之前写过几篇llvm的分析和题解，感觉这次ciscn还得出llvm，不过这个llvm相对之前的还是比较简单的，漏洞点也是白给，利用也较为简单。(这里我用的是ubuntu20。)

先简单贴一下程序大致流程

代码大概就是这样，刚开始做的时候已经把一些llvm函数忘得差不多了，又看winmt的博客补了一下。

add函数：申请一个堆块

del函数：释放一个堆块

edit函数：对一个堆块进行edit，存在溢出

alloc函数：申请一块rwx内存，地址0x10000

editalloc函数：像0x10000内存写入一个堆地址存放的数据指向的地址（感觉没啥用）

1.申请几个连续的大小相同的堆块，释放中间两个，修改上边的堆块的fd指针为0x10000。

2.申请两个堆块，其中第二个堆块指向0x10000，调用alloc函数将0x10000设置为rwx，向其中写入shellcode的字节码，注意顺序即可。

3.再释放两个相邻堆块，改堆块fd为free_got，申请回free_got，将其改为0x10000。

4.退出llvm.so时执行free函数，执行我们的shellcode来get shell。

1、我在做这个题的时候，刚开始用clang-15编译，然后用opt-10执行一直报错，这里clang应该与opt的版本对应，太久没看过llvm了。

2、在程序执行的时候，首先跑llvm.so，在跑完退出时会调用opt里的函数，这里opt是没有开pie的，所以改opt里的free_got函数。

其实我感觉llvm难点就是调试，这里首先给出几个命令。
test.c编译为test.ll

gdb动态调试

首先跑完一大堆的llvm函数，然后用llvm.so加偏移下断点

这里我直接用exp跑。

Alloc函数执行

将shellcode写入0x10000

链入free_got

修改free_got为0x10000

执行exit

跑掉一大堆其他plt，进入free_plt

成功执行shellcode

前边一大堆的逆向，需要知道http数据包如何构造，这个跟上海磐石杯那个hp题挺像的，具体逆向不再分析，主要说一下house of muney这个方法。

当堆管理器分配超大内存时，会调用mmap函数申请内存，申请的内存一般位于libc.so.6内存的低地址处。如果可以修改mmap申请的这段内存的size，那么我们再次申请回来就可以覆盖掉libc.so.6的符号表，哈希表等空间并进行改写伪造，在解析函数实际地址的时候就能控制其解析为任意地址，进而控制程序执行流。

这里先给出exp再进行说明：

house of muney的关键在于伪造几个值：

bitmask_word
bucket
hasharr
target symbol ->st_value
调试一下看看这几个值在哪里（注意这里需要用到glibc源码调试，这里使用2.31）

需要先跑过一次while(++i < n）

当源码走到这里时，记录一下bitmask_word的值

走到这里，查看一下bucket的值

走到这里查看一下hasharr。

走到这里会有sym符号表结构的一些值


这里需要将st_name改成strtab与exit的偏移，st_value改成system的st_value。

编写一个c程序执行system看一下值（这个c程序不能开pie和full relro）


是0x52290 。

再来找一下st_name，这里有几个可以选择，试试哪个通就行

全部找到后就可以edit伪造了。

最后执行exit("/bin/sh");就能get shell

在main函数中有一个跳转，看一下off_5060位置


可以看到我们输入的shell命令不同，会跳转到不同函数，这跟初赛的shellwego类似。

漏洞点位于echo里的格式化字符串漏洞

由于该shell是循环输入，所以可以循环利用这个格式化字符串漏洞泄露libc和stack，然后劫持libc_start_main为onegadget即可。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！