历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    关于LACTF 2025 mmapro知识点思考
    Feng_ZZ CTF 81浏览 · 2025-03-07 08:20

    前言
    这个题的源代码十分的简短,但是需要对mmap的实现有一定的了解,通过这个复现随便来浅浅了解一下mmap函数


    题目源码
    程序一开始就给了我们mmap的地址,泄露了libc地址给我们
    其次给我们可以控制mmap的六个参数
    猜测
    既然程序给了我们libc的地址,也给了我们控制mmap的参数,那么大概率是需要通过mmap来实现控制程序的执行流程
    mmap函数

    Linux的mmap(内存映射)是一种将文件或设备直接映射到进程虚拟地址空间的机制,允许进程像访问内存一样操作文件或共享内存,函数原型
    前面的三个参数都是老朋友,最主要的是后面的flags,通过查阅文档可以发现对flags的描述
    flags宏
    十六进制值
    说明
    MAP_SHARED
    0x01
    映射区域与其他进程共享,对内存的修改会同步到文件。
    MAP_PRIVATE
    0x02
    映射区域为私有,写入时会触发“写时复制”(Copy-on-Write),不修改文件。
    MAP_FIXED
    0x10
    强制使用指定的起始地址 start,若冲突则失败。
    MAP_ANONYMOUS
    0x20
    匿名映射(不关联文件),通常与 MAP_ANON 等价。
    MAP_DENYWRITE
    0x0800
    禁止对映射文件的其他直接写入操作(需文件未被其他进程打开写入)。
    MAP_LOCKED
    0x2000
    锁定映射区域,防止被交换到磁盘(Swap)。
    可以看到我们通过MAP_ANONYMOUS实现匿名映射,不与任何文件做关联,即可以不用管fd的值;而MAP_FIXED可以强制指定一个地址,作为开始,那么我们是否可以利用这个特性将libc的地址重新映射,所以我们先实践一下,是否可行 MAP_ANONYMOUSMAP_FIXED或值刚好是0x30
    image-20250307144022800.png
    但是经过实践发现不太行
    image-20250307144100513.png
    于是问了一下deepseek,发现还需要加这个flags,**MAP_PRIVATE **:通过写时复制实现内存修改的隔离,保护原始数据不被意外修改。
    因为本质上我们libc也算是映射的一个文件的副本,若我们想要覆盖(通过mmap)它的话,必须是加上MAP_PRIVATE ,才可以
    所以我们第二次尝试,这次加上MAP_PRIVATEflags
    image-20250307145201576.png
    成功实现,但是我们发现这里libc的数据因为重新覆盖而变成了空数据,即是全部都是00字符
    image.png
    思路&利用方法
    对于目前来说,我们可以实现的是将一段libc的内存,使之变为全是00的字符数据,那么我们使用在mmap函数所在的页看看会发生什么
    image-20250307150511422.png
    我们继续步进看看会发生什么
    image-20250307150539514.png
    这里可以发现mmap函数的数据全部是00字符,而这些00字符刚好组合成这个汇编代码
    mmap的返回值刚好是我们一开始给它的start的地址,所以这里是一个合法地址,使得这个指令可以正常执行下去,形成了一个类似于Nop的滑板指令
    我们继续执行就可以看到它会卡到我们没有修改的相邻页上的代码地址
    image.png
    自此,如果在以页为开始的libc代码,即以0x000结尾的地址,并且是在mmap函数所在的页的下方,我们就可以使用它作为我们可用的gadget
    下面是参考了官方wp
    可用gadget

    官方exp使用的是这个地址
    我们可以计算一下也就是0x115000+0x57000就是0x16c000的位置,这里可以看看是怎么实现的,下面是以mmap所在的页为start地址
    image-20250307152949971.png
    可以发现是ptsname_r函数的开头位置,并且call ioctl并没有被我们所覆写,所以可以成功调用,也有把canary给压入栈中,最后
    image.png
    这里可以发现卡在了0x32的位置上,如果我们仔细看的话就可以发现,这个0x32就是我们控制的flags数据,那么我们改如何利用这个呢
    我们回想一下我们正常使用mmap的时候,我们是怎么用这个flags,例如
    不难发现是或运算,并且对应的flags也就是只用那么几个,那么我们可以找到一个符合条件的ret,即满足上面的flags的条件的,我们可以通过对应寻找一下
    image-20250307155612100.png
    随便选条032为结尾即可
    然后既然我们的rdi是我们的start地址,那么我们可以使用gets写入shellcode,然后再让程序跳转到位置即可
    原理就是把flags设置为符合条件并且是ret指令的地址,然后把fd控制位gets函数,offset控制为start地址,这样就可以实现一个ROP
    最后
    image-20250307160130380.png
    exp
    完整exp如下
    最后
    因为是按页覆盖,实际上利用的gadget并不是很多,笔者也是有尝试过通过爆破来实现定位到可用gadget的偏移,不需要很久的时间,可以利用pwntools+gdb来对最后卡住的寄存器进行判断,来实现可用gadget的爆破
    附件:
    0 人收藏 0 人喜欢 转载 分享
    0 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持