相比较平常的pwn题，这次题目的附件下载时间有点过长了些，不过看到第六道pwn的369的精致分，这次的100多分也对得起他的4M多的执行体了。题目虽然出的是pwn题，但核心看来还是在逆向部分，就连IDA的打开时间也长了许多。题目是rust语言编写的，看起来比较陌生，却号称是内存最安全的语言，感觉出题者具备很强的pwn基础，才能把这类题目玩这么溜。
第一次用ida打开rust程序，不知道从哪里看起，搜索字符串也没看到什么特殊的地方（ida对rust的字符串解析太弱了）。于是只能放到ubuntu里面执行一下试试，没想到除了开头显示一个字符串，对所有输入基本都没有反应，完全不知道程序想干什么。于是顺手搜索了一下题目的名字The_Mystery_of_Marie_Roget——玛丽·罗杰奇案，看来是部外语电影，但依然没有什么线索。
最后从程序的输入开始顺着栈往上追踪，最后发现来到std::io::BufRead::read_line::hfe23df61b51ffee1函数这里，看到所在的函数名vmvec::main::h1f88fe21e640590d，估计这才是rust真正的主函数。虽然每个函数后面都跟着很长的一串二进制，但基本看前半段就明白功能，后面估计只是区分该功能属于不同的类。
简单跟踪了几轮对输入的处理，大概了解了程序的逻辑。单独的符号$是一个特殊功能，单独的#是输入的结束标志，然后每一行作为一个语句会被alloc::vec::Vec$LT$T$C$A$GT$::push::hd994e0abfacd7f08压入一个栈当中。最开始还以为是rust的语法，学习了一会却发现不像。最后对输入下了硬件断点，才发现vmvec::start_vec::h1393dc29498ce194才是程序的主要逻辑。输入共有vec、adj、print、cal、cmd、jmp、je、switch_stack、halt几种语句（其中cmd迷惑了我很久，一直以为可以执行某种命令，最后才发现实现的是cmp功能）。vec定义变量；adj添加删除变量；print打印栈底或者变量；cal实现栈或者寄存器上的运算；cmd对栈上两个值进行比较，结果压入栈底；jmp和je跳转到其他代码段，其中je根据栈底的值决定是否跳转；switch_stack切换栈；halt打印结束语句然后exit。特别的，如果语句以//或者其他字符开头，则不会参与运算。
第一遍功能梳理基本没发现什么问题，第二遍对结构进行分析。输入语句和寄存器都是放在堆上的，栈定义了两个，都是在vmvec::start_vec函数的堆上。checksec发现该程序没有开启栈保护，说明这个程序的栈可能有点问题。重点研究作者设计的栈（为和真实的堆栈进行区分，后文称为模拟栈）后发现，该模拟栈设计的大小为64个8字节，且大部分情况下操作前都对栈指针进行了检查，除了reg_add_to_stack函数。只要反复调用该函数就可以一直覆盖真实的栈直到返回地址。当然，由于作者设计了两个模拟栈，而且两个模拟栈相连且随时可以切换，所以可以通过reg_add_to_stack函数修改下一个模拟栈的栈指针，然后通过switch_stack切换栈后使用print实现任意地址读，使用reg_add_to_stack函数实现任意地址写。
但开始利用时发现，虽然使用print可以实现任意地址读，而且栈、堆、程序基址都可以leak出来，但程序执行到这里后已经关闭了输入，而且重新调用main或者start函数都会出错退出，缺少了再次输入的机会。但幸好cal提供了读取和运算的功能，可以把对应的值读取后进行运算，然后写入到相应地址。这里通过修改vmvec::main函数的返回地址，构造rop实现syscall（当然如果上网方便的话也可以利用print探测出libc的版本然后写入onegadget）。
设置的rop链为：

下面是本地测试成功的代码。

但实际攻击时发现一直不成功，估计是libc版本或者是调试状态等某些因素导致了最后一句"adj ab /bin/sh\x00"的地址不固定，调用/bin/sh失败。因此最终实现时增加了sendCmd("////////"+"/bin/sh\x00"*0x100)对堆进行了布置。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界