WMCTF 2024 PWN题解：BlindVM、babysigin、evm、magicpp<\/h1>

BlindVM 题解<\/h2>

题目概述<\/h3>

检查保护：Partial RELRO, NX enabled, PIE enabled<\/li>

关键提示：使用堆喷射(heap spraying)使堆空间与LIBC空间连续<\/li> <\/ul>

关键知识点<\/h3>

线程堆栈分配机制<\/strong>：<\/p>

__pthread_create_2_1<\/code> 通过mmap分配0x801000大小的线程栈<\/li>
分配后被分割成800000和1000两部分<\/li> <\/ul> <\/li>
线程堆初始化流程<\/strong>：<\/p> __GI___libc_malloc -> tcache_init -> arena_get -> arena_lock -> arena_get2 -> _int_new_arena -> new_heap -> alloc_new_heap<\/code><\/li> 初始分配大小：max_size << 1 = 8000000<\/li> <\/ul> <\/li> 堆扩展机制<\/strong>：<\/p> 当分配大小超过topchunk但小于0x20000时：调用grow_heap<\/code>增加heap_info的size<\/li> 设置新的topchunk大小<\/li> <\/ul> <\/li> 当分配大小≥0x20000时：直接通过mmap分配<\/li> <\/ul> <\/li> <\/ul> <\/li> 漏洞利用思路<\/strong>：<\/p> 分配heap_info空间使topchunk无法扩展<\/li> 申请大于0x20000的空间填充heap到libc部分<\/li> 修改unsortedbin的fd指向libc对应的heap_info的ar_ptr<\/li> 通过部分写控制ar_ptr<\/li> 修改topchunk的size<\/li> 最终实现控制heap_info和grow_heap，覆盖libc<\/li> <\/ul> <\/li> libc函数地址解析<\/strong>：<\/p> 在dl_fixup<\/code>中根据字符串找到函数对应的结构体<\/li> 结构体存储偏移量，最终地址为l_addr(库加载地址)+offset<\/li> <\/ul> <\/li> <\/ol> 利用步骤<\/h3> 通过堆喷射使堆空间与libc空间连续<\/li> 控制heap_info结构<\/li> 修改topchunk大小<\/li> 覆盖libc关键数据<\/li> 劫持控制流<\/li> <\/ol> babysigin (LLVM pass题)<\/h2> 题目概述<\/h3> 提供了mmap、open、read、write等函数<\/li> 需要通过LLVM pass分析<\/li> <\/ul> 关键知识点<\/h3> LLVM IR基本概念<\/strong>：<\/p> Module: 整个程序的顶层容器<\/li> Function: 函数定义<\/li> Basic Block: 基本代码块<\/li> <\/ul> <\/li> 逆向分析要点<\/strong>：<\/p> 使用opt -load .\/WMCTF.so -WMCTF -enable-new-pm=0 .\/llk.bc<\/code>启动<\/li> 分析pass对IR的修改<\/li> <\/ul> <\/li> 关键检查点<\/strong>：<\/p> 变量名需要包含".addr"<\/li> 递归调用层次检查<\/li> 全局变量初始化检查<\/li> <\/ul> <\/li> 函数调用链分析<\/strong>：<\/p> void<\/span> func1<\/span>(const<\/span> char<\/span> *<\/span>arg) { <\/span><\/span> WMCTF_MMAP(0x7890<\/span>); <\/span><\/span> WMCTF_OPEN(recrusive); <\/span><\/span> WMCTF_READ(0x6666<\/span>); <\/span><\/span> WMCTF_WRITE(GLOBAL_CONSTANT); <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 字符串处理<\/strong>：<\/p> 全局变量声明与IR对应关系<\/li> 字符串常量在IR中的表示<\/li> <\/ul> <\/li> <\/ol> 解题思路<\/h3> 构造满足pass检查的函数调用链<\/li> 通过全局变量传递关键数据<\/li> 绕过递归层次限制<\/li> 最终触发后门函数<\/li> <\/ol> evm题解<\/h2> 题目概述<\/h3> 检查保护：Partial RELRO, Canary found, NX enabled, No PIE<\/li> 自定义虚拟机实现<\/li> <\/ul> 关键知识点<\/h3> 虚拟机指令分析<\/strong>：<\/p> 寄存器操作指令格式<\/li> 内存访问指令<\/li> 控制流指令<\/li> <\/ul> <\/li> 指令解码<\/strong>：<\/p> result =<\/span> (BYTE1(code) >><\/span> 4<\/span>) &<\/span> 7<\/span>; <\/span><\/span>dest =<\/span> ((unsigned<\/span> __int16<\/span>)code >><\/span> 7<\/span>) &<\/span> 0x1F<\/span>; <\/span><\/span>src_1 =<\/span> (code >><\/span> 15<\/span>) &<\/span> 0x1F<\/span>; <\/span><\/span><\/code><\/pre><\/li> 页表管理<\/strong>：<\/p> 自定义页表实现<\/li> 物理地址转换机制<\/li> <\/ul> <\/li> 漏洞利用<\/strong>：<\/p> 后门函数存在\/bin\/sh地址<\/li> 通过第一个页表修改第二个页表内容<\/li> 寄存器越界修改<\/li> <\/ul> <\/li> <\/ol> 利用步骤<\/h3> 构造特定指令序列<\/li> 修改页表项内容<\/li> 控制寄存器值<\/li> 触发后门函数<\/li> <\/ol> magicpp题解<\/h2> 题目概述<\/h3> 检查保护：Partial RELRO, Canary found, NX enabled, PIE enabled<\/li> 文件操作功能<\/li> <\/ul> 关键知识点<\/h3> 漏洞发现<\/strong>：<\/p> 通过fuzz发现unsorted bin corruption<\/li> 特定操作次数后出现崩溃<\/li> <\/ul> <\/li> 漏洞成因<\/strong>：<\/p> vector扩容时free旧内存<\/li> use-after-free修改unsorted bin的fd<\/li> <\/ul> <\/li> 信息泄露<\/strong>：<\/p> 通过\/proc\/self\/maps泄露地址<\/li> 获取heap、libc、stack、ld地址<\/li> <\/ul> <\/li> 利用方法<\/strong>：<\/p> 修改tcache的fd<\/li> 攻击libc GOT表<\/li> 可能的攻击目标： IO house of cat<\/li> exit处理流程<\/li> libc GOT表函数<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 利用步骤<\/h3> 泄露内存布局<\/li> 构造特定内存布局<\/li> 触发use-after-free<\/li> 修改关键指针<\/li> 劫持控制流<\/li> <\/ol> 总结<\/h2> 这些题目涵盖了多种漏洞利用技术：<\/p> 堆布局与堆喷射<\/li> LLVM IR分析与pass绕过<\/li> 自定义虚拟机漏洞利用<\/li> 复杂内存破坏漏洞利用<\/li> <\/ul> 关键点在于理解每种环境下的内存管理机制和精心构造利用链。<\/p>