>  # PROT_READ | PROT_WRITE | PROT_EXEC<\/span>
<\/span><\/span>flags =<\/span> 0x32<\/span>  # MAP_ANONYMOUS | MAP_FIXED | MAP_PRIVATE<\/span>
<\/span><\/span>fd =<\/span> 0<\/span>  # 不重要<\/span>
<\/span><\/span>offset =<\/span> 0<\/span>  # 不重要<\/span>
<\/span><\/span>
<\/span><\/span># 第一次调用：覆盖 mmap 函数页<\/span>
<\/span><\/span>payload =<\/span> flat([
<\/span><\/span>    start, length, prot, flags, fd, offset
<\/span><\/span>])
<\/span><\/span>
<\/span><\/span># 第二次调用：设置 ROP<\/span>
<\/span><\/span>flags =<\/span> 0x32<\/span>  # 同时也是 ret 指令<\/span>
<\/span><\/span>fd =<\/span> libc_base +<\/span> 0<\/span>xgets_offset  # gets 函数地址<\/span>
<\/span><\/span>offset =<\/span> start  # 写入地址<\/span>
<\/span><\/span>
<\/span><\/span>payload +=<\/span> flat([
<\/span><\/span>    start, length, prot, flags, fd, offset
<\/span><\/span>])
<\/span><\/span>
<\/span><\/span># 发送 payload 并交互<\/span>
<\/span><\/span># ...<\/span>
<\/span><\/span><\/code><\/pre>6. 注意事项<\/h2>

页对齐<\/strong>：所有操作必须以页(通常 0x1000)为单位<\/li>
地址选择<\/strong>：需要精确计算 libc 中可用的 gadget 地址<\/li>
寄存器状态<\/strong>：注意 mmap<\/code> 调用后的寄存器状态变化<\/li>
爆破技术<\/strong>：可以通过 gdb + pwntools 爆破寻找可用 gadget<\/li>
<\/ol>
7. 扩展思考<\/h2>

其他可能利用的 mmap<\/code> flags 组合<\/li>
通过 mprotect<\/code> 修改内存权限的替代方案<\/li>
在多线程环境下的利用可能性<\/li>
对抗 ASLR 的策略<\/li>
<\/ol>
这个题目展示了如何通过精细控制 mmap<\/code> 参数来实现内存操作和代码执行，是理解 Linux 内存管理机制和系统调用利用的绝佳案例。<\/p>

宏定义<\/th>	十六进制值<\/th>	说明<\/th> <\/tr> <\/thead>
MAP_SHARED<\/td>	0x01<\/td>	映射区域与其他进程共享，对内存的修改会同步到文件<\/td> <\/tr>
MAP_PRIVATE<\/td>	0x02<\/td>	映射区域为私有，写入时触发"写时复制"(Copy-on-Write)，不修改文件<\/td> <\/tr>
MAP_FIXED<\/td>	0x10<\/td>	强制使用指定的起始地址 start，若冲突则失败<\/td> <\/tr>
MAP_ANONYMOUS<\/td>	0x20<\/td>	匿名映射(不关联文件)，通常与 MAP_ANON 等价<\/td> <\/tr>
MAP_DENYWRITE<\/td>	0x0800<\/td>	禁止对映射文件的其他直接写入操作<\/td> <\/tr>
MAP_LOCKED<\/td>	0x2000<\/td>	锁定映射区域，防止被交换到磁盘(Swap)<\/td> <\/tr> <\/tbody> <\/table> 2.3 关键组合 flags<\/h3> `MAP_ANONYMOUS \| MAP_FIXED<\/code> = 0x30<\/li>` MAP_ANONYMOUS \| MAP_FIXED \| MAP_PRIVATE<\/code> = 0x32<\/li> <\/ul> 3. 利用原理<\/h2> 3.1 核心思路<\/h3> 使用 MAP_FIXED<\/code> 强制指定映射地址<\/li> 结合 MAP_ANONYMOUS<\/code> 进行匿名映射<\/li> 添加 MAP_PRIVATE<\/code> 实现写时复制，允许覆盖现有映射<\/li> <\/ol> 3.2 具体步骤<\/h3> 覆盖 libc 代码段<\/strong>：<\/p> 通过 mmap<\/code> 将 libc 的某页映射为全零<\/li> 这会导致该页的代码变为 00 00 00...<\/code>，对应 x86 的 add [eax], al<\/code> 指令<\/li> <\/ul> <\/li> 创建滑板指令<\/strong>：<\/p> 被覆盖的页会形成一系列 add [eax], al<\/code> 指令<\/li> 这些指令会作为"滑板"执行，直到遇到未被覆盖的有效指令<\/li> <\/ul> <\/li> 寻找可用 gadget<\/strong>：<\/p> 在 libc 中寻找以 0x32<\/code> 结尾的地址（对应 ret<\/code> 指令）<\/li> 这些地址可以作为有效的返回地址使用<\/li> <\/ul> <\/li> 构造 ROP 链<\/strong>：<\/p> 利用 mmap<\/code> 参数控制寄存器： rdi<\/code> = start 地址<\/li> fd<\/code> = gets 函数地址<\/li> offset<\/code> = start 地址<\/li> <\/ul> <\/li> 实现 gets 写入 shellcode 并跳转执行<\/li> <\/ul> <\/li> <\/ol> 4. 利用细节<\/h2> 4.1 关键 gadget 寻找<\/h3> 需要找到满足以下条件的地址：<\/p> 位于 libc 中<\/li> 地址以 0x32<\/code> 结尾<\/li> 对应指令为 ret<\/code><\/li> <\/ul> <\/li> 示例 gadget：<\/p> 0x16c000<\/code> (0x115000 + 0x57000)<\/li> 这是 ptsname_r<\/code> 函数的开头位置<\/li> <\/ul> <\/li> <\/ol> 4.2 寄存器控制<\/h3> mmap<\/code> 调用后： rax<\/code> 保存返回值（即 start 地址）<\/li> 其他寄存器可能保留调用前的值<\/li> <\/ul> <\/li> 可以利用这些寄存器状态构造后续利用<\/li> <\/ul> 4.3 执行流程<\/h3> 覆盖 mmap<\/code> 函数所在页<\/li> 执行滑板指令<\/li> 跳转到可用 gadget<\/li> 通过 gets 写入 shellcode<\/li> 跳转到 shellcode 执行<\/li> <\/ol> 5. 完整利用代码<\/h2> from<\/span> pwn import<\/span> *<\/span> <\/span><\/span> <\/span><\/span>context.<\/span>arch =<\/span> 'amd64'<\/span> <\/span><\/span>context.<\/span>log_level =<\/span> 'debug'<\/span> <\/span><\/span> <\/span><\/span># 假设的地址，实际需要根据题目调整<\/span> <\/span><\/span>libc_base =<\/span> 0x7ffff7a00000<\/span> <\/span><\/span>mmap_addr =<\/span> libc_base +<\/span> 0x115000<\/span> <\/span><\/span>target_gadget =<\/span> libc_base +<\/span> 0x16c000<\/span> # ptsname_r 开头<\/span> <\/span><\/span> <\/span><\/span># 构造 mmap 参数<\/span> <\/span><\/span>start =<\/span> mmap_addr <\/span><\/span>length =<\/span> 0x1000<\/span> <\/span><\/span>prot =<\/span> 7<\/span> # PROT_READ \| PROT_WRITE \| PROT_EXEC<\/span> <\/span><\/span>flags =<\/span> 0x32<\/span> # MAP_ANONYMOUS \| MAP_FIXED \| MAP_PRIVATE<\/span> <\/span><\/span>fd =<\/span> 0<\/span> # 不重要<\/span> <\/span><\/span>offset =<\/span> 0<\/span> # 不重要<\/span> <\/span><\/span> <\/span><\/span># 第一次调用：覆盖 mmap 函数页<\/span> <\/span><\/span>payload =<\/span> flat([ <\/span><\/span> start, length, prot, flags, fd, offset <\/span><\/span>]) <\/span><\/span> <\/span><\/span># 第二次调用：设置 ROP<\/span> <\/span><\/span>flags =<\/span> 0x32<\/span> # 同时也是 ret 指令<\/span> <\/span><\/span>fd =<\/span> libc_base +<\/span> 0<\/span>xgets_offset # gets 函数地址<\/span> <\/span><\/span>offset =<\/span> start # 写入地址<\/span> <\/span><\/span> <\/span><\/span>payload +=<\/span> flat([ <\/span><\/span> start, length, prot, flags, fd, offset <\/span><\/span>]) <\/span><\/span> <\/span><\/span># 发送 payload 并交互<\/span> <\/span><\/span># ...<\/span> <\/span><\/span><\/code><\/pre>6. 注意事项<\/h2> 页对齐<\/strong>：所有操作必须以页(通常 0x1000)为单位<\/li> 地址选择<\/strong>：需要精确计算 libc 中可用的 gadget 地址<\/li> 寄存器状态<\/strong>：注意 mmap<\/code> 调用后的寄存器状态变化<\/li> 爆破技术<\/strong>：可以通过 gdb + pwntools 爆破寻找可用 gadget<\/li> <\/ol> 7. 扩展思考<\/h2> 其他可能利用的 mmap<\/code> flags 组合<\/li> 通过 mprotect<\/code> 修改内存权限的替代方案<\/li> 在多线程环境下的利用可能性<\/li> 对抗 ASLR 的策略<\/li> <\/ol> 这个题目展示了如何通过精细控制 mmap<\/code> 参数来实现内存操作和代码执行，是理解 Linux 内存管理机制和系统调用利用的绝佳案例。<\/p>