2025CISCN&长城杯半决赛 PWN typo 详细题解<\/h1>

漏洞分析<\/h2>

程序功能<\/h3>
程序提供了三个主要功能：<\/p>
add<\/code> - 分配堆块<\/li>
free<\/code> - 释放堆块<\/li>
edit<\/code> - 编辑堆块内容<\/li>
<\/ol>
漏洞位置<\/h3>
漏洞存在于edit<\/code>功能中：<\/p>

可以读入0x100个字节到栈上<\/li>
使用snprintf<\/code>函数将栈上的数据复制到堆块中<\/li>
存在堆溢出漏洞，但snprintf<\/code>会被\x00<\/code>截断<\/li>
<\/ul>
关键绕过技术<\/h3>
为了绕过\x00<\/code>截断问题，可以使用格式化字符串技巧：<\/p>

将payload中的\x00<\/code>替换为%n$p<\/code>（例如%39$c<\/code>）<\/li>
寻找偏移为n且数据为0的位置<\/li>
snprintf<\/code>解析时会输出0到原来\x00<\/code>的位置，从而绕过截断<\/li>
<\/ul>
def<\/span> replace<\/span>(payload):
<\/span><\/span>    return<\/span> payload.<\/span>replace(b<\/span>'<\/span>\x00<\/span>'<\/span>,b<\/span>'%39$c'<\/span>)+<\/span>b<\/span>'<\/span>\x00<\/span>'<\/span>
<\/span><\/span><\/code><\/pre>利用思路<\/h2>
1. 泄露libc地址<\/h3>
由于程序保护全开且没有show功能，需要：<\/p>

利用堆溢出合并一个可以进入unsorted bins的堆块<\/li>
在合并前保留一个小堆块在tcache bins中<\/li>
修改main_arena的libc地址最后两位为stdout地址（远程需要爆破）<\/li>
获取libc基址<\/li>
<\/ol>
2. getshell<\/h3>

将合并的堆块恢复回去<\/li>
通过修改其中一个堆块的fd的size<\/li>
利用两次修改：

第一次修改后面堆块的fd为free_hook<\/code><\/li>
第二次修改为\/bin\/sh<\/code><\/li>
<\/ul>
<\/li>
最终执行free<\/code>触发free_hook<\/code>执行system("\/bin\/sh")<\/li>
<\/ol>
详细利用步骤<\/h2>
堆块合并<\/h3>

创建特定大小的堆块布局<\/li>
利用堆溢出修改关键size字段<\/li>
触发合并操作使特定堆块进入unsorted bins<\/li>
<\/ol>
泄露libc地址<\/h3>

使2号堆块同时位于tcache bins和unsorted bins中<\/li>
修改为stdout-8<\/code>（因为edit的读入在bk位）<\/li>
通过特定操作泄露libc基址<\/li>
<\/ol>
修改tcache bins<\/h3>

修改一个size字段为特定值<\/li>
修改tcache bins中堆块的fd为free_hook-8<\/code><\/li>
分配并写入\/bin\/sh<\/code>字符串<\/li>
修改free_hook<\/code>为system地址<\/li>
<\/ol>
EXP编写要点<\/h2>

使用格式化字符串绕过\x00<\/code>截断<\/li>
精心构造堆布局<\/li>
处理远程爆破情况（stdout地址最后几位）<\/li>
分阶段完成libc泄露和最终利用<\/li>
<\/ol>
调试技巧<\/h2>

使用gdb观察堆块合并过程<\/li>
检查unsorted bins和tcache bins状态<\/li>
验证libc地址泄露是否正确<\/li>
确认free_hook<\/code>覆盖成功<\/li>
<\/ol>
总结<\/h2>
这道题结合了堆溢出和格式化字符串的技巧，关键点在于：<\/p>

利用snprintf<\/code>的特性绕过\x00<\/code>截断<\/li>
通过堆布局控制实现libc地址泄露<\/li>
利用tcache poisoning修改free_hook<\/code><\/li>
需要精确控制堆块的大小和位置关系<\/li>
<\/ul>
通过这种多阶段利用方式，可以在保护全开且没有直接信息泄露功能的情况下完成利用。<\/p>