Polyfill
写作dubai-ctf,然而在阿布扎比举办233
风格迥异,被毛子吊锤一百遍啊一百遍
第二天主要在看一个wasm的pwn,发现了UAF的漏洞但是由于对heap没了解所以没写利用。队里的pwn手觉得没法用所以没写,最后偷了流量重发爽了一天。赛中修复了题目,但是并没有起效。事后分析了一下确实是那个UAF的洞。
http是一个web演示接口,可以通过html+js+engine.wasm来加载polyfill.wasm
tcp则可以通过wasmtime直接执行它
wasmtime --dir=flags polyfill.wasm
可以登录或者注册,每个服务器上会由check上传flag,所以目标就是越权读取其他账户
总的来说是一个画图的功能,有frame、poly、point三层结构
10个frame,每个Frame上有25个poly的槽,这些是在全局变量中
每次申请new_poly时则会malloc(0x64),将指针填入frame的槽中
然后每个point占用2个字节,存在poly里
所以每个poly里最多有50个point
类似于菜单题,所以可以任意读写、malloc、free
漏洞点在del_if_unused中
在del之前会直接将该槽置0,然后检查其他地方是否有该指针的拷贝,如果没有则Free
但是当判断到0的时候会直接跳过整个frame,所以存在check的bypass
(此处应有图,但是迪拜好像上传不上csdn的图床2333)
具体利用就不搞了,对堆不熟悉_(:」∠)<