kernel/Geroi-Kodeksa
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
9511b382800edeebbb502a3caf8b81bd6a59de8c
Geroi-Kodeksa/Warriors-Pwn
History
Caplag 9511b38280 Init. commit
2026-03-02 21:44:22 +03:00
..
exploit.py
Init. commit
2026-03-02 21:44:22 +03:00
README.md
Init. commit
2026-03-02 21:44:22 +03:00

README.md

Warriors

Добро пожаловать на Арену Хроноса. Здесь воины рождаются из байтов памяти. Только Повелитель Времени может манипулировать временной линией без последствий. Сможете ли вы победить Хранителя Целостности и захватить Флаг?

Решение

  1. Открываем бинарь в IDA/Ghidra и разбираем команды меню: spawn, sacrifice, scout, rewind, rename, invoke_core.
  2. Понимаем модель памяти: Warrior хранится в куче, а слоты в таблице держат указатели на эти чанки.
  3. Находим уязвимую связку sacrifice + rewind(1): после отката в таблице остаётся указатель на уже освобождённый чанк (UAF).
  4. Через scout(slot, -8, 8) снимаем encrypted_next у освобождённого чанка и получаем heap_cookie, нужный для корректного next.
  5. Используем rename(slot, -16, blob), чтобы писать перед name и подделать заголовок чанка:
    • checksum = crc32(name) (4 байта),
    • pad (4 байта),
    • encrypted_next = target ^ cookie (8 байт),
    • name (64 байта).
  6. В качестве target выбираем g_bridge и отравляем free-list через UAF-объект.
  7. Делаем два spawn: первый снимает обычный элемент из списка, второй даёт контролируемую аллокацию в целевой адрес.
  8. Перезаписываем dispatch в g_bridge адресом summon_oracle (например, b"A"*24 + p64(summon_oracle)).
  9. Вызываем invoke_core() и получаем выполнение summon_oracle, после чего появился shell.
  10. В shell читаем флаг:
cat /app/flag.txt || cat deploy/flag.txt || cat flag.txt

Полный PoC: exploit.py

python3 exploit.py
Reference in New Issue View Git Blame Copy Permalink