前一段时间研究了著名的house_of_orange,于是趁热打铁赶紧做了一道类似的题目bookwriter以巩固姿势。
0x01题目分析
程序行为:
输入作者名字、添加、查看书页内容、编辑、查看信息。
Add函数如下,作用是为每个page分配内存并将堆地址存放在全局数组heap_address,同时全局数组size存放了对应page的大小,size控制着每次edit输入内容的大小,因此要成功溢出必须覆盖size内容。heap_address与size数组相邻。
Edit函数,作用是修改page内容,重写size数组。读取的内容长度受到size的控制。
Read函数存在漏洞,只有当最后一位为换行符则转换为截断符,如果是别的字符则起不到截断作用,这个特点在后面可以用来绕过长度检测。
0x02利用点
- Author_name数组、heap_address、size三个数组在bss段上相邻,可以将Author_name写到heap_address边界,再用Show函数将heap_address第一个元素泄露出来由此得到堆地址。
- heap_address大小为8,但是Add函数处理不当,导致可以写入9个page覆盖到了size数组第一个元素,造成可以对page[0]写入任意长度内容。
- 利用Read函数漏洞可以实现类似off-by-one攻击,重写top chunk大小。
0x03泄露libc地址
因为程序中有堆的越界写,可以修改top
chunk的大小。在malloc源码里面如果申请的堆块大小超过了