Go Pwn中的Protobuf分析与利用<\/h1>

1. Protobuf基础<\/h2>

1.1 Protobuf在Go Pwn中的作用<\/h3>
在Go Pwn的堆题中，结构体通常通过Protobuf来传递。Protobuf是一种轻量级的数据交换格式，常用于网络通信和数据存储。<\/p>

1.2 Protobuf类型定义<\/h3>

Protobuf定义了多种数据类型，每种类型对应一个枚举值：<\/p>

typedef<\/span> enum<\/span> {
<\/span><\/span>    PROTOBUF_C_TYPE_INT32,     \/\/ 0 - int32
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_SINT32,    \/\/ 1 - signed int32
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_SFIXED32,  \/\/ 2 - signed int32 (4 bytes)
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_INT64,     \/\/ 3 - int64
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_SINT64,    \/\/ 4 - signed int64
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_SFIXED64,  \/\/ 5 - signed int64 (8 bytes)
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_UINT32,    \/\/ 6 - unsigned int32
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_FIXED32,   \/\/ 7 - unsigned int32 (4 bytes)
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_UINT64,    \/\/ 8 - unsigned int64
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_FIXED64,   \/\/ 9 - unsigned int64 (8 bytes)
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_FLOAT,     \/\/ 10 - float
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_DOUBLE,    \/\/ 11 - double
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_BOOL,      \/\/ 12 - boolean
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_ENUM,      \/\/ 13 - enumerated type
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_STRING,    \/\/ 14 - UTF-8 or ASCII string
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_BYTES,     \/\/ 15 - arbitrary byte sequence
<\/span><\/span><\/span><\/span>    PROTOBUF_C_TYPE_MESSAGE    \/\/ 16 - nested message
<\/span><\/span><\/span><\/span>} ProtobufCType;
<\/span><\/span><\/code><\/pre>1.3 关键偏移量<\/h3>
在分析Protobuf结构时，有几个关键偏移量需要注意：<\/p>

第一个字节是变量的初值<\/li>
+8偏移处决定Protobuf中的变量类型（参考上表）<\/li>
0x10偏移处对应着这个偏移<\/li>
<\/ul>
2. 工具准备<\/h2>
2.1 安装pbtk工具<\/h3>
pbtk是一个用于分析Protobuf的工具：<\/p>
sudo apt install python3-pip git openjdk-11-jre libqt5x11extras5 python3-pyqt5.qtwebengine python3-pyqt5
<\/span><\/span>sudo pip3 install protobuf pyqt5 pyqtwebengine requests websocket-client
<\/span><\/span>git clone https:\/\/github.com\/marin-m\/pbtk
<\/span><\/span>cd pbtk
<\/span><\/span><\/code><\/pre>2.2 使用pbtk提取Protobuf定义<\/h3>
有两种使用方式：<\/p>

GUI模式：.\/gui.py<\/code><\/li>
命令行模式：<\/li>
<\/ol>
.\/extractors\/from_binary.py [<\/span>-h]<\/span> input_file [<\/span>output_dir]<\/span>
<\/span><\/span><\/code><\/pre>提取后生成.proto文件，然后可以生成对应的Python文件：<\/p>
protoc --python_out=<\/span>.\/ .\/devicemsg.proto
<\/span><\/span><\/code><\/pre>3. 案例分析<\/h2>
3.1 CISCN2024初赛 ezbuf<\/h3>
3.1.1 题目分析<\/h4>

需要手动分析提取Protobuf定义<\/li>
关键结构：
syntax =<\/span> "proto2"<\/span>;
<\/span><\/span><\/span><\/span>message<\/span> devicemsg<\/span> {
<\/span><\/span><\/span><\/span>    required<\/span> bytes<\/span> whatcon =<\/span> 1<\/span>;
<\/span><\/span><\/span><\/span>    required<\/span> sint64<\/span> whattodo =<\/span> 2<\/span>;
<\/span><\/span><\/span><\/span>    required<\/span> sint64<\/span> whatidx =<\/span> 3<\/span>;
<\/span><\/span><\/span><\/span>    required<\/span> sint64<\/span> whatsize=<\/span> 4<\/span>;
<\/span><\/span><\/span><\/span>    required<\/span> uint32<\/span> whatsthis=<\/span> 5<\/span>;
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ul>
3.1.2 功能分析<\/h4>

add: 数据(msg)在堆上，根据大小申请相应堆块<\/li>
delete: 存在UAF，可以double free，但有次数限制<\/li>
show: 可以泄露信息，但show三次会关闭标准输出<\/li>
clean: 看似无操作，实际会处理输入的msg并申请堆块<\/li>
<\/ul>
3.1.3 利用思路<\/h4>

泄露heapbase和libcbase<\/li>
通过有限的delete次数实现多次任意地址申请<\/li>
利用tcache_perthread结构进行攻击<\/li>
通过打stdout泄露stack，最后实现ORW<\/li>
<\/ol>
3.2 CISCN2024初赛 SuperHeap<\/h3>
3.2.1 题目特点<\/h4>

可以直接用pbtk提取Protobuf定义<\/li>
使用一个堆块存储其他堆块信息<\/li>
<\/ul>
3.2.2 逆向分析<\/h4>

add函数：对输入数据进行base32解密，再对解密后的date,title,author,isbn进行protobuf获取数据，再进行base64解密<\/li>
delete函数：检查有无UAF<\/li>
edit函数：没有长度限制，可以任意写<\/li>
show函数：常规打印功能<\/li>
<\/ul>
3.2.3 利用思路<\/h4>

利用edit函数的无长度限制特性实现任意写<\/li>
构造IO链进行攻击<\/li>
布置ROP链实现最终利用<\/li>
<\/ol>
4. 利用技巧<\/h2>
4.1 堆布局技巧<\/h3>

通过多次add和delete创造理想的堆布局<\/li>
利用smallbin和unsorted bin泄露libc地址<\/li>
通过tcache poisoning实现任意地址写<\/li>
<\/ul>
4.2 泄露技巧<\/h3>

通过show函数泄露heap和libc地址<\/li>
当标准输出被关闭时，可以通过IO结构体泄露信息<\/li>
利用environ变量泄露栈地址<\/li>
<\/ul>
4.3 最终利用<\/h3>

构造ROP链实现ORW (Open-Read-Write)<\/li>
利用setcontext进行栈迁移<\/li>
通过文件描述符操作读取flag<\/li>
<\/ul>
5. 防御与绕过<\/h2>
5.1 常见防御<\/h3>

Protobuf标志抹除<\/li>
堆操作次数限制<\/li>
标准输出关闭<\/li>
<\/ul>
5.2 绕过方法<\/h3>

手动分析Protobuf结构<\/li>
精心设计堆布局以最大化利用有限的操作次数<\/li>
通过其他方式(如IO结构体)实现信息泄露<\/li>
<\/ul>
6. 总结<\/h2>
Go Pwn中的Protobuf分析需要结合逆向工程和堆利用技巧。关键点包括：<\/p>

正确识别和提取Protobuf结构<\/li>
理解题目中的堆管理机制<\/li>
在有限的操作次数内实现信息泄露和任意写<\/li>
最终构造有效的利用链<\/li>
<\/ol>
通过案例分析和工具使用，可以系统性地掌握这类题目的解题方法。<\/p>

Go Pwn中的Protobuf分析与利用<\/h1>

1. Protobuf基础<\/h2>

1.1 Protobuf在Go Pwn中的作用<\/h3> 在Go Pwn的堆题中，结构体通常通过Protobuf来传递。Protobuf是一种轻量级的数据交换格式，常用于网络通信和数据存储。<\/p>

2. 工具准备<\/h2>

3. 案例分析<\/h2>

3.1 CISCN2024初赛 ezbuf<\/h3>

3.2 CISCN2024初赛 SuperHeap<\/h3>

4. 利用技巧<\/h2>

5. 防御与绕过<\/h2>

1.1 Protobuf在Go Pwn中的作用<\/h3>
在Go Pwn的堆题中，结构体通常通过Protobuf来传递。Protobuf是一种轻量级的数据交换格式，常用于网络通信和数据存储。<\/p>