题目名：account

解题数：121

题目描述：无

知识点：数组越界访问、栈溢出、32位ROP

题目逻辑非常简单，只有一个vuln()函数：

我们输入的数据被存储到v0变量中，这里把v0[0]也识别成后续数组的一部分了，我们对其修复，把v0类型改成非数组即可：

vuln()函数会循环读取我们的4字节输入，然后修改v1[v2++] = v0，从v1[0]逐渐向栈中高地址处增长，这里存在栈溢出漏洞。

如果增长的次数足够多，我们可以覆盖old_rbp、ret_addr等数据。思路非常简单，我们直接向返回地址处写入ROP即可。

需要注意一点：修改v1[10]即修改变量v2，它是数组当前循环的下标，我们需要写入一个合法的值，否则会出错。

先将v1数组写满，然后修改v2变量为13（下次循环会修改v1[14]位置，即存储返回地址的位置）：

然后，写入第一次rop泄露libc地址：

然后，写入第二次rop直接ret2libc即可：

这里需要注意，32位程序中的地址均为4字节无符号整数，而程序使用scanf("%d", &v0)读入的是4字节有符号整数。

如果ROP中想写入的地址非常大，%d将无法读取，我们需要先将这个大数字转换为对应的负数，然后输入到程序中。

题目名：user

解题数：92

题目描述：无

知识点：IO_FILE结构体伪造、通过stdout泄露libc地址、glibc 2.31环境下的任意地址写利用

本题是一道典型的堆利用题目，但缺少直接的输出功能。

解题关键在于利用程序漏洞修改IO_FILE结构体，从而构造libc地址泄露的条件。

本文章详细解析输出函数的内部调用机制，解释IO_FILE结构体中的_flags字段为何常被伪造为0xfbad1800（或0xfbad1880）的特殊值。

题目给出2.31版本的glibc，将程序拖入IDA分析：

发现是经典的菜单题，各个函数逐个分析，先来看一下add()函数：

bss段全局变量heap数组用于存储最多5个chunk块的指针。如果有空闲位置申请0x50大小的chunk并读入0x40数据。

然后分析delete()函数：

允许我们输入idx，若heap[idx] != NULL则调用free()函数释放。这里只判断idx > 4的情况，没考虑idx可能为负数。

然后分析edit()函数：

允许我们修改heap[idx]的内容，最多输入0x40大小的数据。与delete()函数类似，没有判断idx是否为负数。

然后分析show()函数：

发现程序没有提供输出功能，只调用puts()函数告诉我们输出功能不可用。

题目逻辑非常简单，经典的glibc2.31版本下的菜单题目，没有提供show()函数但delete()和edit()的idx可以为负数。

我们看一下bss段中的heap数组所在位置：

可以发现，这个bss段非常干净，除了标准IO和程序内置用到的completed_8061变量外，没有其它可以利用的地方。

而题目没有提供输出功能，我们无法泄露信息，所以可以考虑通过输入负数idx修改标准IO泄露程序信息。

我们使用gdb调试程序，查看标准IO和heap在内存中的布局：

stdout距离heap为0x40大小字节，如果我们使用edit()函数修改heap[-8]就可以修改_IO_2_1_stdout_中的内容。

我们可以修改最多0x40字节大小的数据，如图所示：

如何通过stdout泄露程序信息呢？这其实是一种常见的套路。

在 glibc 中，stdout（标准输出）是一个 _IO_FILE 结构体对象。其内部有很多字段来维护输出缓冲区的状态，包括：

_IO_write_base: 当前写缓冲区的起始地址

_IO_write_ptr: 当前写指针（指向已经写入的末尾）

_IO_write_end: 写缓冲区的结尾

当使用 puts()、printf() 等函数向 stdout 写数据时，它们实际上是拷贝到 _IO_write_base 开始的内存区域中，然后等到 flush 的时候才输出。

如果我们可以修改_IO_write_base指针指向我们的目标地址，它在输出时就可以泄露出目标地址处的内容。

例如，上图中的_IO_write_base指向0x7f5b1231d723，如果我们将其最低为修改为\x08，则其指向0x7f5b1231d708，如下所示：

此时，程序再次输出时，会输出_IO_2_1_stdin_的地址，从而实现泄露libc地址。

但是，IO输出的逻辑非常复杂，仅仅修改_IO_write_base指针是完全不够的，我们还需要绕过一些检查。

跟进调用函数链：puts() -> _IO_puts() -> _IO_new_file_xsputn()，我们找到libc的源代码：

在进行一系列处理后调用 _IO_OVERFLOW -> _IO_new_file_OVERFLOW()：

满足一定的条件会调用 _IO_do_write() -> _IO_new_do_write() 函数：

它会继续调用 new_do_write() 函数：

此时，会出现多种情况：

而 _IO_SYSWRITE()会将_IO_write_base开始位置的缓冲区内容输出，我们的最终目的是调用它。

因此需要满足以下条件：

当 _IO_write_end > _IO_write_ptr 时，说明缓冲区还没有被写满，此时程序会先将输出的内容写到缓冲区，缓冲区满后再进行输出。为了不必要的麻烦，我们一般会让这两个指针相等，这样程序会直接调用_IO_new_file_overflow()函数继续处理。

在_IO_new_file_overflow()函数中，f->_flags & _IO_NO_WRITES 不能成立，否则会返回错误。

在_IO_new_file_overflow()函数中，(f->_flags & _IO_CURRENTLY_PUTTING) == 0 不能成立，否则程序会认为当前没有正在写缓冲区，会重新初始化缓冲区导致内容消失。

在new_do_write()函数中，我们直接让 fp->_IO_read_end == fp->_IO_write_base 即可满足条件并成功调用_IO_SYSWRITE()函数。

其中，_IO_CURRENTLY_PUTTING = 0x1000、_IO_IS_APPENDING = 0x800、_IO_IS_APPENDING = 0x80、_IO_NO_WRITES = 0x8。

因此，我们在覆盖stdout时，_flag字段应该为 0xfbad1800（同时，fp->_IO_read_end == fp->_IO_write_base） 或 0xfbad1880 即可。

编写脚本泄露libc地址：

获取了libc基地址后，如何利用呢？继续向上寻址，发现bss段存在一个a -> b -> a的指针：

我们可以继续利用eidt()函数的漏洞，修改heap[-11]位置指针指向的内容，将其改为__free_hook。

此时，__dso_handle -> __free_hook，我们再次修改heap[-11]位置指针指向的内容，即可修改__free_hook。

常规套路，我们修改__free_hook为system，然后调用delete()函数即可拿下shell。

脚本如下所示：

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！