PWNABLE.TW-food_store-分析

博主： chuj
发布时间：2021 年 06 月 10 日
396 次浏览
暂无评论
2360字数
分类： CTF-WP

看了一段时间，暂时还没有找出洞，自己还是太菜了，考虑到题目的逻辑较复杂，结构体也较多，在这里先记录一下，免得到时候忘了。

程序总共有 7 个功能，在 main 函数中使用一个 switch 来跳转，简单重命名一下如下

### recipe

这个函数又有三个功能

#### add_recipe

重命名一下如下

这里面涉及到 recipe 的单向链表结构体，我猜测其结构如下

```cpp
struct RECIPE_LIST
{
  char recipe_name[24];
  struct INGREDIENT *Ingredient[13];
  struct RECIPE_LIST *next;
};
```

其中的 `struct INGREDIENT` 我猜测其结构为

```cpp
struct INGREDIENT
{
  char name[32];
  int price;
  int ingredient_left;
};
```

也就是每一个 recipe 结构体维护其自己的名字和该菜需要使用的食材（ingredient）。而每个 INGREDIENT 结构体则维护自己的名字、价格和所剩的数量。

recipe 链表的头指针处于偏移 0x2050D0 处，IDA 分析时发现这个指针是通过处于偏移 0x2050C8 的基址寻址的，而此处又是 recipe_info 的地址，所以把二者合成一个结构体

```cpp
struct LIST_HEAD
{
  struct Recipe_Info *recipe_info; 
  // 上面命名不是很合适，我后来改成了 struct ALL_INGREDIENT *all_ingredient
  struct RECIPE_LIST **recipe_list_head;
};
```

这里的 Recipe_Info 结构体（后来改名为 ALL_INGREDIENT）结构我猜测为

```cpp
struct Recipe_Info // 修改为 ALL_INGREDIENT
{
  struct INGREDIENT *ingredient[10];
};
```

LIST_HEAD 中的 recipe_info（改名为 all_ingredient）维护当前所有的食材和其个数。

说回到函数本身，这是添加食谱（recipe）的函数，我们可以自定义其食材，然后会被链接到食谱链表的尾部。似乎并没有什么洞。

#### remove_recipe

这里就是根据菜谱的名字来解链特定的菜谱，然后通过 realloc 来对要被删除的食谱进行 free。

#### show_recipe

这里可以打出所有菜谱的名称和其食材的名称，如果可以做到在链表中保留一个被 free 过的 chunk 的话就有可能通过该函数实现 leak。

### Assignment

这个函数主要做的就是给 NPC 吃东西，NPC 会从食谱中随便选一个食物然后要求我们给他吃，如果我们有对应的食物且选择可以提供，那么就可以给 NPC 吃，且可以增加自己的经验（经验到 100 后就会升级），然后增加级别。最后食物会从食物链表中解链，并通过 realloc 进行 free。

这里的食物链表结构我猜测如下

```cpp
struct FOOD_LIST
{
  char name[24];
  unsigned int price;
  int dummy1;
  __int64 energy;
  struct FOOD_LIST *next;
  struct FOOD_LIST *prev;
};
```

每一个食物维护自己的名字、价格和能量（能量在后面的 eat 功能中有用），并且通过 next 和 prev 指针维护双向链表。

好像也没有明显的漏洞

### show_chief_info

函数很简单，就是输出厨师的信息，可见一个厨师有三个维度的数值

* level：一些对食材的操作对 level 有要求
* power：做食物（do_cooking）需要消耗 power，可以通过 eat 来补充
* money：买食材需要花钱，通过给 NPC 做饭（Assignment）或卖出食物（sell_food）可以获得钱财

### do_shopping

这个功能里面也有三个子功能，主要是对食材和食物的操作，可以卖出、购买和制作。

#### sell_food

卖出指定食物，获得其 price 的钱，然后解链并 free，好像没什么漏洞

#### buy_ingredint

购买指定个数个食材，每个食材的个数是由位于偏移 0x205080 处的指针来维护的。

#### make_food

这个函数让我们制作自己的食材（命名有些不恰当，但是我懒得重传图片了，您知晓就行了），每次制作食材都需要花费 100 块钱。

### do_cooking

函数比较长，分两段传。

这里就是根据菜谱制作食物，看起来很长但是好像还真没有什么洞..

到这里就功能就分析完了，无奈的确没有发现什么洞，希望明天可以找到洞 PWN 了。

最后修改：2021 年 06 月 15 日

如果觉得我的文章对你有用,那听听上面我喜欢的歌吧

发表评论取消回复

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

RCTF2021-musl-WP
评论数： 11
写在大一结束
评论数： 9
HGAME2021-WEAK1-WP
评论数： 5
XCTF/BUU-babyfengshui-WP
评论数： 4
BUU-360chunqiu2017_smallest-WP
评论数： 3

1
非常感谢你的博客，解决了我使用LLVMFuzzerRunDri...
N1pe
之前的确是在linux呀，但是后来我重启了下虚拟机就正常了，（...
N1pe
能请问下师傅在本地getshell以后，按回车键只能回显出^M...
xia0ji233
那个tcache_pthread_struct的地址+32确定...
shadow_gladiator
tql

PWNABLE.TW-food_store-分析

chuj • 2021 年 06 月 10 日

看了一段时间，暂时还没有找出洞，自己还是太菜了，考虑到题目的逻辑较复杂，结构体也较多，在这里先记录一下，免得到时候忘了。

程序总共有 7 个功能，在 main 函数中使用一个 switch 来跳转，简单重命名一下如下

### recipe

这个函数又有三个功能

#### add_recipe

重命名一下如下

这里面涉及到 recipe 的单向链表结构体，我猜测其结构如下

```cpp
struct RECIPE_LIST
{
  char recipe_name[24];
  struct INGREDIENT *Ingredient[13];
  struct RECIPE_LIST *next;
};
```

其中的 `struct INGREDIENT` 我猜测其结构为

```cpp
struct INGREDIENT
{
  char name[32];
  int price;
  int ingredient_left;
};
```

也就是每一个 recipe 结构体维护其自己的名字和该菜需要使用的食材（ingredient）。而每个 INGREDIENT 结构体则维护自己的名字、价格和所剩的数量。

这里的 Recipe_Info 结构体（后来改名为 ALL_INGREDIENT）结构我猜测为

```cpp
struct Recipe_Info // 修改为 ALL_INGREDIENT
{
  struct INGREDIENT *ingredient[10];
};
```

LIST_HEAD 中的 recipe_info（改名为 all_ingredient）维护当前所有的食材和其个数。

说回到函数本身，这是添加食谱（recipe）的函数，我们可以自定义其食材，然后会被链接到食谱链表的尾部。似乎并没有什么洞。

#### remove_recipe

这里就是根据菜谱的名字来解链特定的菜谱，然后通过 realloc 来对要被删除的食谱进行 free。

#### show_recipe

这里可以打出所有菜谱的名称和其食材的名称，如果可以做到在链表中保留一个被 free 过的 chunk 的话就有可能通过该函数实现 leak。

### Assignment

这里的食物链表结构我猜测如下

```cpp
struct FOOD_LIST
{
  char name[24];
  unsigned int price;
  int dummy1;
  __int64 energy;
  struct FOOD_LIST *next;
  struct FOOD_LIST *prev;
};
```

每一个食物维护自己的名字、价格和能量（能量在后面的 eat 功能中有用），并且通过 next 和 prev 指针维护双向链表。

好像也没有明显的漏洞

### show_chief_info

函数很简单，就是输出厨师的信息，可见一个厨师有三个维度的数值

### do_shopping

这个功能里面也有三个子功能，主要是对食材和食物的操作，可以卖出、购买和制作。

#### sell_food

卖出指定食物，获得其 price 的钱，然后解链并 free，好像没什么漏洞

#### buy_ingredint

购买指定个数个食材，每个食材的个数是由位于偏移 0x205080 处的指针来维护的。

#### make_food

这个函数让我们制作自己的食材（命名有些不恰当，但是我懒得重传图片了，您知晓就行了），每次制作食材都需要花费 100 块钱。

### do_cooking

函数比较长，分两段传。

这里就是根据菜谱制作食物，看起来很长但是好像还真没有什么洞..

到这里就功能就分析完了，无奈的确没有发现什么洞，希望明天可以找到洞 PWN 了。

PWNABLE.TW-food_store-分析

发表评论取消回复

RCTF2021-musl-WP

写在大一结束

HGAME2021-WEAK1-WP

XCTF/BUU-babyfengshui-WP

BUU-360chunqiu2017_smallest-WP

BUU-mrctf2020_spfa-WP

HgameFINAL-nohook-WP

格式化字符串——以printf为代表

AFL学习记录（一）——安装、运行

BUU-xman夏令营选排位赛_2018_main-WP

PWNABLE.TW-food_store-分析

发表评论 取消回复

PWNABLE.TW-food_store-分析

发表评论取消回复