CTF实战系列PWN与逆向题解及漏洞分析.pdfVIP

安全小课堂CTF实战系列——PWN+逆向题题解

JSRC安全小课堂CTF实战系列，将不定期为大家放出CTF赛事的题目解析以供CTF者参考学习

今天为大家带来的是2018年的看雪·京东CTF大赛里的一道PWN+逆向题。

设计思路人个认为，二进制方向，不管是逆向还是pwn，源于一处，归于同宗。都是对代码的理解与掌控过程，以

及辅助此过程的工具编写。

除了一些高端CTF比赛，很难看到逆向与pwn结合一起的。所以出一题有基本代码阅读能力要求的pwn题，

pwn的过程很简单，但先要弄明白题的意思及点。

开始的思路是扁平化控制流+堆利用，但是用clang似乎违背了逆向题的出题要求，pwn题也不能用clang，这

样才公平吧。

所以，简单调整了下思路，硬编码简单vm+正常堆利用leak+rop。

此外，在程序开头，还加了个hashcheck，一是为了过滤一些无意思的扫描，二是也是最基本的代码阅读能力的测

试。具体的hash算法为BKDRHash，对所有参赛人员来说，这应该没什么影响的，只是多了一环节而已。

程序功能程序主要功能如下打印菜单：Malloc:申请chunk并能写入一些content。Show:打印写入的content。

Free:释放chunk，并清空堆指针。

保存堆指针的全局变量只能保存一次申请的堆指针。

为了heap手法，Show只有一次leak机会，然后输出会被关闭。

简单vm及小伎俩程序菜单选择到三大功能的函数调用全被改写成了jmprax的形式。

其实上段内联汇编中，在栈区设置正常调用时的栈区排定，并把调用的返回地址设置成了当前函数的附近，形

成了jmp变call及功能选择的循环。

实际此处jmprax是调用了简单vm的handler。将实际功能函数放在了栈区。然后通过一段预设的opcode，调用

的功能函数，实际过程就是设置正常

函数调用时的pushret_address，然后jmp。

这段vm代码功能简单，主要是能进行一些算术运算，及opcode相对寻址取值，一小段范围栈区的相对寻址及读

写值，绝对地址jmp功能。代码如下：

看上段代码的开头处，就能发现，加了点无用的干扰代码，上面这段代码在ida中不处理是没办法f5看伪代码的。

点设置全题唯一一个预留的直接点在malloc功能中，此函数要求申请的chunksize小于128，然后大

小最大为size-1的数据到BSS段的暂存区，然后将的数据copy到chunk中。

这里没有检查size必须大于0，而且的数据大小是size-1，如果size为0，则chunk申请是成功的，而且

的数据大小就比较大了（这里作了(size-1)0xff处理），导致在BSS段的buffer溢出(堆溢出不讨论了，在各种限

制条件下，应该不太好利用)。

buffer下面就是opcode的地方，溢出后可改写opcode，通过vmhandler实现改写栈区，跳转程序的功能，能

安全小son堂CTFPractice系列——PWN+逆向Questions解

TheJSRCSafetyClassroomCTFPracticalSerieswillreleaseanalysisofquestionsfromCTFcompetitions

fromtimetotimeforreferenceandstudybyCTFenthusiasts.WhatwebringtoyoutodayisaPWN+

reversequestioninthe2018Kanxue·JingdongCTFCompetition.Thedesignideaallybelievesthat

thebinarydirection